Разработка и сравнительный анализ вариантов реализации системы защиты персональных данных.
На основе результатов работ будет принято решение о необходимости, варианте и порядке реализации системы защиты персональных данных для информационной системы персональных данных.
безопасность биометрический информационный предприятие
3.2Организационные мероприятия по защите ПДн в ИСПДн СКУД ОАО «Марийский машиностроительный завод»
В первую очередь необходима разработка организационных мер защиты информации. При отсутствии надлежащей организации работы, отсутствии системы контроля и надзора за деятельностью сотрудников, все технические средства могут оказаться бессмысленными.
С одной стороны, организационные мероприятия должны быть направлены на обеспечение правильности функционирования механизмов защиты, и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.
К организационным мерам можно отнести такие, как:
идентификация пользователей ИС по паролю;
регистрация входа \ выхода пользователей в ИС;
разграничение доступа пользователей к средствам защиты и информационным ресурсам в соответствии с матрицей доступа;
учет всех материальных носителей информации, регистрация их выдачи;
физическая охрана ИСПДн, контроль доступа в помещение;
блокирование терминалов пользователей;
очистка освобождаемых областей оперативной памяти компьютера и внешних накопителей;
регистрация фактов распечатки документов с указанием даты, времени и имени пользователя;
наличие администратора (службы) безопасности, ответственных за ведение, нормальное функционирование и контроль работы средств защиты информации.
Также, к организационным мерам можно отнести отдельные мероприятия на стадии проектирования ИСПДн:
разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;
определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн;
разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно распорядительной документации по защите информации (приказов, инструкций и других документов).
В организации должны быть разработаны такие документы, как:
положение о работе с персональными данными;
инструкция администратора безопасности;
инструкция пользователя ИСПДн;
положение о парольной защите;
положение об антивирусной защите;
регламент проведения проверок безопасности ИСПДн;
порядок учета и регистрации магнитных носителей информации.
В Положении о работе с персональными данными отражается (Приложение №8):
порядок получения, обработки, использования и хранения персональных данных;
порядок передачи персональных данных третьим лицом;
гарантии конфиденциальности персональных данных.
В инструкции администратора безопасности устанавливаются:
правовая основа деятельности администратора;
требования к уровню его знаний, квалификации и опыту;
перечень вверенного ему оборудования и порядок доступа к нему;
перечень и периодичность плановых мероприятий по контролю осуществления надлежащего функционирования системы защиты ИСПДн;
полномочия администратора по контролю за деятельностью пользователей ИСПДн, в частности, разработка и внедрение системы паролей доступа пользователей, организация разграничения доступа пользователей к техническим средствам защиты ИСПДн и информационным ресурсам ИСПДн, выявление допущенных пользователями нарушений инструкций и приостановление / прекращение их доступа в ИСПДн;
ответственность за допущенные нарушения.
В инструкции пользователя ИСПДн указываются:
требования к уровню владения техническими средствами обработки информации;
полномочия доступа к техническим средствам защиты информации;
полномочия доступа к информационным ресурсам, периферийным устройствам, материальным носителям информации;
обязанности по соблюдению правил антивирусной защиты ИСПДн;
ответственность за несоблюдение установленных правил работы в ИСПДн.
Такие документы, как положение о парольной защите, положение об антивирусной защите и регламент проведения проверок безопасности ИСПДн носят технический характер и составляются в соответствии необходимым уровнем обеспечения безопасности ИСПДн, обусловленного ее классом.
3.3Физические мероприятия по защите информации в ИСПДн
Физические меры защиты - различные механические, электро- или электронно-механические устройства, предназначение для создания физических препятствий на путях проникновения потенциальных нарушителей к защищаемой информации, а также техника визуального наблюдения, связи и охранной сигнализации.
Защита серверов
Физическая безопасность серверов - это очевидный, но в тоже время очень важный аспект безопасности, поскольку физическая незащищенность сервера ведет к большому риску, который может выразиться в неавторизованном доступе к нему и его порче, что повлияет на целостность сервера, всей сети и ее ресурсов.
В первую очередь надо подготовить помещение, где будут стоять серверы. Обязательное правило: сервер должен находиться в отдельной комнате, доступ в которую имеет строго ограниченный круг лиц. На окнах обязательно должны быть жалюзи. Расположение помещения внутри здания также является важной частью защиты. Доступ в данное помещение осуществляется, конечно же, через дверь, она должна быть единственной, в том понимании, что через нее должен осуществляться единственный доступ в комнату. Дверь должна быть надежно укреплена, оборудована кодовыми замками, рассчитана на преднамеренные попытки взлома, а с другой стороны являться неприметной для злоумышленника, существенно не отличаясь от остальных дверей.
Всё оборудование в серверной должно быть размещено в закрытых шкафах или на открытых стойках, число которых определяется исходя из имеющегося оборудования, его типоразмеров и способов монтажа. Закрытые шкафы позволяют организовать дополнительные ограничения доступа к оборудованию с использованием подсистемы контроля доступа. Однако такие шкафы требуют обеспечения необходимого температурного режима, для чего применяются дополнительные вентиляторы, встраиваемые системы охлаждения и модули отвода горячего воздуха. При распределении оборудования по шкафам или стойкам следует учитывать его совместимость, а также распределение мощности, габариты, массу и оптимальность проведения коммуникаций.
Разумным шагом станет отключение неиспользуемых дисководов, параллельных и последовательных портов сервера. Его корпус желательно опечатать. Все это осложнит кражу или подмену информации даже в том случае, если злоумышленник каким-то образом проникнет в серверную комнату. Не стоит пренебрегать и такими тривиальными мерами защиты, как железные решетки и двери, кодовые замки и камеры видеонаблюдения, которые будут постоянно вести запись всего, что происходит в ключевых помещениях офиса.
Защита помещений
Основным моментом физической защиты является доступность в помещение, в котором находится оборудование, способное помочь проникнуть в сеть.
Для защиты от прямого доступа к оборудованию применяются стандартные методы защиты имущества. А именно, установление соответствующей системы безопасности, включающей в себя замки, сигнализацию, квалифицированную охрану, имеющую доступ только до внешнего периметра комнат. То есть не имеющая прямого доступа к оборудованию, которое охраняет.
В помещениях с рабочими компьютерами высокий уровень защиты, необходимый для серверных комнат, не требуется. Поэтому для них используют немного другие методы. Первым делом необходимо препятствовать проникновению посторонних лиц на территорию компании без необходимости. Методом противодействия может служить сопровождение человека от вахты до того места, куда он направляется и обратно. Также следует опасаться стажеров и людей, приходящих на собеседование в компанию. На окнах обязательно должны быть жалюзи. На двери необходимо установить кодовые замки. Ключи от помещении с рабочими компьютерами должны выдаваться сотрудникам, согласно утвержденному списку. Данные помещения не должны оставаться незапертыми при отсутствии в них сотрудников даже на короткое время.
На системных блоках АРМ проходных и корпусов должны быть отключены все дисководы, параллельные и последовательные порты, корпусы опечатаны.
Защита электронных архивов
Методом защиты целостности информации, на случай взлома, является создание архивной копии. Частота создания архивной копии определяется важностью и объемами поступления новой информации. Но в любом случае, методы защиты архивной копии должны не уступать методам защиты основного источника информации.
Важное правило: резервные копии нельзя хранить в одном помещении с сервером. Часто об этом забывают и в результате, защитившись от информационных атак, фирмы оказываются беззащитными даже перед небольшим пожаром, в котором предусмотрительно сделанные копии гибнут вместе с сервером.
Защита компьютеров от неполадок в электросети
Сейчас, в начале нового века, как и во времена появления лампочки Ильича, главной особенностью сетей электроснабжения является невозможность обеспечения их надежной и стабильной работы.
Поддерживать стандартные параметры напряжения, частоты, высокочастотных шумов и т.д. не удается по многим причинам. Эта проблема актуальна и для самых развитых стран. Развитие энергетики не успевает за развитием других отраслей промышленности и энергопотреблением. Непредсказуемые всплески и падения напряжения во время включения и выключения мощных потребителей, удары молний, различные аварии - все это приводит к выходу из строя компьютерной и другой чувствительной техники. По сообщениям специалистов IBM, в среднем бывает до 120 нарушений электроснабжения в месяц. Ни для кого не секрет, что качество современных силовых сетей далеко от идеального. Даже если нет никаких внешних признаков аномалий, очень часто напряжение в электросети выше или ниже нормы. Нарушения в системе электроснабжения могут нанести ущерб, нанесенный, например, банковской сети или сети научного учреждения, даже трудно подсчитать. Дело не в стоимости оборудования, а в потере ценнейших данных. Для борьбы с этими проблемами разработано специальное оборудование. Поэтому необходимо для каждого компьютера использовать источник бесперебойного питания.
Защита кабельной системы сети
Часто, даже защитив серверы, забывают, что в защите нуждаются и всевозможные провода - кабельная система сети. Причем, нередко приходится опасаться не злоумышленников, а самых обыкновенных уборщиц, которые заслуженно считаются самыми страшными врагами локальных сетей. Лучший вариант защиты кабеля - это короба, но, в принципе, подойдет любой другой способ, позволяющий скрыть и надежно закрепить провода. Впрочем, не стоит упускать из вида и возможность подключения к ним извне для перехвата информации или создания помех, например, посредством разряда тока. Хотя, надо признать, что этот вариант мало распространен и замечен лишь при нарушениях работы крупных фирм - в этих случаях игра с законом стоит свеч. Рассматриваемая фирма является ведущим производителем в своей области, и хотя серьезных конкурентов у предприятия нет, и случаев попыток перехвата информации посредством наводок замечено не было, не стоит этим пренебрегать.
3.4Система охранно-пожарной сигнализации
Охранно-пожарная сигнализация - получение, обработка, передача и представление в заданном виде потребителям при помощи технических средств информации о пожаре или проникновении злоумышленника на охраняемый объект.
Система охранно-пожарной и тревожной сигнализации представляет собой совокупность совместно действующих технических средств обнаружения пожара и попытки проникновения нарушителя на охраняемый объект, сбора и предоставления в заданном виде информации о проникновении (попытке проникновения), а также выдачи сигналов тревоги в дежурную часть органов внутренних дел при разбойном нападении на объект в период его работы.
Уровень безопасности в основном зависит от времени реагирования технических средств охраны (ТСО) на возникающую угрозу. И чем раньше обнаружится возникающая угроза объекту, тем эффективнее ее можно пресечь. Этого можно достичь благодаря правильному выбору и использованию ТСО, а также их оптимальному размещению в охраняемых зонах.
Любая система охранно-пожарной сигнализации (ОПС) может быть разбита на три составляющие: извещатели (датчики), концентраторы, устройства оповещения и реагирования. Извещатели, объединенные в логические группы, именуемые шлейфами, анализируют текущее состояние объекта по различным физическим параметрам и передают полученную информацию на концентратор. Концентратор является ядром системы, он обрабатывает сообщения от всех извещателей и, в случае необходимости какой-либо реакции, выдает информацию на систему оповещения и реагирования.
По принципу формирования информационного сигнала о проникновении на объект или пожаре извещатели охранно-пожарной сигнализации делятся на активные и пассивные. Активные извещатели охранно-пожарной сигнализации генерируют в охраняемой зоне сигнал и реагируют на изменение его параметров. Пассивные извещатели реагируют на изменение параметров окружающей среды, вызванное вторжением нарушителя или возгоранием.
Каждая охранно-пожарная сигнализация использует охранные и пожарные извещатели, контролирующие различные физические параметры. Широко используются такие типы охранных извещателей, как инфракрасные пассивные, магнитоконтактные, извещатели разбития стекла, периметральные активные извещатели, комбинированные активные извещатели. В системах пожарной сигнализации применяются тепловые, дымовые, световые, ионизационные, комбинированные и ручные извещатели.
Извещатели (датчики) являются основным элементом систем ОПС и во многом определяют эффективность их использования. Это устройства, предназначенные для определения наличия угрозы безопасности охраняемого объекта и передачи тревожного сообщения для своевременного реагирования. Извещатели могут классифицироваться по физическому принципу действия. Рассмотрим наиболее распространенные типы извещателей.
Контактные извещатели служат для обнаружения несанкционированного открытия дверей, окон, ворот и т.д. Магнитные извещатели состоят из двух частей: герконового реле (геркона), устанавливаемого на неподвижную часть конструкции, и магнита, устанавливаемого на открывающийся модуль. Когда магнит находится вблизи геркона, его контакты в замкнутом состоянии. По принципу монтажа герконы делятся на накладные, врезные и для монтажа на металлические двери.
Инфракрасные пассивные извещатели служат для обнаружения вторжения нарушителя в контролируемый объем. ИК извещатель с помощью пироэлемента преобразуют тепловое излучение в электрический сигнал. В настоящее время используются 2 и 4 площадные пироэлементы. Это позволяет существенно снизить вероятность ложных тревог. Формирование зон обнаружения происходит с помощью зеркал (на отражение) и / или линз (на прохождение) Френеля.
Комбинированные извещатели объединяют в одном корпусе пассивный ИК и радиоволновый детектор, основанный на эффекте Доплера. Это позволяет существенно уменьшить вероятность ложной тревоги: поскольку сигнал тревоги выдается только при одновременном обнаружении нарушения обеими частями извещателя.
Акустические извещатели оснащаются высокочувствительным миниатюрным микрофоном, улавливающим звук, издаваемый при разбитии стекла. Эти извещатели крепятся на стену или потолок около окна. При разбитии стекла возникает два типа звуковых колебаний в строго определенной последовательности: сначала ударная волна от колебания всего массива стекла с частотой порядка 100 Гц, а потом волна разрушения стекла с частотой около 5 Кгц. Извещатель обрабатывает эти сигналы и принимает решение о наличии проникновения.
Дымовые извещатели предназначены для обнаружения наличия частиц дыма в воздухе. По принципу действия они делятся на два основных типа: оптоэлектронные и ионизационные. Дымовые извещатели позволяют обнаружить пожар на ранней стадии развития. Это их главное преимущество перед тепловыми извещателями. Поэтому дымовые извещатели сейчас наиболее перспективны для применения на всех видах объектов.
Дымовые извещатели по зоне обнаружения делятся на точечные и линейные. Точечные извещатели имеют чувствительную зону внутри измерительной камеры извещателя. Принцип обнаружения основан на отражении оптического излучения от частиц дыма, попадающих в эту зону.
Линейные дымовые извещатели в качестве чувствительной зоны используют, как правило, луч света длиной до 100 м, который пересекает защищаемое помещение. Обнаружение пожара происходит при ослаблении оптического излучения дымом.
Тепловые извещатели служат для обнаружения внутри помещения повышенной температуры. По принципу действия они делятся на термоконтактные и дифференциальные. Дифференциальные извещатели являются восстанавливаемыми и содержат термопару для измерения температуры. Такой извещатель реагирует не только на абсолютное значение температуры, но и на высокую скорость изменения температуры. Тепловые извещатели недостаточно эффективны для раннего обнаружения пожара. Их применение оправдано только для тех объектов, где вероятность повышения температуры более высока, чем появление дыма или открытого пламени, а также там, где условия эксплуатации не позволяют применить извещатели другого типа.
Извещатели пламени реагируют на инфракрасное или ультрафиолетовое излучение открытого пожара. Область их применения достаточно ограничена. В основном это производственные объекты, места хранения ЛВЖ, бензоколонки и т.д.
Особенностью ручных извещателей является то, что в действие их приводит человек, обнаруживший пожар. Этот тип извещателей применяется в местах постоянного присутствия людей, на лестничных пролетах, на путях эвакуации и т.д.
В зависимости от способов выявления тревог и формирования сигналов, извещатели и системы охранно-пожарной сигнализации делятся на неадресные, адресные и адресно-аналоговые. В неадресных системах извещатели имеют фиксированный порог чувствительности, при этом группа извещателей включается в общий шлейф охранно-пожарной сигнализации, в котором в случае срабатывания одного из приборов охранно-пожарной сигнализации формируется обобщенный сигнал тревоги. Адресные системы отличаются наличием в извещении информации об адресе прибора охранно-пожарной сигнализации, что позволяет определить зону пожара с точностью до места расположения извещателя. Адресно-аналоговая охранно-пожарная сигнализация является наиболее информативной и развитой. В такой системе применяются «интеллектуальные» извещатели охранно-пожарной сигнализации, в которых текущие значения контролируемого параметра вместе с адресом передаются прибором по шлейфу охранно-пожарной сигнализации. Такой способ мониторинга используется для раннего обнаружения тревожной ситуации, получения данных о необходимости технического обслуживания приборов вследствие загрязнения или других факторов. Кроме этого, адресно-аналоговые системы позволяют, не прерывая работу охранно-пожарной сигнализации, программно изменять фиксированный порог чувствительности извещателей при необходимости их адаптации к условиям эксплуатации на объекте.
Концентраторы (контрольные панели) предназначены для сбора и обработки информации о состоянии извещателей и линий передачи (шлейфов). Можно выделить проводные безадресные и адресные концентраторы. В последних информация от датчиков к концентратору поступает в цифровом коде. Это позволяет концентратору контролировать состояние каждого подключенного к общему шлейфу датчика в отдельности. Беспроводные концентраторы получают информацию от датчиков по радиоканалу. Концентраторы выдают соответствующие сигналы на внешние устройства оповещения на основе анализа информации от датчиков.
Линии передач, по которым поступают сигналы от извещателей, представляют физические шлейфы, они в общем случае могут отличаться от логических шлейфов, с которыми оперирует схема обработки сигналов концентратора. Логическим шлейфом (зоной) называется единичный сегмент информационного пространства концентратора: именно его состояние анализируется им в каждый момент времени. Максимальное число зон, которое может контролировать концентратор, составляет: до 30 - для аналоговых и до 100 - для микропроцессорных (цифровых) концентраторов.
Современная аппаратура охранно-пожарной сигнализации имеет собственную развитую функцию оповещения. Несмотря на то, что системы оповещения о пожаре выделены в самостоятельный класс оборудования, на базе технических средств пожарной сигнализации достаточно многих производителей можно реализовывать системы оповещения 1 и 2 категории.
Пожарные оповещатели предназначены для оповещения о пожаре с помощью различных звуковых и световых сигналов. Для звуковой сигнализации применяются звуковые сирены различных типов. Для световой сигнализации применяются различные световые оповещатели, выполненные на основе ламп накаливания, светодиодов и импульсных газоразрядных источников света.
На предприятии существует система охранно-пожарной сигнализации, управляемая при помощи пультов охранной сигнализации С-2000. В качестве магнитоконтактных извещателей используются «С2000-СМК». Рассмотрим ОПС бюро пропусков, кабинет администратора безопасности СКУД и серверная. Извещатели «С2000-СМК» устанавливаются на всех дверях для защиты от незаконного проникновения в помещения. В нерабочее время необходим охранный объемный оптико-электронный адресный извещатель «С2000-ИК исп. 02». Он установлен во всех помещениях.
В бюро пропусков имеют доступ все посетители, поэтому обеспечивается дополнительная защита данного помещения. Для этого на окна установлены «С2000-СТ» для обнаружения разбития стекла.
Для раннего обнаружения пожара во всех помещениях установлены дымовые пожарные извещатели «ДИП-34А».
Установленные извещатели соединяются к кабельной сети единой системы сигнализации предприятия.
3.5Биометрические идентификаторы с СКУД
3.5.1Обзор рынка биометрических считывателей
Многолетний мировой опыт применения метода идентификации по отпечаткам пальцев и интенсивные разработки в области создания различных электронных датчиков, проводимые в последнее время, привели к тому, что в настоящее время этот метод рассматривается как достаточно надежный и относительно недорогой способ идентификации личности.
В системе идентификации по отпечатку пальцев всегда присутствует датчик для снятия отпечатка пальца, база данных, содержащая в каком-либо виде эталонный экземпляр (образец) отпечатка пальца и вычислитель, который работает по определённому алгоритму выделения характерных особенностей отпечатка и записи полученных значений в базу данных, которая может быть как внутренней, по отношению к вычислителю, так и внешней. Такая система для связи с внешними устройствами может также иметь различные интерфейсы, например, USB, Ethernet, RS-232/485. Эти и другие параметры (например, совместимость со СКУД на предприятии) будут учитываться при выборе биометрического идентификатора для обеспечения контроля доступа в режимные помещения ОАО «ММЗ».
Биометрический считыватель для СКУД компании Sagem MA500+.
Программируемый считыватель отпечатков пальцев Sagem MA500+ предназначены для контроля доступа в помещения или в сети на основе биометрической идентификации или верификации отпечатков пальцев. Эти устройства имеют встроенную базу данных на 3000 пользователей и осуществляют верификацию и идентификацию в базе на 1000 шаблонов за 0,9 с. Каждый считыватель отпечатков пальцев оснащен оптическим сканером с разрешением 500 точек на дюйм, многоцветным светодиодным индикатором и многотоновым зуммером. MA500+ поддерживают протоколы Wiegand, Clock&Data, RS-422/RS485, TCP/IP и UDP, могут работать автономно или подключаться к контроллеру СКУД, а также получать электропитание от внешнего источника или по сети Ethernet (POE).
Каждый считыватель отпечатков пальцев этой серии оснащен клавиатурой с 12 клавишами для набора PIN-кода и настройки, а также 4 функциональными клавишами, которые предназначены для быстрого вызова предварительно запрограммированных функций. Текущая информация о процессе идентификации / верификации отображается на графическом LCD-дисплее 128х64 пикс.
Удаленное управление считывателем отпечатков, в том числе запрос файла отчета, изменение конфигурационных настроек, обновление ПО считывателя и работа с биометрической БД может осуществляться по TCP/IP или USB. При этом считыватель отпечатков пальцев может работать как автономное устройство или в составе СКУД. В случае работы MA500+ в автономном режиме, управление исполнительным устройством СКУД (электромеханический замок, турникет и др.) осуществляется через релейный выход устройства.
Режимы работы считывателя Sagem МА500+: Идентификация 1:N и Верификация 1:1.
Если МА500+ работает в составе СКУД, то возможны две типовые конфигурации системы:
В первом варианте, для достижения высокого уровня безопасности, вы можете подключить каждый считыватель отпечатков пальцев к контроллеру СКУД, например, через интерфейс Wiegand.
Во втором варианте считыватели МА500+ могут подключаться к ПК не через контроллеры, а напрямую по TCP/IP или через порт USB. Такая конфигурация может использоваться как для СКУД, так и в системах учета рабочего времени.
Благодаря внутреннему ПО, считыватели отпечатков пальцев МА500+ позволяют настраивать уровень надежности идентификации / верификации в зависимости от специфики объекта и задач.
Специализированное ПО MEMS обслуживает считыватели отпечатков пальцев Sagem, установленное на подключенной к сети рабочей станции, позволяет осуществлять назначение временных зон, синхронизацию баз данных считывателей с базой данных сервера, формирование отчетов, а также управление группами считывателей. К этой рабочей станции можно подключить сканер отпечатков пальцев MorphoSmart и устройство печати карт. ПО MEMS поддерживает Microsoft Access и SQL Server, причем при использовании SQL Server возможна работа в режиме «клиент-сервер», что позволяет осуществлять централизованное управление базами данных.
Опционально данный биометрический идентификатор оснащается бесконтактными считывателем карт доступа стандартов Mifare и DESFire.
Биометрический считыватель RWKLB575 HID Global Corporation.
Считыватель RWKLB575 предназначен для аутентификации персонала по отпечаткам пальцев в системах контроля доступа и учета рабочего времени. RWKLB575 считывает любые iCLASS-идентификаторы с объемом памяти 16 Кб и может перезаписывать информацию, хранящуюся в их памяти. Этот биометрический считыватель имеет интерфейсы Wigand, USB, RS-485, выход «открытый коллектор», оснащен постоянным магнитом и совместим со стандартными электрическими коробами. Он надежно работает от источника постоянного тока 9-12 В при температурах от 0 до +45 градусов Цельсия.
Данный биометрический считыватель относится к линейке оборудования bioCLASS компании HID Global Corporation и представляет собой интегрированное устройство, объединяющее оптический сканер отпечатка пальцев BIO500 и перезаписывающий iCLASS-считыватель RWRL550, оснащенный 12-кнопочной клавиатурой и ЖК-дисплеем. RWKLB575 осуществляет сличение снятого сканером отпечатка пальца предъявителя iCLASS-идентификатора с шаблоном отпечатка, записанным в память этого идентификатора. Для аутентификации в СКУД (системе контроля и управления доступом) сотрудник компании должен поднести идентификатор к считывателю и затем приложить указательный палец на биометрический сканер. Для допуска посетителей и гостей в охраняемое помещение биометрический считыватель может работать и в «гостевом» режиме.
В настоящее время использование отпечатка пальца сотрудника в качестве идентификационного признака признано наиболее надежным для ограничения доступа, поскольку этот параметр отличается минимальной биологической повторяемостью (менее <0,00001%), временной устойчивостью, сложностью подделки и малым «весом» шаблона для записи на идентификатор. Применяемая в RWKLB575 биометрическая технология Identix Incorporated, делает этот биометрический считыватель независимым от мелких повреждений кожи пальцев человека, а также от температуры и влажности воздуха в помещении.
Благодаря схемотехническому решению этот биометрический считыватель с клавиатурой позволяет комбинировать три метода идентификации персонала в СКУД и выбирать один из трех режимов прохода: по iCLASS-идентификатору и PIN-коду (гостевой режим), по iCLASS-идентификатору и отпечатку пальца или по iCLASS-идентификатору, отпечатку пальца и PIN-коду. ЖК-дисплей RWKLB575 отображает последовательность набора команд и правильность ввода PIN-кода, а также точность расположения пальца на биометрическом сканере. Кроме того, биометрический считыватель оснащен трехцветным светодиодным индикатором и многотоновым зуммером, обеспечивающих визуальный и звуковой контроль рабочих состояний считывателя.
Встроенный Wigand-интерфейс позволяет соединять биометрический считыватель HID с контроллерами СКУД большинства известных производителей. Через интерфейс USB считыватель может локально подключаться к компьютеру для перезаписи информации в базу данных, что требуется, например, для учета рабочего времени сотрудников компании. Наличие в RWKLB575 интерфейса RS-485 позволяет создавать последовательную сеть из несколько считывателей, подключаемых к компьютеру через общий контроллер. Построенная по этой схеме биометрическая СКУД, обслуживается одним компьютером и имеет общую базу данных, что особенно удобно для крупных организаций, сотрудники которых имеют доступ только на определенные объекты.
Возможность записи и хранения шаблонов отпечатков пальцев не на считывателе, а на идентификаторе исключает необходимость прокладки дополнительных кабелей для пересылки биометрических шаблонов между считывателем и контроллером, что снижает затраты на монтаж и инсталляцию СКУД. Считыватели в такой сети соединяются между собой кабелем «витая пара», общая длина которого может достигать 1200 м.
Как и большинство считывателей HID, биометрический считыватель RWKLB575 оснащен постоянным магнитом, на базе которого можно создать магнитоконтатный датчик контроля целостности конструкции. Для этого используется магнитоуправляемый элемент - геркон, который монтируется в стену напротив магнита. При несанкционированном вскрытии конструкции биометрического считывателя магнитное поле изменяется, контакты геркона размыкаются и генерируется сигнал тревоги.
Все идентификаторы iClass с объемом памяти 2 кбайта обеспечивают хранение цифровых биометрических шаблонов отпечатков пальцев, поэтому могут использоваться с данным биометрическим считывателем. Компания HID Global Corporation выпускает большой ассортимент различных идентификаторов с таким объемом памяти, включая карты iCLASS, брелоки и метки на клейкой подложке. Использование для хранения шаблонов отпечатков пальцев клейких меток позволяет легко и быстро дополнить биометрическим приложением уже работающую на объекте СКУД. Например, для обеспечения доступа определенным сотрудникам в особо охраняемые помещения офиса достаточно наклеить на используемую ими карту iCLASS метку с их биометрическими данными.
Биометрический считыватель ZK Software F702S.
Биометрический считыватель F702S предназначен для работы в составе автономной или сетевой системы контроля доступа с программированием с помощью встроенной клавиатуры. При этом централизованная система контроля доступа может быть организована на базе русифицированного ПО, которое входит в комплект поставки считывателя и может поддерживать неограниченное число считывателей по сети Ethernet или по шинам RS-232 и RS-485. Данное ПО позволяет программировать считыватели, вводить пользователей с учетом уровней их доступа, выполнять мониторинг СКУД в режиме реального времени, формировать отчеты и выводить на монитор охраны фотографии.
Считыватель F702S оснащен базой данных на 1500 шаблонов отпечатков пальцев. Он имеет Wiegand-интерфейс, благодаря которому считыватель можно использовать в системах контроля доступа большинства производителей, поддерживающих обмен данными между контроллером и считывателем по протоколу Wiegand. При этом Wiegand формат может произвольно конфигурироваться пользователем с длиной кода от 26 до 64 бит.
В зависимости от конфигурации СКУД биометрический считыватель может работать в режиме идентификация 1:N (только отпечаток пальца) или в режиме верификация 1:1 (ПИН плюс отпечаток пальца или карта плюс отпечаток пальца). Кроме того, F702S поддерживает идентификацию пользователя по ПИН-коду плюс код, по карте плюс код или только по карте. Для реализации определенных режимов верификации или идентификации можно использовать опциональный встроенный считыватель или подключить внешний.
Возможен автономный режим работы считывателя, т.е. без его подключения к сети Ethernet. В этом случае F702S программируется не с помощью ПО, а данные переносятся с помощью USB-накопителя. Бесплатное ПО ZK Software, установленное на подключенной к сети рабочей станции, позволяет осуществлять назначение временных зон, синхронизацию баз данных считывателей с базой данных сервера, формирование отчетов, а также управление группами считывателей.
Функциональные параметры на биометрические считывателя F702S:
·ЖК-дисплей с поддержкой русского языка
·Релейный выход управления замком
·Датчик вскрытия корпуса
·Вход для подключения кнопки выхода
·Вход для подключения датчика положения двери
·Wiegand вход / выход
·Общий тревожный выход и выход для подключения дверного звонка
·2 функциональные клавиши для выбора типа события для системы учета рабочего времени (приход / уход)
·Поддержка кода принуждения
·Опционально: Поддержка кода работ, web-сервер, считыватель карт EM, Mifare, HID.
Биометрический считыватель системы контроля доступа Smartec ST-FR020EM.
Считыватели ST-FR020EM выполняют идентификацию персонала по отпечаткам пальцев и по проксимити картам стандарта EM. Эти устройства могут использоваться для организации автономной системы контроля доступа и программироваться локально через систему голосового меню. Кроме того, ST-FR020EM могут работать в составе централизованной сетевой СКУД, при этом их программирование выполняется с помощью специализированного ПО.
Централизованная система контроля доступа может быть организована либо на базе программного обеспечения «Таймекс» с подключением исполнительных устройств непосредственно к данному считывателю, либо путем интеграции ST-FR020EM в любую стороннюю СКУД.
Для интеграции считывателя ST-FR020EM в сторонние системы контроля доступа используется интерфейс Wiegand. При этом пользователь может произвольно конфигурировать выходной Wiegand формат устройства с длиной кода от 26 до 64 бит. Бесплатная версия ПО «Таймекс» обеспечивает программирование считывателей, ввод пользователей с учетом уровней доступа и формирование отчетов.FR020EM рассчитан на обслуживание до 600 шаблонов отпечатков пальцев. Таким образом, если на каждого человека заносится по 2 шаблона, то общее количество пользователей составит 300. При этом устройство поддерживает такие режимы распознавания пользователя, как идентификация по пальцу или по карте. Наличие у ST-FR020EM Wiegand входа позволяет подключить к нему внешний проксимити считыватель или дополнительный биометрический.
Функциональные возможности:
·Контроллер с поддержкой всех функций контроля доступа
·Металлический корпус
·Высокий уровень погодозащищенности
·Сенсор со стеклянной призмой
·Релейный выход управления замком и общий тревожный выход
·Вход подключения кнопки выхода и вход датчика положения двери, датчик вскрытия
·Wiegand выход / выход, USB порт (host)
·Поддержка отпечатка пальца прохода по принуждению
·Голосовые инструкции на русском языке
3.5.2Выбор биометрического считывателя
Исходя из технических характеристик, выполняемых функций и экономической составляющей вопроса из рассматриваемых биометрических считывателей для контроля доступа в режимные помещения был выбран ZK Software F702S с возможностью считывания HID карт.
Биометрический считыватель F702S известного производителя ZK Software обеспечивает ограничение доступа в помещения по отпечаткам пальцев и способен работать как автономно, так и в составе СКУД ОАО «ММЗ» на базе ПО «Интеллект». Для централизованного конфигурирования биометрических устройств по Ethernet или RS232/485 все считыватели и терминалы ZKSoftware комплектуются русифицированным программным обеспечением. Это ПО позволяет запрограммировать уровни доступа и временные зоны для каждого сотрудника компании, а также использовать в системе контроля доступа режим фотоверификации. Благодаря наличию в программе отчетов по проходам через биометрические считыватели, резервированию БД и менеджменту пользователей (добавление, удаление и редактирование записей), на базе этого ПО можно построить простейшую систему безопасности объекта.
Данный считыватель по сравнению с другими обладает высокой функциональностью по доступной цене (15000 рублей - это почти в три раза меньше, чем аналогичный продукт от компании Sagem). Имеющаяся встроенная база данных на 1500 биометрических шаблонов, достаточна для того чтобы внести необходимое количество пользователей для прохода в режимные помещения. Также необходимо отметить, что F702S единственный работает с HID-картами, которые уже используются на предприятии, что сокращает расходы на приобретение новых видов карт.-S - биометрический терминал контроля производится с применением надежных комплектующих и соблюдением стандартов безопасности. Широко используется для организации систем контроля доступа в офисах, гостиницах, фабриках, заводах, общественных заведениях. Перед продажей изделие подвергается полному и строгому тестированию всех функций.
Терминал доступа имеет возможность подключения кнопки открытия двери, считывателя, электронного замка, звонка, аларма.
Технические характеристики:
·Аппаратная платформа: ZEM500
·Операционная система: Linux
·Количество пользователей: 1500
·Количество записей: 50000
·Сенсор: ZK сенсор
·Зоны контроля доступа: 50 временных зон, 5 групп, 10 комбинаций, Управление праздниками, работа в сети или автономное использование
·Соединение: TCP/IP, RS232, RS485
·Дисплей: LCD, 80 символов
·Питание: 12 В
·Скорость идентификации: <2 с
·FRR/FAR: <1%/<0.0001%
·Вход и Выход: Weigand Подключение терминала к контроллеру, подключение считывателя к терминалу
·Проводной звонок: Да
·Температура эксплуатации: 0-45 гр. С, влажность 20-80%Software F702S встраиваются в уже имеющуюся систему контроля и управления доступом. Всего биометрических идентификаторов необходимо 35 штук, которые устанавливаются на вход в режимные помещения. В отделе испытаний и научно-техническом центре с помощью данных считывателей осуществляется двойное распознавание (карта + отпечаток пальца), в других помещениях только по отпечатку пальца.
3.6Программно-аппаратные средства защиты ПДн в ИСПДн СКУД
Одно из приоритетных направлений по улучшению системы защиты информации является установка на компьютеры программно-аппаратных комплексов защиты от НСД. При выборе средств защиты необходимо обратить внимание на наличие сертификатов ФСТЭК.
Также критерием отбора является наличие у продукта следующих характеристик:
·контроль целостности информации;
·контроль и разграничение доступа;
·наличие подсистемы аудита;
·возможность шифрования трафика сети;
·дополнительная идентификация пользователей;
·затирание остатков информации в системе.
3.6.1Обзор рынка программно-аппаратных средств защиты от НСД
Dallas Lock 7.7
Система Dallas Lock 7.7 представляет собой программное средство защиты от НСД к информации в персональном компьютере с возможностью подключения аппаратных идентификаторов. Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа в среде ХР/2003/Vista/2008/7.Lock 7.7 обеспечивает многоуровневую защиту локальных ресурсов компьютера:
запрет загрузки компьютера посторонними лицам;
двухфакторная авторизация по паролю и аппаратным идентификаторам (USB eToken, смарт-карты eToken, Rutoken, Touch Memory);
разграничение прав пользователей на доступ к локальным и сетевым ресурсам;
контроль работы пользователей со сменными накопителями;
мандатный и дискреционный принципы разграничения прав;
организация замкнутой программной среды;
аудит действий пользователей;
очистка остаточной информации;
возможность автоматической печати штампов (меток конфиденциальности) на всех распечатываемых документах;
защита содержимого дисков путем прозрачного преобразования;
удаленное администрирование
выделенный центр управления, работа в составе домена безопасности (v7.5/7.7);
возможность установки на портативные компьютеры (Notebook);
отсутствие обязательной аппаратной части;
работа на сервере терминального доступа;
удобные интерфейс, установка и настройка.
СЗИ Dallas Lock 7.7 блокирует доступ посторонних лиц к ресурсам ПК и позволяет разграничить права пользователей и администраторов при работе на компьютере. Контролируются права локальных, сетевых и терминальных пользователей. Разграничения касаются прав доступа к объектам файловой системы, доступа к сети, к сменным накопителям и к аппаратным ресурсам.
Для идентификации пользователей служат индивидуальные пароли и аппаратные идентификаторы Touch Memory, eToken, ruToken (двухфакторная аутентификация). Аппаратная идентификация не является обязательной - система может работать в полностью программном режиме.
Запрос пароля и аппаратных идентификаторов происходит до начала загрузки ОС. Загрузка ОС возможна только после проверки идентификационных данных пользователя в СЗИ. Таким образом обеспечивается доверенная загрузка системы.
Разграничение прав доступа к ресурсам файловой системы реализуется следующими методами:
Дискреционный - предоставляет доступ к защищаемым объектам файловой системы на основании списков контроля доступа. В соответствии с содержимым списков определяются права доступа для каждого пользователя.
Мандатный - каждому пользователю присваивается максимальный уровень мандатного доступа. Пользователь получает доступ к объектам, мандатный уровень которых не превышает его текущий уровень.
СЗИ позволяет контролировать целостность файлов, папок и параметров аппаратно-программной среды компьютера. Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГOCT P34.11-94.
Подсистема аудита действий пользователей состоит из шести журналов, в которые заносятся события и результат (с указанием причины, при отказах) попыток входов и выходов пользователей, события доступа к ресурсам файловой системы, события запуска процессов, события печати на локальных и сетевых принтерах, события по администрированию СЗИ. Для облегчения работы с журналами, реализована возможность фильтрации записей по определенным признакам и экспорт журналов в формат MS Excel.
Подсистема очистки остаточной информации гарантирует невозможность восстановления удаленных данных.
Возможно очищение освобождаемого дискового пространства, файла подкачки, освобождаемой памяти и заданных папок при выходе пользователя из системы. Подсистема может работать в автоматическом режиме, когда зачищаются все удаляемые данные, либо данные зачищаются по команде пользователя.
Подсистема перехвата событий печати позволяет на каждом распечатанном с ПК документе добавлять штамп. Формат и поля штампа могут гибко настраиваться.
Для защиты от загрузки компьютера и доступа к информации в обход СЗИ предусмотрена возможность преобразования содержимого диска в «прозрачном» режиме. Информация преобразуется при записи и декодируется при чтении с носителя. При работе процесс преобразования незаметен для пользователя. После преобразования диска получить доступ к хранящейся на нем информации невозможно без пароля для входа в СЗИ. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск будет подключен к другому компьютеру. Данные могут быть преобразованы по алгоритмам XOR32 или ГОСТ 28147-89.
СЗИ предоставляет возможность преобразования отдельных файлов и / или папок. В качестве ключа преобразования используется пароль и, по желанию пользователя, аппаратный идентификатор. Преобразованные данные хранятся в файле-контейнере, который может использоваться для безопасной передачи данных или хранения информации на отчуждаемом носителе. Доступ к преобразованным данным можно получить с любого компьютера с СЗИ при совпадении пароля и аппаратного идентификатора.
Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего сертифицированного криптопровайдера (например, «КриптоПро»).
Для предотвращения утечки информации через сменные накопители, предусмотрена возможность гибкого разграничения доступа к дискетам, оптическим дискам, USB-Flash - возможно разграничения доступа по типу накопителя, либо к конкретным экземплярам.
Система позволяет настраивать замкнутую программную среду (режим, в котором пользователь может запускать только программы, определенные администратором).
Для осуществления централизованного управления защищенными компьютерами в составе ЛВС, в состав системы входит «Сервер Безопасности» (СБ). СБ Dallas Lock и зарегистрированные на нем компьютеры с Dallas Lock образуют «Домен Безопасности». При использовании СБ возможно централизованное управление учетными записями пользователей, управление политиками безопасности, просмотр и автоматический сбор журналов, назначение прав доступа к ресурсам, управление прозрачным преобразованием и выполнение команд оперативного управления.
С помощью модуля «Менеджер серверов безопасности» возможно объединение нескольких СБ в «Лес Безопасности», с помощью которого осуществляется централизованное управления несколькими Доменами Безопасности (получение журналов, управление политиками и учетными записями пользователей).
Возможна установка СЗИ на портативные компьютеры (ноутбуки).
Существует возможность просматривать экранные снимки удаленных компьютеров. Эти снимки могут быть сохранены в файлы и просмотрены в дальнейшем.
Возможна установка СЗИ на компьютеры, работающие в составе домена (как на клиентские машины, так и на контроллер домена, таким образом с помощью Dallas Lock 7.7 можно защитить всю сеть.
Возможна установка на сервер терминального доступа.
Сертификат соответствия ФСТЭК №2209 удостоверяет, что система защиты информации от несанкционированного доступа Dallas Lock 7.7 является программным средством защиты информации от несанкционированного доступа к информационным ресурсам компьютеров и соответствуют требованиям руководящих документов Гостехкомиссии России по 2-му уровню контроля отсутствия недекларированных возможностей и 3-му классу защищенности от НСД. Версия продукта может использоваться для защиты государственной тайны категории «совершенно секретно» (АС до класса защищенности «1Б» включительно), а также для защиты информации (персональных данных) в ИСПДн до 1 класса включительно.
КСЗИ «ПАНЦИРЬ-К»
Система предназначена для защиты информации, обрабатываемой на автономном компьютере, либо на компьютерах в составе корпоративной сети. КСЗИ служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС.
КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве).
КСЗИ также может использоваться для эффективного противодействия вирусным атакам и шпионским программам.
В части дополнительной защиты конфиденциальности информации в КСЗИ реализованы возможности гарантированного удаления остаточной информации и шифрования данных «на лету» (шифрование файлов и дисков, локальных, съемных, сетевых).
Система реализована программно (опционально может использоваться аппаратная компонента защиты), содержит в своем составе клиентскую и серверную части (для реализации АРМа администратора безопасности в составе сети).
Основные механизмы защиты КСЗИ реализованы в виде системных драйверов. Все возможности защиты, предоставляемые КСЗИ, реализованы собственными средствами (не использованы встроенные механизмы ОС).
Основные механизмы защиты, реализованные в КСЗИ «Панцирь-К»:
·Механизмы разграничения доступа к локальным и разделенным в сети ресурсам - к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др.;
·Механизм включения в разграничительную политику субъекта «процесс», как самостоятельного субъекта доступа к ресурсам, принципиально расширяющий функциональные возможности защиты и противодействующий атакам на расширение привилегий;
·Механизм управления подключением устройств;
·Механизм обеспечения замкнутости программной среды, позволяющий локализовать среду исполнения для пользователей, в частности противодействующий запуску троянских и шпионских программ;
·Механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ;
·Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.);
·Механизм контроля корректности идентификации субъекта доступа к ресурсам (контроль олицетворения);
·Механизм противодействия ошибкам и закладкам в системном и в прикладном ПО;
·Механизм шифрования данных, реализующий ключевую политику, обеспечивающую невозможность несанкционированно раскрыть похищенную информацию (в том числе и собственно пользователем, ее обрабатывающим - инсайдером), даже при наличии у похитителя ключа шифрования.
Сертификат ФСТЭК России №1973
КСЗИ «ПАНЦИРЬ-К» для ОС Windows 2000/XP/2003VISTA/2008 /Windows 7 (в т. ч. для 64-х-битных систем), сертифицированная по 5 классу СВТ и 4 уровню контроля НДВ, собственными средствами реализует все технические требования, регламентируемые для АС класса защищенности 1Г), а также для защиты информации (персональных данных) в ИСПДн до 1 класса включительно.
Secret Net 6.5
Secret Net 6 - это комплексное решение, сочетающее в себе необходимые возможности по защите информации, средства централизованного управления, средства оперативного реагирования и возможность мониторинга безопасности информационной системы в реальном времени.
Тесная интеграция защитных механизмов Secret Net с механизмами управления сетевой инфраструктурой, повышает защищенность информационной системы компании в целом.
Возможности Secret Net 6.5
ØРазграничение доступа
·Усиленная идентификация и аутентификация пользователей
Система Secret Net 6 совместно с ОС Windows (2000/XP/2003/VISTA/2008/7) обеспечивает идентификацию и аутентификацию пользователя с помощью программно-аппаратных средств при его входе в систему. В качестве устройств для ввода в нее идентификационных признаков могут быть использованы: iButton; eToken Pro; Rutoken.
·Управление доступом пользователей к конфиденциальным данным
Функция управления доступом пользователей к конфиденциальной информации. Каждому информационному ресурсу назначается один их трёх уровней конфиденциальности: «Не конфиденциально», «Конфиденциально», «Строго конфиденциально», а каждому пользователю - уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.
·Разграничение доступа к устройствам
Функция обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить, либо разрешить пользователям работу с любыми портами \ устройствами.
Разграничивается доступ к следующим портам / устройствам:
·последовательные и параллельные порты;
·сменные, логические и оптические диски;
·USB-порты.
Поддерживается контроль подключения устройств на шинах USB, PCMCIA, IEEE1394 по типу и серийному номеру, права доступа на эти устройства задаются не только для отдельных пользователей, но и для групп пользователей.
Также существует возможность запретить использование сетевых интерфейсов - Ethernet, 1394 FireWire, Bluetooth, IrDA, WiFi.
ØДоверенная информационная среда
·Защита от загрузки с внешних носителей
С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съёмных носителей. В качестве аппаратной поддержки система Secret Net 6 использует программно-аппаратный комплекс «Соболь» и Secret Net Card. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определённого времени после включения питания на плату не было передано управление, она блокирует работу всей системы.
·Замкнутая программная среда
Для каждого пользователя компьютера формируется определённый перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, «червей» и шпионского ПО, а также использования ПК в качестве игровой приставки.
·Контроль целостности
Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.
Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:
·регистрация события в журнале Secret Net;
·блокировка компьютера;
·восстановление повреждённой / модифицированной информации;
·отклонение или принятие изменений.
·Контроль аппаратной конфигурации компьютера
Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирования на эти изменения. Предусмотрено два вида реакций:
·регистрация события в журнале Secret Net;
·блокировка компьютера.
·Функциональный самоконтроль подсистем
Самоконтроль производится перед входом пользователя в систему и предназначен для обеспечения гарантии того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net 6 загружены и функционируют.
ØЗащита информации в процессе хранения
·Контроль печати конфиденциальной информации.
Печать осуществляется под контролем системы защиты. При разрешённом выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами. Факт печати отображается в журнале защиты Secret Net 6.
·Гарантированное уничтожение данных
Уничтожение достигается путем записи случайной последовательности на место удаленной информации в освобождаемую область диска. Для большей надежности может быть выполнено до 10 циклов (проходов) затирания.
·Регистрация событий
Система Secret Net 6 регистрирует все события, происходящие на компьютере: включение \ выключение компьютера, вход \ выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.
ØУдобство управления и настроек
·Импорт и экспорт параметров