В Федеральном законе Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных» сказано: «Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий». В данной работе рассмотрим, каким образом для решения этих задач может быть использована Система защиты данных (СЗД) «Панцирь» для ОС Windows 2000/XP/2003, которая может использоваться и как самостоятельнтое средство защиты, и в составе Комплексной системы защиты информации (КСЗИ) «Панцирь-К» для ОС Windows 2000/XP/2003 (разработка ЗАО «НПП «Информационные технологии в бизнесе», сертификат ФСТЭК №1144 от 17.01.2006).
А.Ю. Щеглов Возможности системы защиты данных Назначение и состав системы
Система предназначена для защиты конфиденциальных и персональных данных, обрабатываемых на автономных компьютерах и на компьютерах в составе корпоративной сети; сохраняемых на локальных и удаленных (разделенных в сети) жестких дисках и внешних устройствах, передаваемых по сети при доступе к удаленным (разделенным) ресурсам. Система реализована программно, содержит в своем составе системный драйвер и интерфейсный модуль.
Все возможности защиты, предоставляемые СЗД, реализованы собственными средствами СЗД (не использованы встроенные механизмы ОС).
- Основные механизмы защиты данных
СЗД реализует шифрование данных «на лету», автоматическое гарантированное удаление остаточной информации, разграничение прав доступа к защищаемым объектам, скрытие защищаемых объектов файловой системы.
- Основное отличительное свойство системы
Защищаемыми объектами являются любые (назначаемые администратором) файловые объекты – логические диски, каталоги, подкаталоги, файлы (для задания объектов может использоваться механизм масок), как на жестком диске, так и на внешних носителях, как локальные, так и удаленные (разделенные в сети).
- Возможности основных механизмов защиты:
Бомж попросил дать сыграть на гитаре
- Шифрование данных «на лету». В СЗД реализовано автоматическое «на лету» («прозрачное» для пользователя) шифрование/расшифрование данных при их сохранении в локальный или удаленный файловый объект на жестком диске или на внешнем носителе. При сохранении в удаленный файловый объект, данные по каналу передаются в зашифрованном виде виде. Поддерживаются файловые системы NTFS, FAT32 или FAT16, алгоритмы кодирования: XOR, GOST, DES, AES. Обеспечивается подключение криптопровайдера «Signal-COM CSP» (сертифицирован ФАПСИ по требованиям безопасности информации к классам «КС1» и «КC2» — сертификаты соответствия №СФ/114-0604, №.СФ/124-0605 от 21.04.03), разработчик ЗАО «Сигнал КОМ», и СКЗИ «КриптоПро CSP версия 3.0» (сертифицирован ФСБ РФ по требованиям безопасности информации к классам «КС1» и «КC2» — сертификат соответствия № СФ/124-0810 от 12.09.05), разработчик ООО «КриптоПро», при этом СЗД обеспечивает шифрование и расшифрование «на лету» данных в соответствии с российским криптографическим алгоритмом ГОСТ 28147-89. Поддерживаются различные политики генерации, ввода и хранения ключевой информации. Ключ присваивается объекту «группа», в который включаются защищаемые файловые объекты. Число создаваемых групп и файловых объектов в группе на одном компьютере не ограничено. Ключ может задаваться парольной фразой (не менее 6 символов), из которой затем генерируется автоматически (для идентификации группы парольная фраза вводится с консоли). Также ключ может задаваться полностью: вручную (из файла), системой автоматически, генерироваться посредством движений мыши. Для хранения ключевой информации может использоваться электронный ключ e-Token (Aladdin eToken R2) или ruToken, смарт карта (Aladdin eToken PRO Smart Card 32K), либо файловый объект (локальный, либо удаленный – в сети может быть реализован ключевой сервер, причем вся ключевая информация передается по каналу в закодированном виде), задаваемый его полнопутевым именем, что позволяет хранить ключевую информацию на внешних носителях, в частности, на устройстве Flash-памяти, причем на одном устройстве может храниться необходимое количество ключей, устройство при этом может использоваться по своему прямому назначению. Для идентификации группы (для получения доступа к файловому объекту в группе), системе необходимо единожды считать значение ключа в оперативную память, после чего, ключ может быть удален из системы.
