Система защиты информации от НСД "Страж NT"

Сертификат ФСТЭК России № 3553 подтверждает, что СЗИ от НСД Страж NТ (версия 4.0) является программным средством защиты информации от несанкционированного доступа и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации" по 3 классу защищённости, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.

Функции защиты информации

• Двухфакторная аутентификация до загрузки операционной системы (в т. ч. и для виртуальной среды) с использованием аппаратных идентификаторов:
  –  USB-идентификаторов типа Guardant ID, Рутокен, eToken, JaCarta, ESMART Token;
  –  смарт-карт Рутокен, eToken, JaCarta, ESMART;
  –  iButton;
  –  дискета 3,5”.
• Дискреционный принцип контроля доступа к ресурсам системы.
• Мандатный принцип контроля доступа к ресурсам системы, в том числе:
  –  возможность одновременной работы с документами разных грифов в одном сеансе (без смены сеанса пользователя);
  –  контроль именованных каналов.
• Создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешённых приложений.
• Регистрация событий безопасности, в том числе и действий администратора.
• Маркировка выдаваемых на печать документов независимо от печатающего их приложения.
• Гарантированная очистка:
  –  освобождаемой оперативной памяти;
  –  содержимого защищаемых файлов при их удалении;
  –  файла/(-ов) подкачки при завершении работы системы.
• Контроль целостности защищаемых ресурсов системы и компонентов системы защиты информации.
• Управление пользователями.
• Управление носителями информации.
• Управление устройствами.
• Преобразование информации на отчуждаемых носителях.
• Тестирование системы защиты информации.

Основные отличия от предыдущих версий:

Поддержка новых ОС Microsoft до Windows 10 включительно:

• MS Windows 7 Home / Pro / Enterprise / Ultimate x86/x64;
• MS Windows 8.1 Core / Pro / Enterprise x86/x64;
• MS Windows 10 Home / Pro / Enterprise x86/x64;
• MS Windows 2008 Server R2 Standard / Essentials / Datacenter x64;
• MS Windows 2012 Server R2 Standard / Essentials / Datacenter x64.

Подсистема сетевого развёртывания:
Добавлена возможность установки системы защиты на удалённые компьютеры, находящиеся как в рабочей группе, так и в домене. Удалённая установка осуществляется с помощью специальной программы.

Поддержка терминальных сессий:
Добавлена поддержка защитных механизмов при подключении пользователей к терминальному серверу. Если на терминальном сервере установлена система защиты, при подключении пользователей к нему выполняется терминальная идентификация пользователей, т. е. запрашивается идентификатор и пароль пользователя.

Поддержка компьютеров с UEFI:
Реализована поддержка установки системы защиты на компьютеры с UEFI, в том числе и при разбиении системного жёсткого диска в стиле GPT.

Поддержка новых типов идентификаторов:

• гибкие магнитные диски 3,5";
• устройства iButton: DS 1993, DS 1995, DS 1996;
• USB-токены eToken Pro 32K и eToken Pro Java 72K, а также смарт-карты eToken Pro SC и eToken Pro Java SC при использовании USB смарт-карт ридера ASEDrive от компании Athena Smartcard Solutions;
• USB-токены Guardant ID;
• USB-токены Rutoken S;
• USB-токены eSmart, а также смарт-карты eSmart при использовании USB смарт-карт ридеров ACR38, ACR39 компании Advanced Card Systems;
• USB-флеш-накопители.

Отключаемая подсистема замкнутой программной среды:
Добавлена возможность отключения у пользователей подсистемы замкнутой программной среды. При отключении механизмов ЗПС пользователи могут беспрепятственно запускать на выполнение любые программы. При этом события запуска программ также заносятся в журнал событий.

Улучшенная подсистема настройки СЗИ с любого рабочего места:
Механизмы удалённой настройки и управления системой защиты были существенно оптимизированы и расширены. В новой версии СЗИ все настройки системы защиты могут быть выполнены с рабочего места администратора СЗИ.

Механизмы выборочного преобразования носителей информации:
Включение режима преобразования носителей информации добавлено как опция при учёте носителя информации. При использовании режима преобразовании информации носитель может быть прочитан только на компьютерах, система защиты которых устанавливалась с использованием одного и того же персонального идентификатора администратора системы защиты.

Расширенная система сценариев настроек:
Система сценариев настроек (бывшие шаблоны настроек) была существенно расширена в целях повышения автоматизации настройки сложных программных комплексов.

Гибкие механизмы настройки подсистемы регистрации событий:
Добавлена возможность максимально гибкого редактирования списка регистрируемых событий для администратора системы защиты.

Экспорт настроек СЗИ как по сети, так и через файл:
Реализованы механизмы переноса настроек системы защиты на автономные или удаленные компьютеры не только по сети, но и посредством файлов настроек.

Доработана подсистема мандатного разграничения доступа:
Количество меток конфиденциальности увеличено до четырёх. Дополнительно реализован механизм контроля именованных каналов. В состав утилит добавлена программа для просмотра текущего допуска процессов, не имеющих стандартного интерфейса.

Механизмы формирования отчетов о настройках СЗИ:
Добавлены возможности создания отчетов о настройках системы защиты. Отчёты могут содержать информацию о пользователях, их идентификаторах, о зарегистрированных носителях, о подключенных устройствах, о настройках защищаемых ресурсов.

Механизмы восстановления компьютера:
В Программу установки системы защиты добавлена функция сохранения специальной информации, необходимой при восстановлении компьютера в случае утери или поломки идентификатора администратора системы защиты. Восстановление осуществляется при помощи специально формируемого образа компакт-диска.

Автономные рабочие станции

АРМ – стандартная лицензия.

Аутентификация – 2-х факторная с использованием аппаратных идентификаторов (в том числе и для виртуальной среды):

• iButton DS-1992, DS-1993, DS-1995, DS-1996;
• ключи Guardant ID, Рутокен (модели: S, ЭЦП 2.0*, ЭЦП 2.0 Flash*, ЭЦП PKI*, Lite*), eToken PRO (Java), JaCarta PKI*, JaCarta-2 ГОСТ*, ESMART Token;
• -карты eToken PRO (Java), JaCarta PKI*, JaCarta-2 ГОСТ*, ПАК ESMART Token;
• флэш-накопители (только после выполнения установки СЗИ);
• дискета 3,5”.

* обновление СЗИ с поддержкой данных идентификаторов будет доступно после прохождения процедуры инспекционного контроля.

Поддержка ОС:

• Microsoft Windows 7 x86/x64;
• Microsoft Windows 8.1 x86/x64;
• Microsoft Windows 10 x86/x64.

Рабочие станции и серверы сети

АРМ – стандартная лицензия.

Сервер – стандартная лицензия.

Аутентификация – 2-х факторная с использованием аппаратных идентификаторов (см. Автономные рабочие станции).

Поддержка ОС:

• Microsoft Windows 7 x86/x64;
• Microsoft Windows 8.1 x86/x64;
• Microsoft Windows 10 x86/x64;
• Microsoft Windows Server 2008 R2;
• Microsoft Windows Server 2012 R2.
• Удаленная установка СЗИ – да.

Терминальное подключение

Вариант 1.

Клиент – стандартная лицензия.

Сервер – стандартная лицензия.

Аутентификация – 2-х факторная с использованием аппаратных идентификаторов (см. Автономные рабочие станции).

Вариант 2.

Клиент – СЗИ не установлена.

Сервер – стандартная лицензия + терминальная лицензия.

Аутентификация – без использования аппаратных идентификаторов.

Поддержка ОС (на сервере):

• Microsoft Windows Server 2008 R2;
• Microsoft Windows Server 2012 R2.

Сценарии настроек

Механизм сценариев настроек является развитием механизма шаблонов настройки, который использовался в предыдущей версии системы защиты информации. Помимо установки параметров безопасности на файловые объекты были добавлены новые возможности:

• создание файлов и папок;
• копирование файлов и папок;
• запуск приложений, в том числе и от имени других пользователей;
• установка параметров контроля целостности;
• создание пользователей и профилей пользователей;
• регистрация носителей информации;
• импорт в сценарии списка пользователей и носителей.

Таким образом, механизм сценариев настроек позволяет сформировать образ настроенного типового рабочего места, который впоследствии можно тиражировать на другие компьютеры.

Поддерживаемые операционные системы

• Microsoft Windows 7 Home x86/x64.
• Microsoft Windows 7 Pro x86/x64.
• Microsoft Windows 7 Enterprise x86/x64.
• Microsoft Windows 7 Ultimate x86/x64.
• Microsoft Windows 8.1 Core x86/x64.
• Microsoft Windows 8.1 Pro x86/x64.
• Microsoft Windows 8.1 Enterprise x86/x64.
• Microsoft Windows 10 Home x86/x64.
• Microsoft Windows 10 Pro x86/x64.
• Microsoft Windows 10 Enterprise x86/x64.
• Microsoft Windows Server 2008 R2 Standard x64.
• Microsoft Windows Server 2008 R2 Enterprise x64.
• Microsoft Windows Server 2008 R2 Datacenter x64.
• Microsoft Windows Server 2012 R2 Standard x64.
• Microsoft Windows Server 2012 R2 Essentials x64.
• Microsoft Windows Server 2012 R2 Datacenter x64.

Требования к компьютеру, на который устанавливается СЗИ

• Жёсткий диск компьютера, на котором установлена операционная система, должен иметь свободное пространство объёмом не менее 100 МБ.
• Тип файловой системы на жёстких дисках компьютера может быть любой, поддерживаемый операционной системой, например, FAT32 и/или NTFS.
• Для компьютеров с разбиением основного загрузочного жёсткого диска в стиле MBR он должен иметь не менее 63 секторов (32 256 байтов) перед началом первого раздела.
• При использовании USB-идентификаторов требуется наличие не менее 1 свободного USB-порта:
  • для компьютеров с разбиением загрузочного диска в стиле MBR требуется наличие в системе USB-контроллера версии 2.0 или 1.1;
  • поддержка USB-контроллеров версии 3.0 реализована только для компьютеров с разбиением загрузочного диска в стиле GPT.
• В операционной системе параметр "Текущий язык программ, не поддерживающих Юникод", должен быть установлен в значение "Русский (Россия)".

СЗИ от НСД Страж NТ (версия 4.0) может быть установлена как на компьютеры с BIOS, так и на компьютеры с UEFI, в том числе и при разбиении основного загрузочного жёсткого диска в стиле GPT.

• Сертификат ФСТЭК России № 3553 удостоверяет, что система защиты информации Страж NT (версия 4.0) является программным средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищённости, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля. Сертификат ФСТЭК России № 3553 выдан 20 апреля 2016 года и действует до 20 апреля 2024 года.
• Сертификат совместимости СЗИ Страж NT (версия 4.0) с ключами и смарт-картами JaCarta.
• Сертификат совместимости СЗИ Страж NT (версия 4.0) с ключами Rutoken.
• Сертификат совместимости СЗИ Страж NT (версия 4.0) с ESMART Token.
• Сертификат совместимости СЗИ Страж NT (версия 4.0) с ПК в защищённом исполнении RAY (ICL).
• Сертификат совместимости СЗИ Страж NT (версия 4.0) с системой управления событиями информационной безопасности "КОМРАД".

Система защиты информации от несанкционированного доступа Страж NT включена в Единый реестр российских программ для электронных вычислительных машин и баз данных за регистрационным номером 3369.