Продукты
Защита виртуальных сред
Защита серверов и рабочих станций
Создание и проверка электронной подписи
Все продукты компании
Решения
Уважаемые коллеги! Компания «Код Безопасности» с 26.03 по 14.06 работает, но в удаленном режиме. Подробнее...
Центральный офис
+7 (495) 982-30-20
buy@securitycode.ru
Техническая поддержка
8 (800) 505-30-20
support@securitycode.ru
Платформа 152

Аппаратно-программный комплекс «Платформа 152»

Комплексное решение, предназначенное для реализации требований ФЗ 152 (17-й, 21-й приказы ФСТЭК России) в части обеспечения безопасности при автоматизированной обработке персональных данных в автоматизированных системах, на рабочих местах и серверах.

Решение состоит из набора модулей:


  • Программно-аппаратного комплекса "Соболь". Версия 4, M.2, сертификат ФСТЭК России
  • Модуля средства защиты информации Secret Net Studio 8

Модуль средства защиты информации Secret Net Studio 8

Решение для защиты рабочих станций и серверов на уровне данных, приложений, сети, операционной системы и периферийного оборудования

Защита системы

  • Межсетевое экранирование с авторизацией соединений

    Программная реализация механизма сетевого экранирования является альтернативой при отсутствии аппаратного межсетевого экрана внутри сетевого периметра.

    В дополнение к правилам разграничения доступа Secret Net Studio обеспечивает взаимную аутентификацию участников соединения, что позволяет избежать атак на «подмену» машин из внутренней сети.

  • Система обнаружения и предотвращения вторжений

    Обнаружение атак сигнатурными и эвристическими методами.

    Автоматическая блокировка атакующих хостов при обнаружении аномальных пакетов, сканировании портов, DoS-атаках и др.

    Автоматическая загрузка актуальной базы разрешающих правил через Сервер Обновлений.

    Проверка по базе вредоносных IP-адресов и фишинговых URL-адресов.

  • Контроль устройств

    Контроль подключения и отключения устройств.

    Secret Net Studio поддерживает широкий список контролируемых внешних устройств (веб-камеры, мобильные телефоны, 3G-модемы, сетевые карты, флэшки, принтеры и т.д.) и различные сценарии реагирования при их подключении или отключении от компьютера. Возможен сценарий блокировки рабочей станции при изменении аппаратной конфигурации.

  • Замкнутая программная среда

    Контроль запускаемых в системе приложений, создание «белых списков» (whitelisting).

    С помощью механизма достигается создание «статической», недоступной для внешних изменений и при этом постоянно контролируемой программной активности на рабочей станции.

    Поддерживается также блокировка исполнения скриптов и мобильного кода.

  • Антивирусная защита

    Защита от вредоносных исполняемых файлов на рабочих станциях и серверах с возможностью сканирования и запуска заданий как по расписанию, так и по требованию администратора/пользователя.

    Антивирусная защита осуществляется с использованием одной из трех технологий на выбор пользователя - ESET, Кода безопасности или Лаборатории Касперского.

  • Паспорт ПО

    Сбор и сортировка информации о находящемся на компьютере ПО, исполняемых модулях и библиотеках.

    Администратору Сервера Безопасности доступна автоматизированная проверка и поиск отличий между текущим и эталонным паспортами защищаемой станции, что позволяет определить следы несанкционированной активности в системе, а также установить факт использования нерегламентированного ПО пользователем (в том числе и portable-версий программ).

Защита данных

  • Дискреционный контроль доступа к информации

    Разграничение доступа пользователей к ресурсам на основе списков доступа субъектов (пользователей, групп) к конкретным объектам системы.

    Контроль доступа реализуется независимо от встроенных механизмов Windows, что повышает уровень безопасности.

  • Мандатный контроль доступа к информации

    Возможность определения различных уровней конфиденциальности и разграничения доступа к ресурсам системы на их основе.

    Применяется в механизмах:

    - контроль доступа в систему (сессии различных уровней конфиденциальности)
    - контроль доступа к файлам и директориям (как локально, так и в масштабе сети предприятия)
    - контроль устройств (возможность подключения/работы с ними при наличии прав определенного уровня)
    - контроль печати (возможность печати конфиденциальных документах исключительно на принтерах с соответствующей меткой)
    - контроль потоков (контроль отсутствия попадания информации из доверенного поля в недоверенное при работе с приложениями/документами)

    Метки конфиденциальности можно назначать на

    - файлы и директории
    - устройства

    Уровни конфиденциальности сессии могут быть сопоставимы с уровнем допуска сотрудников в организации. Таким образом, информация не может быть прочитана, изменена либо выведена из системы сотрудником, не обладающим правами соответствующего уровня.

  • Контроль печати

    При печати конфиденциальной информации документ автоматически маркируется, а факт его печати заносится в журнал безопасности.

    Состав маркера настраивается администратором. Возможно установить несколько маркеров одновременно (для документов различной категории секретности).

    Также есть возможность ограничить уровень конфиденциальности документов, доступных для печати на конкретном принтере в системе.

  • Шифрование контейнеров

    Данные на диске и других носителях могут храниться в защищенном контейнере.

    Фактически, контейнер - зашифрованная область информации на диске. Для пользователя он отображается как подключаемый локальный диск.

  • Контроль целостности данных

    Расчет контрольных хэш-сумм от данных и сравнение их с эталонным значением.

    Нарушения целостности могут свидетельствовать о компрометации не только измененной информации, но и системы в целом. В связи с этим, администратор на Сервере Безопасности получает информацию об угрозе при нарушении контроля целостности, и может оперативно начать расследование.

  • Затирание данных

    Гарантированное уничтожение данных.

    Применяется при необходимости удаления конфиденциальной информации без возможности последующего восстановления специализированными средствами. Есть возможность выбора количества циклов затирания данных.

  • Теневое копирование

    При копировании информации на съемные носители, а также отправки документов на печать, в защищенном хранилище автоматически создаются копии файлов.

    Применяется для анализа инцидентов и целей общего мониторинга.

Удобство и надежность

  • Доверенная среда

    «Доверенная среда» является реализацией принципа аппаратной виртуализации на одном из ядер процессора. Данный механизм позволяет контролировать целостность процессов Secret Net Studio в оперативной памяти, а также пресекать несанкционированное изменение любых типов драйверов в системе. С технической точки зрения в «Доверенной среде» реализован принцип одностороннего воздействия – механизм может контролировать процессы и драйвера внутри ОС, однако из самой Windows он «невидим» и, как следствие, недоступен для управления злоумышленниками изнутри системы.

  • Централизованное управление распределенной системой

    Управление парком машин организации осуществляется с Сервера Безопасности.

    Администратор данного сервера имеет возможность удаленно изменять групповые и индивидуальные настройки защиты пользователей, запускать синхронизированные по времени массовые обновления, а также получать оперативные уведомления об угрозах и сигналах защитных механизмов с подконтрольных ему рабочих станций.

    Администратор также может использовать Дашборды – набор графических интерфейсов для упрощения процесса мониторинга распределенной системы.

    Существует также возможность создания иерархии серверов безопасности, что особенно удобно при управлении защитой крупных распределенных организаций.

  • Шаблоны политик безопасности

    Использование шаблонов политик позволяет администратору удобно в автоматическом режиме настроить защитные механизмы на защищаемых компьютерах для приведения их в соответствие классу системы (ГИС, ИСПДн, объект КИИ РФ) и руководящим документам регуляторов (ФСТЭК России, ФСБ России).

    Помимо использования стандартных шаблонов Кода Безопасности, существует также возможность создания, изменения и централизованной рассылки собственных шаблонов внутри организации.

  • Генератор отчетов

    Автоматизированный сбор и классификация данных об установленном на защищаемых компьютерах ПО, состоянии и настройках защитных механизмов, а также об установленных в системе ПАК «Соболь» и зарегистрированных электронных идентификаторах.

    Инструмент применяется администратором безопасности для анализа инцидентов и мониторинга.

Соболь - сертифицированный аппаратно-программный модуль доверенной загрузки (АПМДЗ)

Назначение

Электронный замок «Соболь» может быть использован для того, чтобы:

  • доступ к информации на компьютере получили только те сотрудники, которые имеют на это право;
  • в случае повреждения ОС или важных информационных массивов, хранящихся на компьютере, администратор мог вовремя принять меры по восстановлению информации.

Принцип работы

Возможности

  • Контроль целостности файлов, реестра Windows и аппаратной конфигурации компьютера

    - Контроль неизменности файлов осуществляется до загрузки операционной системы. Для этого вычисляются контрольные значения для каждого из проверяемых объектов и сравниваются с ранее рассчитанными эталонными значениями. При нарушении целостности контролируемых файлов доступ в систему блокируется.
    - Контроль неизменности системного реестра Windows помогает констатировать факт компрометации операционной системы.
    - Контроль неизменности конфигурации компьютера включает в себя проверку PCI-устройств и SMBIOS.

  • Идентификация и аутентификация пользователей

    Для усиления защитных мер используется двухфакторная аутентификация пользователей с помощью идентификаторов:

    - iButton: DS1996, DS1995, DS1994, DS1993, DS1992
    - USB-ключи: Guardant IDnew, Рутокен Litenew, Рутокен S RF, Рутокен S, Рутокен ЭЦП 2.0, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, JaCarta SF/ГОСТ, eToken PRO, eToken PRO (Java)
    - Смарт-карты: Рутокен ЭЦП SCnew, Рутокен Litenew, JaCarta-2 ГОСТ, JaCarta-2 PKI/ГОСТ, eToken PRO, eToken PRO (Java), Персональная электронная карта (ПЭК)new

    Идентификаторы могут использоваться помимо авторизации до загрузки ОС и для других задач, например, хранения сертификатов для электронной подписи документов, хранения сертификатов для защищенного удаленного доступа с использованием ГОСТ и др.

  • Блокировка загрузки ОС со съемных носителей

    В момент включении питания компьютера замок «Соболь» перехватывает управление всеми устройствами ввода-вывода и блокирует попытки загрузки нештатной ОС.
    После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается.
    Запрет распространяется на всех пользователей компьютера, за исключением администратора.

  • Сторожевой таймер

    Блокировка доступа к компьютеру при условии, что после его включения и по истечении заданного интервала времени управление не передано ПАК «Соболь».

  • Ведение системного журнала событий безопасности

    Для помощи в расследовании инцидентов безопасности осуществляется ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти.
    В журнал записывается:

    - факт входа пользователя и имя пользователя;
    - предъявление незарегистрированного идентификатора;
    - ввод неправильного пароля;
    - превышение числа попыток входа в систему;
    - дата и время регистрация событий НСД.

  • Аппаратный датчик случайных чисел

    Предоставление случайных чисел прикладному ПО.

  • Интеграция с Secret Net Studio

    С помощью идентификатора, инициализированного и присвоенного в Secret Net Studio, можно обеспечить аутентификацию на уровне ПАК «Соболь». Средствами Secret Net Studio осуществляется централизованное управление электронными замками, централизованный сбор и архивирование журналов, а также управление подсистемой контроля целостности ПАК «Соболь».

Совместимость со средствами криптографической защиты информации

Комплекс использует аппаратную совместимость со средствами криптографической защиты информации (шифрования) в части генерации ключевой информации, формирования электронных подписей и других криптографических функций.

Комплекс является обязательным механизмом защиты при использовании средств криптографической защиты информации (шифрования) класса не ниже КС2.

Комплекс функционирует совместно с АПКШ "Континент", СКЗИ "Континент-АП", СЗИ Secret Net, СЗИ Secret Net LSP, СЗИ Secret Net Studio, СКЗИ "КриптоПро CSP", СКЗИ "Верба-OW", СКЗИ "Сигнатура", комплексом СКЗИ ViPNet и другими сертифицированными ФСБ средствами криптографической защиты информации.