Новости

Перевірка атестована робочих місць і трохи про сам ПО

  1. застосування
  2. проблеми
  3. Secret Net
  4. Страж NT
  5. Dallas Lock

Почнемо з самого простого, якщо місце атестовано, тобто проведені всі необхідні роботи, встановлено все необхідне ПО,

Почнемо з самого простого, якщо місце атестовано, тобто проведені всі необхідні роботи, встановлено все необхідне ПО,

буть то SecretNet або його аналоги, антивірус (сертифікований ФСТЕК), можливо додатково ще якийсь нибуть ПО, і компанія, яка проводила нам атестацію відзвітувала про виконану роботу, принесла акти на підпис і просить оплатити останній рахунок, не поспішаємо підписувати і оплачувати, та й взагалі з організаціями, які проводять атестацію робочих місць при сотруднічістве потрібно бути дуже уважними, не поспішає підписувати і оплачувати рахунки, ймовірність того, що ви просто оплатіть ту роботу, яка не була виконана і в підсумку одержите тож саме що у вас і було до атестації, починаємо перевіряти, звичайно краще запросити фахівця, хоча б здатного завантажиться з завантажувальної флешки, cd, здатного зняти жорсткий диск, і підключити його до іншого комп'ютера, в чому суть перевірки, після атестації робочого місця, сервера всі дані повинні зберігатися в захищеній області, тобто не маючи пароля, ключа (usb, таблетки) інформація просто не повинні бути доступна, кажучи інакше, якщо я завантажився з флешки, або cd я не повинен бачити інформацію на який атестований робочому місці, те ж саме відносить я і до сервера, інформація повинна бути захищена, не тільки на папері ну і практично, так як в разі витоку інформацию після перевірки бумежной документації перевірятимуть ПК і тут можливі сюрпризи, за які вже буде нести відповідальність Директор, завідувач тощо , за неуважність при прийманні робіт, так-же якщо ви зняли жорсткий диск з атестованого комп'ютера, і підключили його до будь-якого іншого ПК, інформація так-же повинна бути не доступна, максимум що ви повинні побачити, це не читабельну інформацію кореневого розділу жорсткого д ска, так як вона зашифрованістю.

PS Хоча фахівці з контори, яка проводить атестацію наполегливо наполягатимуть що вони все зробили, а то що ви перевіряєте (можливість завантаження зі знімних носіїв), що не зашифрована інформація, не входить в даний обсяг робіт, що наприклад нод32 (так як цей антивірус менш вимогливий до ресурсів) не має сертифікат ФСТЕК як фаєрвол, все це нісенітниця, виходить що сади і школи змушують платити гроші і не маленькі, просто для галочки. Я вважаю що якщо пройдена атестація, то як мінімум інформація повинна бути прихована, зашифрованістю, це суто моя думка

Є ще нюанси, які повинні бути дотриманні, але як показує практика, на них ніхто не звертає уваги до першої серйозної проблемми.

І трохи про самих засобах захисту:


Всі продукти приблизно рівні за характеристиками (особливо з появою у версії 7.7 Dallas Lock'а контролю USB-пристроїв), питання про застосування конкретного засобу вирішується або на основі можливості установки в цільову систему, або на основі рівня взаємовідносин з постачальниками.
Під можливістю установки я розумію відмінності архітектури СЗІ та вимоги до наявності апаратної частини. Наприклад, Dallas Lock (або Страж NT) перехоплюють управління комп'ютером на етапі завантаження, не дозволяючи запуститися операційній системі, поки користувач не введе пароль і не пред'явить ідентифікатор. Різниця в реалізації цього механізму - Страж NT для цього використовує PCI-плату розширення, яку необхідно встановити всередину ПК (в нових версіях це необов'язково, у версії 2.5 теж заявлялося, але не працювало було простіше скористатися іншим СЗІ). Відповідно, на ноутбук ставилося, наприклад, Dallas Lock - вся реалізація довіреної завантаження повністю программна.
Під рівнем взаємовідносин з постачальниками слід читати «можливий відсоток з перепродажу». Останнім часом вдається переконати начальство і в пунктах «якість техпідтримки», «зручність експлуатації».

застосування

Практично всі замовлення вимагають атестації локальних автоматизованих робочих місць (АРМ). Відповідно, мережеві версії захисного ПЗ рідко виходить помацати використовуються. В автономних же версіях все просто - фаворитом є Secret Net, за дуже зручну, просту і зрозумілу настройку - повне вбудовування в компоненти Windows (оснащення консолей), чітке розмежування доступу. На другому місці Страж NT - настройка складніша і механізм мандатної контролю доступу кілька неочевидний користувачам. Dallas Lock, щодо версії 7.5, використовувався вкрай рідко в слідстві відсутності контролю USB-пристроїв. З появою версії 7.7 ситуація зміниться - не в останню чергу через цінової політики.
В мережевому варіанті (відповідно, розглядаємо тільки Secret Net і Dallas Lock) ситуація протилежна. І менш проста. З одного боку, зручність налаштувань Secret Net'а нікуди не поділося. Та й вбудовування в Active Directory, робота через механізми ОС досить проста і зрозуміла. З іншого боку, всі можливості мережевої версії (конкретно Сервера Безпеки, за термінологією Secret Net) складаються в віддаленому зборі журналів, тоді як АРМ адміністратора безпеки в Dallas Lock дозволяє віддалене маніпулювання всіма настройками безпеки кожного підключеного клієнта. Найчастіше це є вирішальним фактором у виборі СЗІ. Одного разу мені довелося вислухати багато подиву і розчарування від адміністратора замовника, коли він побачив свою оновлену вотчину. На жаль, замовник зав'язаний на «Інформзащіте» і придбати продукт «конфідент» було неможливо.

проблеми

Багато помилок виникають просто через неуважність або нерозуміння принципів роботи конкретного СЗІ. Зрозуміло, що довідка / керівництво врятує батька російської демократії допоможе в вирішенні ситуації, однак найчастіше простіше викликати інтегратора системи захисту. Природно, проблема буде усунена - але втрачено час. Як замовника, так і інтегратора. Я хочу поділитися особистим досвідом, який можливо допоможе у вирішенні найбільш типових скарг користувача.
Почнемо.

Secret Net

Фаворит - він всюди фаворит
Багато проблем виникають через незнання практично фундаментального властивості встановленого СЗІ - все папки створюються в файлової системі завжди несекретними, а файли - з поточним рівнем секретності сесії, який можна перевірити у віконці:




Часто виникає проблема непрацездатності офісного пакету (Word, Excel). До слова, не варто забувати що з OpenOffice.org СЗІ не працює. Помилки можуть бути самими різними, але причина у всіх одна - були коректно налаштовані папки, необхідні для проведення службових операцій, по мандатної розмежування доступу. Повний список папок наведено в документації, а конкретні проблеми завжди можна діагностувати через журнал Secret Net - в журналі з'являється інформація про будь-які дії програми. При призначенні мандатних міток файлів і папок, слід пам'ятати що гриф папки повинен бути максимально допустимий для конкретного АРМ, так як Secret Net дозволяє зберігати в папках будь-які файли грифом не вище грифа папки. Відповідно, якщо запущений Microsoft Word в секретній сесії - для запису файлів автозбереження йому потрібен гриф «секретно» на певній папці.
Трапляються ситуації, коли проводиться установка ПО в режимі, відмінному від «не таємно». Звичайно, варто перелогініться і вибрати не секретну сесію, щоб все запрацювало:




У разі, коли на АРМ допустимо використовувати USB-флеш накопичувачі, буває неможливо скопіювати великі обсяги даних, розсортовані по папках. Тут все те ж саме - новостворена папка стала несекретной, а файли автоматом отримують поточний гриф. Якщо ж використовувати флешки заборонено, то при спробі підключення такої ПК блокується - за це відповідають виділені два параметра, виставлені в «жорсткий»:



Якщо користувачі безперервно скаржаться на повільну роботу комп'ютера, а в організації використовується антивірус Касперського, варто перевірити версію - часто версія 6.0.3 виявляється несвоместіма з SecretNet 5.x. Ось так гальма точно зникнуть:



І наостанок - невелика тонка настройка може сильно полегшити життя користувачам і зберегти їх нерви, якщо звернутися до гілки реєстру HKLM \ System \ CurrentControlSet \ Services \ SNMC5xx \ Params (для 5.х версій), де можна знайти два строкових параметра - MessageBoxSuppression (і другий -ByDir), де вказуються розширення файлів або папки, для яких не будуть виводитися діалогові вікна про підвищення категорії конфіденційності ресурсу.

Страж NT

Для цього СЗІ проблеми зустрічаються набагато рідше (як мінімум у наших клієнтів), що може говорити про більш доброзичливому до користувача механізму захисту.
Нерозуміння в разі даного ПЗ пов'язано з необхідністю вибору рівня секретності кожної програми окремо і неможливості делегувати будь-які права стандартному провіднику. Відповідно, якщо на АРМ є прописані USB-флеш диски і вони секретні, спроба відкрити їх провідником призведе до помилки доступу. Слід вибрати встановлений файловий менеджер, вибравши при запуску гриф допуску, відповідний секретності флешки.
Також, якщо при відкритті документа Word / Excel спочатку з'являється вікно вибору грифа секретності, а далі розгортається вікно відповідного редактора без запитаного документа - це нормально. Слід відкрити файл повторно, використовуючи вже саме офісний додаток.

Dallas Lock

Як і в разі Варта, помилок вкрай мало - не підходили паролі, пропадав параметр «категорія конфіденційності» з вікна логіна і помилка прив'язки електронного ідентифікатора.
Перша помилка пов'язана з можливим використанням двох паролів - для Dallas Lock'а і Windows можна встановити різні, в тому числі і випадково (наприклад, зміною пароля адміністратором). У подібному випадку можна після завантаження Привітання Windows ввести пароль Dallas Lock і натиснувши «ОК» в діалозі розбіжності пароля СЗІ і ОС, ввести пароль користувача Windows і відзначити галочку «Використовувати в Dallas Lock».
Друга пов'язана з прихованим за замовчуванням полем вибору грифа сеансу. Буває, користувачі забувають про це - а потім скаржаться, що не можуть потрапити навіть в папки з грифом ДСК.
Електронний ідентифікатор може не прив'язуватися, якщо цю операцію роблять для адміністратора, або якщо використовується токен не підходить за версією. Так, у версії 7.5 застосовні eToken 64k з драйвером eToken RTE. Давно доступний eToken PKI не підійде, так само як і eToken 72k Java, наприклад.

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: