понедельник, 10 февраля 2014 г.

Требования ФСТЭК к средствам доверенной загрузки

Прошу прощения у моих читателей за длительный перерыв в публикациях. Всё-таки формат блога мне не очень подходит, долгое время я не мог себя заставить сесть и написать хоть какой-нибудь пост. Короткие заметки не выглядят интересными для подписчиков, а длинные повествования уходят в виде статей на другие ресурсы. Но надо оправдывать доверие моей, хоть и не большой, но постоянной аудитории, поэтому сегодня я расскажу о новых требованиях ФСТЭК к средствам доверенной загрузки.

Тихо и не заметно прямо перед новым годом Минюст утвердил приказ ФСТЭК №119дсп от 27 сентября 2013 года, который устанавливает с 1 января 2014 года требования к средствам доверенной загрузки (СДЗ). 

Данные требования оформлены в стиле всех последних документов - общая описательная часть и профили защиты.

Устанавливаются три типа СДЗ:

  1. СДЗ уровня базовой системы ввода-вывода - предполагает наличие механизмов доверенной загрузки встроенных непосредственно в BIOS. Рынок уже давно предлагает такие решения, например, Kraftway Credo KC38 или ALTELL TRUST.
  2. СДЗ уровня платы расширения - это классические аппаратно-программные модули доверенной загрузки, самым известным в этом классе является, пожалуй, ПАК "Соболь".
  3. СДЗ уровня загрузочной записи - исключительно программные механизмы, заменяющие загрузочную запись жесткого диска и работающие до передачи управления операционной системы, широко применяются как встроенные средства в СЗИ от НСД.
Еще в процессе обсуждения проекта данных требований я ставил вопрос о включении отдельного типа для доверенной загрузки виртуальных машин, но было принято решение, что данный аспект будет регулироваться требованиями к защите виртуализации, а загрузка виртуальных машин не будет подпадать под требования использования отдельных СДЗ.

Как и в требованиях к САВЗ и СОВ, выделяются шесть классов защиты СДЗ и на каждый разработан отдельный профиль защиты для разных типов СДЗ. При этом СДЗ уровня загрузочной записи могут быть только 6 и 5 классов, а СДЗ других типов - только с 4 по 1. 

В четвер, 6 февраля, было выпущено информационное сообщение, поясняющее применение СДЗ в информационных системах разных типов и классов. Общая картина выглядит следующим образом:
 
Класс защиты СДЗ
6
5
4
3
2
1
ИСПДн
-
УЗ-4
УЗ-3*
УЗ-3
УЗ-2
УЗ-1
-
-
-
ГИС
-
К4
К3*
К3
К2
К1
-
-
-
АС
-
-
3А**
2А**
3А**
2А**
3А**
2А**
СДЗ уровня BIOS
-
-
+
+
+
+
СДЗ уровня платы расширения
-
-
+
+
+
+
СДЗ уровня загрузочной записи
+
+
-
-
-
-

* - без подключения к Интернет и с актуальными угрозами 3-го типа (для ИСПДн)
** - в зависимости от уровня секретности

К сожалению, в информационном сообщении не приводится расклад по соответствию требований к СДЗ в классических АС. Поэтому в точности соответствия требованиям "РД АС" в этой таблице я не уверен, в случае появления дополнительной информации таблица будет уточнена.

Что касается сертификации средств защиты по новым требованиям, можно ожидать, что вендоры получать новые сертификаты уже к лету. Как и в "переходные" периоды после выхода требований к САВЗ и СОВ, до этого времени рекомендуется отложить ввод в эксплуатацию новых информационных систем и модернизацию старых, а в случае необходимости - использовать существующие решения, разработчики которых гарантируют скорейшее получение сертификатов соответствия.














Комментариев нет:

Отправить комментарий