Статья

Все для безопасности: доверенная загрузка «Аккорд» теперь в клиентских устройствах HP

Безопасность
мобильная версия
, Текст: Александр Бодрик

По мере перемещения инфраструктуры в облака на стороне заказчика все большее значение приобретают клиентские устройства. Десктопы, моноблоки, «тонкие» клиенты и ноутбуки становятся главной заботой ИБ с точки зрения контроля рисков и обеспечения соответствия нормативным требованиям (compliance). Идя в ногу с трендами, компания HP инвестировала в интеграцию и тестирование совместимости своих клиентских устройств с модулями доверенной загрузки от компании ОКБ САПР.

Большинство современных ИТ-специалистов выросло на трех основных форм-факторах клиентских устройств – mini, midi и maxi towers. Однако на данный момент эти форм-факторы постоянно трансформируются – в первую очередь, уменьшаются в размерах. Вычислительная мощность переместилась в корпоративные ЦОДы и облака, все большее распространение приобретают тонкие клиенты.

Рядовой пользователь теперь может просто унести стационарное клиентское устройство, компактные размеры которого позволят временно скрыть хищение и свободно пересечь линию СКУД. Граница между мобильными и стационарными клиентскими устройствами размылась, и теперь необходимо переосмыслить архитектурные подходы к созданию системы информационной безопасности в части инфраструктуры, в первую очередь, слоя доставки контента и приложений к пользователю.

Карта рисков

Современное клиентское устройство выступает в трех основных ипостасях: слой доступа к приложениям и контенту, локальное хранилище данных и локальная вычислительная мощность.

Слой доступа нуждается в нейтрализации трех угроз: кражи устройств, хищения или потери пароля, а также злоупотребления доступом авторизованных пользователей (инсайд). Для локального хранилища данных характерны свои угрозы: кража носителя информации или всего устройства, физический доступ неавторизованных пользователей к жесткому диску после завершения его использования (остаточные незатертые данные).

Локальная вычислительная мощность может быть источником юридических и репутационных рисков, если злоумышленник использует принадлежащее организации устройство для DDoS и хакерских атак, обработки и распространения запрещенного контента (экстремизм, порнография и др.).

Контроль безопасности

Клиентские устройства НР, поставляемые на все континенты и во все индустрии – от силовых структур до банков, – предлагают встроенные и оттестированные на совместимость механизмы противодействия практически каждой вышеупомянутой угрозе. На аппаратном уровне возможно выделить три блока контроля безопасности: два основных и один дополнительный.

Блок безопасности данных. Ключевыми инструментами контроля блока выступают самошифрующиеся жесткие диски (SED – Self-Encrypting Drives, стандарт OPAL), гарантирующие прозрачное полнодисковое шифрование, позволяющее распространить признанный способ защиты данных на всю организацию либо ее значимую часть – без необходимости закупки отдельного ПО для полнодискового шифрования (FDE, full disk encryption). Необходимо упомянуть и TPM (Trusted Platform Module) – безопасное хранилище криптоключей и паролей.

Дополнительно доступны возможность поставки без DVD-привода для ограничения вывода информации, возможность поставки с предварительно установленными образами сертифицированной ФСТЭК ОС (дистрибутивы Linuх) и затирание жесткого диска (перезапись вплоть до 24 раз) для его безопасной утилизации и соответствия стандартам по защите данных (эта функция, как и другие функции безопасности и клиентские устройства в целом, используется в т.ч. в самой HP Inc.).

«Есть всего несколько способов организации правильного старта компьютера, то есть такого, который создает предпосылки для дальнейшей безопасной работы: доверенная загрузка ОС, доверенный сеанс связи, а также использование компьютеров, архитектурно защищенных от несанкционированных изменений.
Если вы используете компьютер, построенный не на «новой гарвардской архитектуре», и для вашего способа работы не подходит метод доверенного сеанса связи (то есть организация доверенной среды на короткие периоды выполнения критических к безопасности задач), то доверенная загрузка – это единственная возможность построить свою систему так, чтобы сохранить бизнес и не нарушать нормативных методических и законодательных требований».
Светлана Конявская, зам. гендиректора ОКБ САПР, к.ф.н., преподаватель кафедры «Защита информации» МФТИ («ФизТех»).

Блок антивандальности и контроля целостности – электромагнитный соленоидный замок панели доступа к компонентам, датчик вскрытия HUD, что отчитывается по статусу в ПО управления рабочими станциями (MS SCCM etc), скобы безопасности или замок Кенсингтона и интеграция с АМДЗ «Аккорд» – обеспечение доверенной загрузки, отсутствие несанкционированных изменений перед загрузкой ОС.

Дополнительный блок безопасности доступа и аутентификации – датчик дактилоскопической биометрической идентификации («палец»), сканер сетчатки глаза, распознавание лица (через видеокамеру) и даже двойная биометрическая аутентификация – «сетчатка глаза плюс палец». Блок доступен для моноблоков и ноутбуков в специальных комплектациях, ориентированных на обеспечение максимального уровня безопасности.

Закон велит

Среди многообразия подлежащих защите тайн в российском законодательстве можно выделить 3 наиболее значимые области защиты. Это информационные системы персональных данных, информация, не составляющая государственную тайну, содержащаяся в государственных информационных системах (ГИС), и государственная тайна.

Таким образом возможно идентифицировать три основные типа организаций, в обязанность которым вменяется защита конфиденциальной информации - операторы персональных данных, операторы ГИС и организации, обрабатывающие государственную тайну. Во всех трех случаях в целях технической защиты конфиденциальной информации (ТЗКИ) необходимо использовать средства защиты, прошедшие оценку соответствия согласно федеральному закону (ФЗ-184 «О техническом регулировании»).

На практике юридические службы организаций часто рекомендуют под оценкой соответствия понимать сертификацию средств защиты информации. А значит, возникает юридическая необходимость использования сертифицированных ФСТЭК России (регулятор в сфере ТЗКИ) средств защиты информации. В первую очередь – антивирусной защиты, межсетевого экранирования, средств защиты информации (СЗИ) от НСД и обеспечения доверенной загрузки, таких как один из лидеров рынка СЗИ от НСД – «Аккорд».

Использование средств доверенной загрузки и защиты от НСД является де факто стандартом в ряде чувствительных к утечкам информации и сильно регулируемых отраслей – атомной, военно-промышленном комплексе, силовых структурах, органах государственного управления и организациях банковской сферы (в особо критичных сетевых сегментах).

Интеграция в жизненный цикл

При проектировании устройств учитывается необходимость разъема для подключения Аккордов. Перед выпуском устройств на чешском заводе НР предсерийные образцы поступают в распоряжение партнера НР – «ОКБ САПР», которое производит тестирование совместимости со всеми форм-факторами собственных СЗИ и выдает сертификаты совместимости на все типы устройств.

Экономика безопасности

Экономика обеспечения безопасности для определенных индустрий (атомная, силовые структуры, НИИ) проста – отсутствие инвестиций в информационную безопасность автоматически ставит крест на будущем организации либо ее менеджмента.

Для более конкурентных индустрий дело обстоит сложнее, но для крупной известной организации любая, даже самая малозначительная утечка либо нарушение требований по защите данных клиентов, данных принадлежащих государству, может привести к широкому набору политических, репутационных и финансовых рисков как для организации в целом, так и для ее менеджмента. Особенно, учитывая тренд последних 2-х лет, когда СМИ чаще стали писать об информационной безопасности в целом и об инцидентах информационной безопасности в конкретных корпорациях.

Палитра стратегий безопасности

Теперь заказчики НР могут быть уверены не только в богатом наборе инструментов контроля безопасности в клиентских устройствах, но и в возможности приобрести гарантированно работоспособный и работающий комплекс из клиентского устройства и аппаратного СЗИ отечественного производства от ОКБ САПР.

Клиенты, модель угроз которых не включает нарушителей, что могут повлиять на устройства до их поставки на предприятие, и юридические службы которых обосновали правовую позицию, об отсутствии необходимости использования сертифицированных средств защиты могут обойтись богатым набором встроенных в клиентские устройства НР контролей безопасности. Более детальную информацию о стратегиях безопасности разных индустрий можно получить либо от своего менеджера в НР, либо посетив мероприятия НР – бизнес-завтрак, где демонстрируется, как все работает (НР плюс «Аккорд»), а также на конференции HP Energizer.