Категория: Инструкции
Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Информационное сообщение Федеральной службы по техническому и экспортному контролю от 12 апреля 2016 г. № 240/24/1649 “Об уязвимостях в сертифицированных средствах защиты информации Secret Net и мерах по их нейтрализации”
Обзор документа
При проведении работ по выявлению и анализу уязвимостей программного обеспечения и ведению банка данных угроз безопасности информации ФСТЭК России проведены исследования и подтверждено наличие уязвимости в средствах защиты информации Secret Net, широко применяемых для защиты информации ограниченного доступа в государственных информационных системах и информационных системах коммерческих организаций.
Уязвимости присвоен средний уровень опасности, а ее описание включено в Банк данных угроз безопасности информации, размещенный на сайте bdu.fstec.ru (идентификатор уязвимости 2016-00436).
Указанной уязвимости подвержены следующие сертифицированные ФСТЭК России средства защиты информации:
Secret Net 7.0 (сертификат соответствия от 7 сентября 2012 г. № 2707, срок действия - до 7 сентября 2018 г.);
Secret Net 6.0 (сертификаты соответствия от 3 декабря 2010 г. № 2227 и № 2228, срок действия - до 3 декабря 2016 г.);
Secret Net 5.0 (сертификаты соответствия от 29 июня 2007 г. № 1119/1 и от 29 августа 2006 г. № 1237, сроки действия сертификатов продлены на отдельные экземпляры, эксплуатируемые на объектах информатизации);
Secret Net 5.1 (сертификаты соответствия от 17 сентября 2009 г. № 1912 и № 1913, сроки действия сертификатов продлены на отдельные экземпляры, эксплуатируемые на объектах информатизации).
В отношении средств защиты информации Secret Net версий 6.0 и 7.0 разработчиком средств ООО «Код Безопасности» (Москва, ул. Сущевский вал, д. 47, стр. 2, пом. 1, тел. (495) 980-2345) осуществляется техническая поддержка.
В рамках технической поддержки ООО «Код Безопасности» разработал и опубликовал обновление средства защиты информации Secret Net 7.0, устраняющее указанную уязвимость. Ссылка на загрузку указанного обновления располагается на официальном сайте ООО «Код Безопасности» (www.securitycode.ru/products/secret_net/sns7/).
Разработка и опубликование обновления средства защиты информации Secret Net 6.0, устраняющего уязвимость, планируется к 15 апреля 2016 г.
Информация о выпуске обновления также будет размещена на сайте разработчика.
ООО «Код Безопасности» прекратил техническую поддержку средств защиты информации Secret Net версии 5.0 и 5.1. Выпуск соответствующих обновлений для данных средств защиты информации не предусмотрен.
В связи с этим в целях нейтрализации уязвимости 2016-00436 средств защиты информации Secret Net необходимо:
до 1 января 2017 г. спланировать и провести перевод информационных систем, в которых применяются средства защиты информации Secret Net версии 5.0 и 5.1, на иные сертифицированные средства защиты информации, поддерживаемые их производителями;
в обязательном порядке получить и применить обновления средств защиты информации Secret Net версий 6.0 и 7.0, в том числе получить от разработчика соответствующие изменения в эксплуатационную документацию.
До реализации указанных мероприятий необходимо в информационных системах принять соответствующие меры по ограничению программной среды, направленные на исключение возможности эксплуатации выявленной уязвимости за счет запуска специально сформированного приложения (эксплойта).
Ограничение программной среды обеспечивается механизмами средств защиты информации Secret Net. Инструкция по настройке механизма замкнутой программной среды размещена ООО «Код Безопасности» в сети «Интернет» ftp.securitycode.ru/demo/sn/sn7/604_00/instr_uel.pdf.
Дополнительно обращаем внимание на то, что обновление средств защиты информации не является основанием для повторной аттестации информационных систем. Все работы по обновлению средств защиты информации проводятся в рамках действующих аттестатов соответствия на информационные системы.
Начальник 2 управления
Обзор документаСообщается, что при проведении работ по выявлению и анализу уязвимостей программного обеспечения ФСТЭК России подтверждено наличие уязвимости в средствах защиты информации Secret Net. Они широко применяются для защиты информации ограниченного доступа в ГИС и информационных системах коммерческих организаций.
Уязвимости присвоен средний уровень опасности, а ее описание включено в Банк данных угроз безопасности информации (идентификатор уязвимости 2016-00436). Ей подвержены следующие средства защиты информации: Secret Net 7.0; Secret Net 6.0; Secret Net 5.0; Secret Net 5.1.
ООО "Код Безопасности" прекратил техподдержку средств защиты информации Secret Net версии 5.0 и 5.1. Выпуск обновлений для данных средств защиты информации не предусмотрен.
В целях нейтрализации уязвимости 2016-00436 средств защиты информации Secret Net рекомендуется до 1 января 2017 г. перевести информационные системы, в которых применяются средства защиты информации Secret Net версии 5.0 и 5.1, на иные сертифицированные средства защиты информации; получить и применить обновления средств защиты информации Secret Net версий 6.0 и 7.0.
До реализации указанных мероприятий необходимо ограничить программную среду для исключения возможности эксплуатации выявленной уязвимости за счет запуска специально сформированного приложения (эксплойта).
Обновление средств защиты информации не является основанием для повторной аттестации информационных систем. Все работы по обновлению средств защиты информации проводятся в рамках действующих аттестатов соответствия.
Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:
Получите полный доступ к системе ГАРАНТ бесплатно на 3 дня!
© ООО "НПП "ГАРАНТ-СЕРВИС", 2016. Система ГАРАНТ выпускается с 1990 года. Компания "Гарант" и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.
Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО "НПП "ГАРАНТ-СЕРВИС". Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.
Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.
ООО "НПП "ГАРАНТ-СЕРВИС", 107076, г. Москва, ул. Стромынка, д. 19, к. 2, internet@garant.ru .
8-800-200-88-88
(бесплатный междугородный звонок)
Отдел рекламы: +7 (495) 647-62-38 (доб. 3153), adv@garant.ru. Реклама на портале.Медиакит
Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter
Защита входа в систему
· Усиленная идентификация и аутентификация пользователей
· В Secret Net 7 реализован механизм парольной аутентификации пользователей средствами СЗИ. Таким образом, использование электронных идентификаторов для усиленной аутентификации не является обязательным.
· Идентификация и аутентификация пользователя совместно с ОС Windows с помощью программно-аппаратных средств. В качестве устройств для ввода в нее идентификационных признаков могут быть использованы следующие устройства:
· eToken Pro, eToken PRO Java (USB, смарт - карты );
· Усиленная аутентификация пользователей с использованием аппаратной поддержки ПАК «Соболь» и Secret Net Card.
· Защита от загрузки с внешних носителей
Встроенный в СЗИ программный механизм защиты информации на локальных дисках компьютера предназначен для блокирования доступа к жестким дискам при несанкционированной загрузке компьютера (например, загрузка с внешнего носителя или загрузка другой ОС, установленной на компьютере). Компонент лицензируется отдельно и подключается при необходимости.
Совместно с Secret Net могут быть использованы средства аппаратной поддержки, обеспечивающие защиту компьютера от несанкционированной загрузки с внешних носителей:
· программно-аппаратный комплекс «Соболь» (версии 2.1 и 3.0);
· Secret Net Card.
С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съмных носителей. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определенного времени после включения питания на плату не было передано управление, она блокирует работу всей системы.
Защита терминальных сессий
Появилась возможность использования либо усиленной аутентификации пользователя с удаленного терминала («тонкого клиента»*), либо с использованием собственной аутентификации СЗИ (по логину/паролю, без использования персональных идентификаторов).
*Под «тонкими» клиентами понимаются любые клиенты, размещенные на аппаратных или программных платформах, исключающих установку на них клиентского ПО Secret Net.
· Управление доступом пользователей к конфиденциальным данным
Функция управления доступом пользователей к конфиденциальной информации. Каждому информационному ресурсу назначается один из трех уровней конфиденциальности: «Не конфиденциально», «Конфиденциально», «Строго конфиденциально», а каждому пользователю – уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.
· Разграничение доступа к устройствам
Функция обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить либо разрешить пользователям работу с любыми портами/устройствами.
Разграничивается доступ к следующим портам/устройствам:
· последовательные и параллельные порты;
· сменные, логические и оптические диски;
Поддерживается контроль подключения устройств на шинах USB, PCMCIA, IEEE1394 по типу и серийному номеру, права доступа на эти устройства задаются не только для отдельных пользователей, но и для групп пользователей.
Также существует возможность запретить использование сетевых интерфейсов — Ethernet, 1394 FireWire, Bluetooth, IrDA, Wi-Fi.
Контроль печати с возможностью теневого копирования, универсальной настраиваемой маркировки документов и назначения прав доступа и параметров принтеров. Т.е. при печати проверяются права на принтер, соответствие категории принтера категории печатаемого документа и делается теневая копия документа (опционально).
Доверенная информационная среда
Для каждого пользователя компьютера формируется определенный перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, «червей» и шпионского ПО, а также использование ПК в качестве игровой приставки.
Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.
Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнaружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:
· регистрация события в журнале Secret Net;
· восстановление поврежденной/модифицированной информации;
· отклонение или принятие изменений.
Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирование на эти изменения. Предусмотрено два вида реакций:
· регистрация события в журнале Secret Net;
· для модели, класса или группы устройств;
· индивидуально для каждого устройства.
Позволяет избежать утечек конфиденциальной информации при краже или утилизации оборудования. Осуществляется посредством многократной записи случайной информации на место удаляемого файла.
Функциональный контроль предназначен для обеспечения гарантии того, что к моменту входа пользователя в ОС (т.е. к моменту начала работы пользователя) все ключевые компоненты Secret Net загружены и функционируют.
Защита информации в процессе хранения
Печать осуществляется под контролем системы защиты. При разрешенном выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами. Регистрация событий вывода документов на печать фиксируется в журнале Secret Net.
Механизм теневого копирования обеспечивает создание в системе дубликатов данных, выводимых на отчуждаемые носители информации.
Теневое копирование поддерживается для устройств следующих видов:
· подключаемые сменные диски;
· дисководы гибких дисков;
· дисководы оптических дисков с функцией записи;
Система Secret Net 7 регистрирует все события, происходящие на компьютере: включение/выключение компьютера, вход/выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.
Удобство управления и настроек
В Secret Net 7 реализована возможность экспорта и импорта различных параметров системы. После проверки корректности работы защитных механизмов на компьютере, принимаемом за эталонный, выполняется экспорт значений параметров в файл. Далее значения импортируются на необходимое количество компьютеров.
В Secret Net предусмотрено получение различных отчетов о состоянии системы.
Отчеты могут содержать сведения: об установленном на компьютерах программном обеспечении;
настройках защитных механизмов и перечне защищаемых ресурсов; пользователях системы и настройках их параметров; установленных в системе комплексах «Соболь» и пользователях, имеющих к ним доступ; идентификаторах пользователей и режимах их использования; событиях, зафиксированных в журналах.
Экспорт параметров настройки Secret Net 6 осуществляется в файлы, содержимое которых в дальнейшем можно импортировать в другие групповые политики. Могут использоваться следующие способы экспортирования параметров:
· общий экспорт с возможностью выбора экспортируемых параметров (не предусматривает экспорт элементов списка устройств по отдельности). Сведения сохраняются в файлах формата описания политик ОС Windows (*.inf);
· экспорт элементов списка устройств по отдельности. Сведения сохраняются в файлах специального формата описания устройств системы Secret Net 6 (*.sndev).
Для общего экспорта параметров:
1. Вызовите контекстное меню раздела "Параметры Secret Net" и активируйте команду "Экспорт настроек политики в файл".
На экране появится стартовый диалог Мастера экспорта.
2. Выберите имя файла для экспорта.
3. В зависимости от того, какие параметры требуется экспортировать, отметьте соответствующее поле:
· "Экспортировать все параметры" — для экспорта всех параметров, включенных в структуру папок раздела "Параметры Secret Net";
· "Экспортировать только выбранные параметры" — для выбора экспортируемых параметров.
4. Нажмите кнопку "Далее >".
На экране появится следующий диалог Мастера экспорта.
5. Если на шаге 3 была установлена отметка в поле "Экспортировать только выбранные параметры", Мастер экспорта предложит выбрать экспортируемые параметры. В иерархическом списке параметров отметьте нужные и нажмите кнопку "Далее >".
6. В диалоге Мастера экспорта нажмите кнопку "Готово".
Программа выполнит экспорт параметров в выбранный файл. После успешного экспорта на экране появится соответствующее сообщение.
7. Нажмите кнопку "OK".
Для экспорта элемента списка устройств:
1. Выберите папку "Устройства".
В правой части окна появится иерархический список устройств.
2. Вызовите контекстное меню нужного элемента списка и активируйте команду "Экспорт".
На экране появится стандартный диалог сохранения файла ОС Windows.
3. Укажите имя файла и каталог, в котором сохранится файл, после чего нажмите кнопку "Сохранить".
информационные системы и технологии
Главная Обнаружена уязвимость в Secret Net 7
Обнаружена уязвимость в Secret Net 7В программном обеспечении Secret Net 7 (аналогично версиях Secret Net 6, Secret Net 6 (вариант К), Secret Net 5 и Secret Net 5.1) обнаружена уязвимость, позволяющая пользователю повысить свои привилегии до административных путем запуска вредоносного программного обеспечения (уязвимость зарегистрирована в банке данных угроз безопасности ФСТЭК под номером 2016-00436 ).
В связи с этим компания «Код Безопасности» выпустила обновление СЗИ Secret Net 7 (пакет обновления 6). В нем исправлены ошибки, позволяющие злоумышленникам эксплуатировать уязвимость. Дистрибутив и порядок обновления доступны по ссылке http://www.securitycode.ru/products/secret_net/sns7.
Обновление обязательно к установке сразу после выпуска без ожидания окончания процедуры инспекционного контроля. В случае проведения обновления в аттестованной системе заказчику требуется направить письмо-уведомление в орган по аттестации (организацию выдавшую аттестат). При этом переаттестации системы не требуется. Подробно порядок обновления СЗИ Secret Net 7 зафиксирован в обновленном разделе 6 ( Формуляра RU.88338853.501410.015 30 ).
При невозможности оперативного выполнения обновлений (в том числе до выпуска обновлений для продуктов Secret Net 6 и Secret Net 6 (вариант К)) должны быть приняты технические меры, направленные на ограничение списка разрешенных к запуску приложений. Ограничения на запуск реализуются с помощью механизма замкнутой программной среды, подробная инструкция по его настройке приведена по ссылке ftp://ftp.securitycode.ru/Demo/sn/sn7/604_00/Instr_uel.rtf.
Специалисты "АСБК" готовы оказать необходимую помощь в проведении мероприятий по устранению обнаруженной уязвимости!
Курс «Применение системы защиты Secret Net 7» является базовым курсом для изучения работы сертифицированного средства защиты информации Secret Net. Курс обеспечивает получение теоретических знаний и практических навыков, необходимых для инсталляции компонентов, настройки защитных подсистем, управления политиками безопасности, аудита и мониторинга состояний рабочих станций.
Во время прохождения обучения слушатели будут учиться устанавливать и настраивать механизмы защиты системы, используя интерфейс администрирования Secret Net 7 в автономном и сетевом режиме.
Курс рекомендован и будет полезен тем, кто занимается поддержкой, инсталляцией и/или администрированием систем защиты информации – системным администраторам, системным инженерам, менеджерам по безопасности, а также инженерам технической поддержки, осуществляющим совместную техническую поддержку Secret Net.
Целевая аудитория:Курс предназначен для сотрудников отдела Информационной безопасности, руководителей отдела ИБ, а также тех, на кого возложены обязанности управления комплексом СЗИ от НСД Secret Net.
Программа мероприятия:1.1 Функциональные требования Secret Net 7
1.2 Варианты развёртывания СЗИ от НСД Secret Net 7
1.3 Архитектура Secret Net 7
1.4 Установка и обновление Secret Net 7
Лабораторный модуль № 1
Инсталляция компонентов системы и настройка механизмов защиты SN 7.3 в автономном варианте
(Лабораторные работы 1-10)
1. Автономная установка
2. Настройка СЗИ Secret Net 7.3 в соответствии с заданными параметрами
3. Настройка полномочного управления доступом
4. Настройка аудита операционной системы и событий Secret Net
5. Работа с журналом событий Secret Net
6. Настройка механизма дискреционного управления доступом
7. Управление доступом к съемным носителям информации
8. Настройка механизма замкнутой программной среды
9. Настройка механизма контроля целостности
10. Построение отчетов SN
2.1 Механизмы защиты Secret Net
2.2 Защита входа в систему
2.3 Затирание данных
2.4 Контроль устройств
2.5 Полномочное управление доступом
2.6 Контроль целостности и замкнутая программная среда
2.7 Контроль печати
2.8 Дискретное управление доступом
2.9 Защита дисков
Лабораторный модуль № 2
Инсталляция компонентов системы и настройка механизмов защиты SN 7.3 в сетевом варианте
(Лабораторные работы 1-3)
1. Подготовка к установке
2. Установка компонентов SN 7.3
3. Функциональные возможности и централизованное применение политик в Программе управления Secret Net 7.3
4. Работа с электронными идентификаторами
5. Защита диска и лицензии
5. Настройка теневого копирования и маркировки при контроле печати
Лабораторный модуль № 2, работы 4-6
4. Работа с электронными идентификаторами
5. Защита диска и лицензии
6. Настройка теневого копирования и маркировки при контроле печати
Отзыв о мероприятии оставлен 10.08.2016 15:09
Курс очень понятный. Преподаватель отвечал на все заданные вопросы полными и понятными ответами.
Лабораторные стенды хорошего исполнения. Есть возможность в полной мере поработать с ПО.
С удовольствием посещу другие направления по курсам.
