Требования российского рынка информационной безопасности обусловили необходимость сертификации Secret Disk NG — программно-аппаратного комплекса, разработанного компанией Aladdin (http://www.aladdin.ru) для защиты — от несанкционированного доступа, копирования и модификации — конфиденциальной информации, хранящейся и обрабатываемой на ПК под управлением Microsoft Windows XP Professional.
По закону «О коммерческой тайне», обладатель информации, которая составляет коммерческую тайну, вправе при необходимости применять средства и методы технической защиты конфиденциальности этой информации, а также другие меры, не противоречащие законодательству Российской Федерации. Это относится прежде всего к органам государственной власти, государственным структурам и коммерческим предприятиям, планирующим внедрять технологии защиты информации на базе PKI и с применением цифровых сертификатов, а также использующим сертифицированные российские СКЗИ.
В конце прошлого года компания получила сертификат ФСТЭК № 1111 от 12 декабря 2005 г., который подтверждает, что Secret Disk NG 3.1 соответствует требованию руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) — по четвертому уровню контроля, а также заданию по безопасности ALD.ETN_SD.ЗБ «Программно-аппаратный комплекс защиты конфиденциальной информации Secret Disk NG 3.1. Задание по безопасности. Версия 1.0, 2005», и имеет оценочный уровень доверия ОУД1 (усиленный) в соответствии с требованием руководящего документа «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (Гостехкомиссия России, 2002).
В ходе сертификационных испытаний, проведенных лабораторией ЗАО «ЦБИ-сервис» по схеме сертификации производства, было подтверждено соответствие продукта требованиям по обеспечению качества и неизменности сертифицированных параметров выпускаемой продукции. Это дает возможность выпуска и поставки продукта в необходимых для заказчиков объемах, без каких-либо ограничений.
Secret Disk NG 3.1 выполняет следующие основные функции: ограничение круга пользователей, имеющих доступ к конфиденциальной информации (в том числе с возможностью лишения администратора ОС прав доступа к ней), и запрет доступа к конфиденциальной информации по сети, в том числе и через административные сетевые ресурсы.
Аппаратная составляющая продукта — электронный ключ eToken PRO, средство аутентификации пользователей в автоматизированных системах, обрабатывающих конфиденциальную информацию, который также может использоваться при проектировании автоматизированных систем до класса защищенности 1Г (сертификат № 925 Гостехкомиссии РФ).
Сертифицированный Secret Disk NG 3.1 обеспечивает защиту данных, хранящихся на основных разделах, логических дисках и динамических томах жестких дисков; на съемных дисках и в файл-контейнерах. Это обеспечивается шифрованием данных «на лету» (в фоновом режиме) с помощью сертифицированных алгоритмов шифрования. При чтении данных с диска происходит их расшифрование, при записи — зашифрование.
Для криптографических преобразований применяются установленные в данной ОС криптопровайдеры, в качестве которых могут выступать сертифицированные российские системы Signal-COM CSP, «КриптоПро CSP» 2.0, а также Microsoft Enhanced CSP. Сам продукт совместим с алгоритмом ГОСТ-28147-89, реализуемым перечисленными российскими криптопровайдерами. После выбора алгоритма шифрования генерируется уникальный ключ шифрования диска. Сгенерированный ключ зашифровывается с применением открытого ключа пользователя и сохраняется в зашифрованном виде на системном диске компьютера в защищенном хранилище. Содержимое диска шифруется посекторно с использованием выбранного алгоритма шифрования и сгенерированного ключа шифрования диска. Процесс шифрования диска может быть приостановлен пользователем или даже прерван (например, из-за перебоев электропитания), но это не повлечет за собой потерю данных. Процесс можно будет возобновить в любой удобный момент.
При прямом просмотре по содержимому защищенного раздела диска невозможно определить, имеется ли на нем какая-то информация или это просто неформатированный раздел. Тем самым обеспечивается не просто невозможность чтения конфиденциальной информации, но и скрытие самого факта ее наличия на компьютере.
Работа с подключенным защищенным диском происходит точно так же, как с обычным диском. Чтобы подключить защищенный диск, необходимо иметь смарт-карту или электронный ключ eToken PRO, знать PIN-код и иметь предоставленное владельцем защищенного диска право доступа к данному диску. Хранящийся в памяти eToken закрытый ключ (доступ к которому возможен только после ввода PIN-кода) будет использован для расшифрования ключа шифрования диска. Таким образом реализуется двухфакторная аутентификация пользователя при доступе к защищенным данным. Пользователь, создавший защищенный диск, автоматически становится его владельцем и может предоставлять другим пользователям (обладающим eToken с лицензией Secret Disk NG 3.1) право доступа к этому диску, что позволяет при необходимости организовать локальный многопользовательский доступ к данным на защищенном диске.
Для создания нового защищенного диска (или преобразования в защищенный уже существующего на компьютере диска с данными) также необходим eToken PRO с электронной лицензией на использование Secret Disk NG 3.1.
Сертифицированный Secret Disk NG запрещает доступ по сети к подключенным защищенным дискам, обеспечивая в том числе «защиту от системного администратора»: доступ к данным не сможет получить даже администратор домена Windows через административные сетевые ресурсы.