Требования ФСТЭК к средствам доверенной загрузки

Аватар пользователя IvanBoytsov
Автор: Бойцов Иван, ООО "Код Безопасности"
(0)
()
Опубликовано в:

 

Прошу прощения у моих читателей за длительный перерыв в публикациях. Всё-таки формат блога мне не очень подходит, долгое время я не мог себя заставить сесть и написать хоть какой-нибудь пост. Короткие заметки не выглядят интересными для подписчиков, а длинные повествования уходят в виде статей на другие ресурсы. Но надо оправдывать доверие моей, хоть и не большой, но постоянной аудитории, поэтому сегодня я расскажу о новых требованиях ФСТЭК к средствам доверенной загрузки.
 

Тихо и не заметно прямо перед новым годом Минюст утвердил приказ ФСТЭК №119дсп от 27 сентября 2013 года, который устанавливает с 1 января 2014 года требования к средствам доверенной загрузки (СДЗ). 

Данные требования оформлены в стиле всех последних документов - общая описательная часть и профили защиты.

Устанавливаются три типа СДЗ:

  1. СДЗ уровня базовой системы ввода-вывода - предполагает наличие механизмов доверенной загрузки встроенных непосредственно в BIOS. Рынок уже давно предлагает такие решения, например, Kraftway Credo KC38 или ALTELL TRUST.
  2. СДЗ уровня платы расширения - это классические аппаратно-программные модули доверенной загрузки, самым известным в этом классе является, пожалуй, ПАК "Соболь".
  3. СДЗ уровня загрузочной записи - исключительно программные механизмы, заменяющие загрузочную запись жесткого диска и работающие до передачи управления операционной системы, широко применяются как встроенные средства в СЗИ от НСД.

Еще в процессе обсуждения проекта данных требований я ставил вопрос о включении отдельного типа для доверенной загрузки виртуальных машин, но было принято решение, что данный аспект будет регулироваться требованиями к защите виртуализации, а загрузка виртуальных машин не будет подпадать под требования использования отдельных СДЗ.

Как и в требованиях к САВЗ и СОВ, выделяются шесть классов защиты СДЗ и на каждый разработан отдельный профиль защиты для разных типов СДЗ. При этом СДЗ уровня загрузочной записи могут быть только 6 и 5 классов, а СДЗ других типов - только с 4 по 1. 

В четвер, 6 февраля, было выпущено информационное сообщение, поясняющее применение СДЗ в информационных системах разных типов и классов. Общая картина выглядит следующим образом:

 

Класс защиты СДЗ

6

5

4

3

2

1

ИСПДн

-

УЗ-4

УЗ-3*

УЗ-3

УЗ-2

УЗ-1

-

-

-

ГИС

-

К4

К3*

К3

К2

К1

-

-

-

АС

-

 

-

3А**

2А**

3А**

2А**

3А**

2А**

СДЗ уровня BIOS

-

-

+

+

+

+

СДЗ уровня платы расширения

-

-

+

+

+

+

СДЗ уровня загрузочной записи

+

+

-

-

-

-

* - без подключения к Интернет и с актуальными угрозами 3-го типа (для ИСПДн)

** - в зависимости от уровня секретности

К сожалению, в информационном сообщении не приводится расклад по соответствию требований к СДЗ в классических АС. Поэтому в точности соответствия требованиям "РД АС" в этой таблице я не уверен, в случае появления дополнительной информации таблица будет уточнена.

Что касается сертификации средств защиты по новым требованиям, можно ожидать, что вендоры получать новые сертификаты уже к лету. Как и в "переходные" периоды после выхода требований к САВЗ и СОВ, до этого времени рекомендуется отложить ввод в эксплуатацию новых информационных систем и модернизацию старых, а в случае необходимости - использовать существующие решения, разработчики которых гарантируют скорейшее получение сертификатов соответствия.

 

Оригинал статьи в блоге автора.

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.