Элвис-Плюс: Базовый Доверенный Модуль (МЗ АРМ БДМ)

2020: Анонс решения для защищенного удаленного доступа с мобильных устройств

7 апреля 2020 года компания ЭЛВИС-ПЛЮС представила решение по созданию защищенного рабочего места для удаленного доступа – мобильное защищенное автоматизированное рабочее место «Базовый Доверенный Модуль» (МЗ АРМ БДМ). Базовый Доверенный Модуль (БДМ) разработан в полном соответствии с требованиями ФСБ России и ФСТЭК России, современными мировыми стандартами в области защиты информации и предназначен для построения защищенной программной среды на мобильных компьютерах и планшетах. МЗ АРМ БДМ обеспечивает защиту данных пользователя, контролирует целостность среды обработки информации и предотвращает несанкционированный доступ к компьютеру путем надежной двухфакторной аутентификации пользователя до загрузки ОС и прозрачного шифрования всех разделов жесткого диска российскими криптографическими алгоритмами.

По информации компании, БДМ проверяет целостность и неизменность аппаратной конфигурации и BIOS до старта ОС, а после этого с помощью уже проверенных компонент, получив доверие к «железу», контролирует начальный загрузчик, СПО БДМ, критичные файлы и настройки операционной системы. Такой подход защищает мобильное рабочее место от угрозы несанкционированных изменений аппаратной части и ОС, которые могут быть результатом действий злоумышленника или внедрения вредоносного ПО.

БДМ шифрует весь диск (Full Disk Encryption), т.е. пользовательские данные, системный раздел, временные файлы, файлы подкачки, файлы-журналы приложений, дампы памяти и образы рабочей станции, сохраняемые на диске при переходе компьютера в спящий режим. Утеря или кража компьютера не угрожает конфиденциальности хранимых данных. Жесткий диск шифруется с использованием алгоритма ГОСТ Р 34.12-2015 «Магма», и пользователь не может получить доступ к данным в зашифрованном разделе без прохождения контроля целостности и процедуры двухфакторной аутентификации. Каждый сектор диска шифруется отдельным ключом, что делает практически неразрешимой задачу расшифровки информации посторонним лицом в случае кражи или утери мобильного устройства. Операции шифрования и расшифровки проходят в режиме реального времени в момент обращения к диску, прозрачно для приложений и пользователя и не вносят ощутимых временных задержек, так как производительность криптографических операций сравнима с производительностью операций чтения/записи диска (для Core i5 на одном процессорном ядре скорость шифрования составляет порядка 300 Мбайт/с).

МЗ АРМ БДМ имеет сертификат ФСБ России как средство криптографической защиты информации (СКЗИ) по классу КС1. Для защиты взаимодействия мобильного устройства с установленным МЗ АРМ БДМ с корпоративной сетью используется ПО «ЗАСТАВА-Клиент», обеспечивающее шифрование трафика на основе протоколов IPsec ESP в соответствии с ГОСТ Р 34.12-2015 «Магма», и межсетевое экранирование удаленного рабочего места. ПО «ЗАСТАВА-Клиент» имеет сертификаты ФСБ России как СКЗИ класса КС1 и ФСТЭК России как межсетевой экран класса В по уровню 4.

ЭЛВИС-ПЛЮС предлагает гибкий механизм поставки МЗ АРМ БДМ, предусматривающий следующие варианты:

• Поставка мобильного устройства с предустановленным комплектом ПО МЗ АРМ БДМ и ПО «ЗАСТАВА-Клиент».
• Установка ПО МЗ АРМ БДМ на корпоративные или личные мобильные устройства сотрудников заказчика.

По необходимости при поставке МЗ АРМ БДМ ЭЛВИС-ПЛЮС может выполнить предустановку стандартных средств защиты информации, используемых в корпоративной сети заказчика (антивирусы, агенты систем DLP и пр.).

Организация удаленного доступа сотрудников и их полноценной онлайн-работы может не только вывести бизнес на следующий уровень, но и предоставить компании определенные конкурентные преимущества. Однако при этом важно соблюдать одно условие - полноценную защиту конфиденциальности личных и корпоративных данных. В противном случае все потенциальные плюсы рискуют превратиться в большие потери. рассказал Олег Вернер, начальник Лаборатории доверенной среды АО «ЭЛВИС-ПЛЮС»