Система защиты информации от НСД "Страж NT"
Система защиты информации от несанкционированного доступа Страж NТ (версия 4.0) представляет собой программный комплекс средств защиты информации с использованием аппаратных идентификаторов. СЗИ от НСД Страж NТ 4.0 предназначена для комплексной защиты информационных ресурсов от несанкционированного доступа. Данная система может применяться при разработке систем защиты информации для одно- и многопользовательских автоматизированных систем и информационных систем обработки персональных данных в соответствии с требованиями законодательства Российской Федерации. В реестре отечественного ПО.
Сертификат ФСТЭК России № 3553 подтверждает, что СЗИ от НСД Страж NТ (версия 4.0) является программным средством защиты информации от несанкционированного доступа и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации" по 3 классу защищённости, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля.
Функции защиты информации
- Двухфакторная аутентификация до загрузки операционной системы (в т. ч. и для виртуальной среды) с использованием аппаратных идентификаторов:
– USB-идентификаторов типа Guardant ID, Рутокен, eToken, JaCarta, ESMART Token;
– смарт-карт Рутокен, eToken, JaCarta, ESMART;
– iButton;
– дискета 3,5”. - Дискреционный принцип контроля доступа к ресурсам системы.
- Мандатный принцип контроля доступа к ресурсам системы, в том числе:
– возможность одновременной работы с документами разных грифов в одном сеансе (без смены сеанса пользователя);
– контроль именованных каналов. - Создание замкнутой программной среды пользователя, позволяющей ему запуск только разрешённых приложений.
- Регистрация событий безопасности, в том числе и действий администратора.
- Маркировка выдаваемых на печать документов независимо от печатающего их приложения.
- Гарантированная очистка:
– освобождаемой оперативной памяти;
– содержимого защищаемых файлов при их удалении;
– файла/(-ов) подкачки при завершении работы системы. - Контроль целостности защищаемых ресурсов системы и компонентов системы защиты информации.
- Управление пользователями.
- Управление носителями информации.
- Управление устройствами.
- Преобразование информации на отчуждаемых носителях.
- Тестирование системы защиты информации.
Основные отличия от предыдущих версий:
Поддержка новых ОС Microsoft до Windows 10 включительно:
- MS Windows 7 Home / Pro / Enterprise / Ultimate x86/x64;
- MS Windows 8.1 Core / Pro / Enterprise x86/x64;
- MS Windows 10 Home / Pro / Enterprise x86/x64;
- MS Windows 2008 Server R2 Standard / Essentials / Datacenter x64;
- MS Windows 2012 Server R2 Standard / Essentials / Datacenter x64.
Подсистема сетевого развёртывания:
Добавлена возможность установки системы защиты на удалённые компьютеры, находящиеся как в рабочей группе, так и в домене. Удалённая установка осуществляется с помощью специальной программы.
Поддержка терминальных сессий:
Добавлена поддержка защитных механизмов при подключении пользователей к терминальному серверу. Если на терминальном сервере установлена система защиты, при подключении пользователей к нему выполняется терминальная идентификация пользователей, т. е. запрашивается идентификатор и пароль пользователя.
Поддержка компьютеров с UEFI:
Реализована поддержка установки системы защиты на компьютеры с UEFI, в том числе и при разбиении системного жёсткого диска в стиле GPT.
Поддержка новых типов идентификаторов:
- гибкие магнитные диски 3,5";
- устройства iButton: DS 1993, DS 1995, DS 1996;
- USB-токены eToken Pro 32K и eToken Pro Java 72K, а также смарт-карты eToken Pro SC и eToken Pro Java SC при использовании USB смарт-карт ридера ASEDrive от компании Athena Smartcard Solutions;
- USB-токены Guardant ID;
- USB-токены Rutoken S;
- USB-токены eSmart, а также смарт-карты eSmart при использовании USB смарт-карт ридеров ACR38, ACR39 компании Advanced Card Systems;
- USB-флеш-накопители.
Отключаемая подсистема замкнутой программной среды:
Добавлена возможность отключения у пользователей подсистемы замкнутой программной среды. При отключении механизмов ЗПС пользователи могут беспрепятственно запускать на выполнение любые программы. При этом события запуска программ также заносятся в журнал событий.
Улучшенная подсистема настройки СЗИ с любого рабочего места:
Механизмы удалённой настройки и управления системой защиты были существенно оптимизированы и расширены. В новой версии СЗИ все настройки системы защиты могут быть выполнены с рабочего места администратора СЗИ.
Механизмы выборочного преобразования носителей информации:
Включение режима преобразования носителей информации добавлено как опция при учёте носителя информации. При использовании режима преобразовании информации носитель может быть прочитан только на компьютерах, система защиты которых устанавливалась с использованием одного и того же персонального идентификатора администратора системы защиты.
Расширенная система сценариев настроек:
Система сценариев настроек (бывшие шаблоны настроек) была существенно расширена в целях повышения автоматизации настройки сложных программных комплексов.
Гибкие механизмы настройки подсистемы регистрации событий:
Добавлена возможность максимально гибкого редактирования списка регистрируемых событий для администратора системы защиты.
Экспорт настроек СЗИ как по сети, так и через файл:
Реализованы механизмы переноса настроек системы защиты на автономные или удаленные компьютеры не только по сети, но и посредством файлов настроек.
Доработана подсистема мандатного разграничения доступа:
Количество меток конфиденциальности увеличено до четырёх. Дополнительно реализован механизм контроля именованных каналов. В состав утилит добавлена программа для просмотра текущего допуска процессов, не имеющих стандартного интерфейса.
Механизмы формирования отчетов о настройках СЗИ:
Добавлены возможности создания отчетов о настройках системы защиты. Отчёты могут содержать информацию о пользователях, их идентификаторах, о зарегистрированных носителях, о подключенных устройствах, о настройках защищаемых ресурсов.
Механизмы восстановления компьютера:
В Программу установки системы защиты добавлена функция сохранения специальной информации, необходимой при восстановлении компьютера в случае утери или поломки идентификатора администратора системы защиты. Восстановление осуществляется при помощи специально формируемого образа компакт-диска.
Автономные рабочие станции
АРМ – стандартная лицензия.
Аутентификация – 2-х факторная с использованием аппаратных идентификаторов (в том числе и для виртуальной среды):
- iButton DS-1992, DS-1993, DS-1995, DS-1996;
- ключи Guardant ID, Рутокен (модели: S, ЭЦП 2.0*, ЭЦП 2.0 Flash*, ЭЦП PKI*, Lite*), eToken PRO (Java), JaCarta PKI*, JaCarta-2 ГОСТ*, ESMART Token;
- -карты eToken PRO (Java), JaCarta PKI*, JaCarta-2 ГОСТ*, ПАК ESMART Token;
- флэш-накопители (только после выполнения установки СЗИ);
- дискета 3,5”.
* обновление СЗИ с поддержкой данных идентификаторов будет доступно после прохождения процедуры инспекционного контроля.
Поддержка ОС:
- Microsoft Windows 7 x86/x64;
- Microsoft Windows 8.1 x86/x64;
- Microsoft Windows 10 x86/x64.
Рабочие станции и серверы сети
АРМ – стандартная лицензия.
Сервер – стандартная лицензия.
Аутентификация – 2-х факторная с использованием аппаратных идентификаторов (см. Автономные рабочие станции).
Поддержка ОС:
- Microsoft Windows 7 x86/x64;
- Microsoft Windows 8.1 x86/x64;
- Microsoft Windows 10 x86/x64;
- Microsoft Windows Server 2008 R2;
- Microsoft Windows Server 2012 R2.
- Удаленная установка СЗИ – да.
Терминальное подключение
Вариант 1.
Клиент – стандартная лицензия.
Сервер – стандартная лицензия.
Аутентификация – 2-х факторная с использованием аппаратных идентификаторов (см. Автономные рабочие станции).
Вариант 2.
Клиент – СЗИ не установлена.
Сервер – стандартная лицензия + терминальная лицензия.
Аутентификация – без использования аппаратных идентификаторов.
Поддержка ОС (на сервере):
- Microsoft Windows Server 2008 R2;
- Microsoft Windows Server 2012 R2.
Сценарии настроек
Механизм сценариев настроек является развитием механизма шаблонов настройки, который использовался в предыдущей версии системы защиты информации. Помимо установки параметров безопасности на файловые объекты были добавлены новые возможности:
- создание файлов и папок;
- копирование файлов и папок;
- запуск приложений, в том числе и от имени других пользователей;
- установка параметров контроля целостности;
- создание пользователей и профилей пользователей;
- регистрация носителей информации;
- импорт в сценарии списка пользователей и носителей.
Таким образом, механизм сценариев настроек позволяет сформировать образ настроенного типового рабочего места, который впоследствии можно тиражировать на другие компьютеры.
Поддерживаемые операционные системы
- Microsoft Windows 7 Home x86/x64.
- Microsoft Windows 7 Pro x86/x64.
- Microsoft Windows 7 Enterprise x86/x64.
- Microsoft Windows 7 Ultimate x86/x64.
- Microsoft Windows 8.1 Core x86/x64.
- Microsoft Windows 8.1 Pro x86/x64.
- Microsoft Windows 8.1 Enterprise x86/x64.
- Microsoft Windows 10 Home x86/x64.
- Microsoft Windows 10 Pro x86/x64.
- Microsoft Windows 10 Enterprise x86/x64.
- Microsoft Windows Server 2008 R2 Standard x64.
- Microsoft Windows Server 2008 R2 Enterprise x64.
- Microsoft Windows Server 2008 R2 Datacenter x64.
- Microsoft Windows Server 2012 R2 Standard x64.
- Microsoft Windows Server 2012 R2 Essentials x64.
- Microsoft Windows Server 2012 R2 Datacenter x64.
Требования к компьютеру, на который устанавливается СЗИ
- Жёсткий диск компьютера, на котором установлена операционная система, должен иметь свободное пространство объёмом не менее 100 МБ.
- Тип файловой системы на жёстких дисках компьютера может быть любой, поддерживаемый операционной системой, например, FAT32 и/или NTFS.
- Для компьютеров с разбиением основного загрузочного жёсткого диска в стиле MBR он должен иметь не менее 63 секторов (32 256 байтов) перед началом первого раздела.
- При использовании USB-идентификаторов требуется наличие не менее 1 свободного USB-порта:
- для компьютеров с разбиением загрузочного диска в стиле MBR требуется наличие в системе USB-контроллера версии 2.0 или 1.1;
- поддержка USB-контроллеров версии 3.0 реализована только для компьютеров с разбиением загрузочного диска в стиле GPT.
- В операционной системе параметр "Текущий язык программ, не поддерживающих Юникод", должен быть установлен в значение "Русский (Россия)".
СЗИ от НСД Страж NТ (версия 4.0) может быть установлена как на компьютеры с BIOS, так и на компьютеры с UEFI, в том числе и при разбиении основного загрузочного жёсткого диска в стиле GPT.
- Сертификат ФСТЭК России № 3553 удостоверяет, что система защиты информации Страж NT (версия 4.0) является программным средством защиты от несанкционированного доступа к информации и соответствует требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищённости, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля. Сертификат ФСТЭК России № 3553 выдан 20 апреля 2016 года и действует до 20 апреля 2024 года.
- Сертификат совместимости СЗИ Страж NT (версия 4.0) с ключами и смарт-картами JaCarta.
- Сертификат совместимости СЗИ Страж NT (версия 4.0) с ключами Rutoken.
- Сертификат совместимости СЗИ Страж NT (версия 4.0) с ESMART Token.
- Сертификат совместимости СЗИ Страж NT (версия 4.0) с ПК в защищённом исполнении RAY (ICL).
- Сертификат совместимости СЗИ Страж NT (версия 4.0) с системой управления событиями информационной безопасности "КОМРАД".
Система защиты информации от несанкционированного доступа Страж NT включена в Единый реестр российских программ для электронных вычислительных машин и баз данных за регистрационным номером 3369.