• внедрения вредоносного программного обеспечения в систему при работе сети Интернет;
• потери или кражи мобильного устройства.

По статистике компании Intel каждую минуту в мире крадётся или теряется 1 ноутбук. Половина из этих устройств хранит конфиденциальную информацию в незашифрованном виде. Под постоянной угрозой находятся личные и рабочие данные: финансовая информация, бизнес-планы, ноу-хау, корпоративные приложения.

У пользователей и сотрудников служб информационной безопасности возникает вопрос, как снизить риски и как обеспечить защиту этих данных?

Технология Базовый Доверенный Модуль (БДМ)

Компания ЭЛВИС-ПЛЮС разработала технологию БДМ в соответствии с требованиями российских регуляторов в области защиты информации и современными мировыми стандартами. Технология предназначена для построения доверенной вычислительной среды на мобильных компьютерах, планшетах и смартфонах, базирующихся на архитектуре Intel x64.

Технология БДМ не противопоставляется реализованным в архитектуре Intel x64 мобильного устройства механизмам доверенной загрузки (PTT, Secure Boot и др.) - они могут использоваться для повышения уровня защищённости и выстраивания многоуровневой защиты от несанкционированного воздействия на доверенную вычислительную среду.

Технология БДМ реализуется при помощи программного обеспечения и не требует никаких дополнительных наложенных аппаратных средств, за исключением внешнего носителя ключа (токен либо флеш-память).

Первым сертифицированным ФСБ России продуктом с технологией БДМ является специальное программное обеспечение (СПО) «Мобильное защищённое автоматизированное рабочее место «Базовый Доверенный Модуль» (МЗ АРМ БДМ).

Функции безопасности БДМ

Действенные меры защиты информации на ноутбуках, ультрабуках, планшетах и смартфонах от современных и будущих угроз:

• многофакторная аутентификация доступа;
• контроль целостности среды обработки информации;
• шифрование всех данных на жёстком диске мобильного устройства.

Реализовать эти меры на мобильных устройствах отечественными средствами защиты информации затруднительно из-за несовместимости интерфейсов и форм-факторов аппаратных модулей доверенной загрузки и недостаточной производительности криптоопераций при работе с дисковой памятью. А применение решений иностранного происхождения для криптографической защиты конфиденциальной информации ограничивается или запрещается нормативно-правовыми актами.

Электронный замок

Технология БДМ поддерживает двухфакторную строгую аутентификацию для доверенной загрузки. Поэтому чтобы получить доступ к доверенной среде функционирования (ОС), недостаточно знать пароль для входа в операционную систему. Пользователь должен иметь ключ (на носителе) и пароль к нему, необходимые для запуска проверки целостности аппаратной и программной частей. В сочетании с механизмом контроля целостности это реализует функции электронного замка.

Контроль целостности

Ещё до старта ОС контролируются целостность и неизменность аппаратной конфигурации и BIOS, а после этого с помощью уже проверенных компонент, получив доверие к «железу», — начального загрузчика, СПО БДМ, критичных файлов и настроек операционной системы. Такой подход предупреждает несанкционированные изменения аппаратной части и ОС, которые могли бы повлиять на безопасность данных.

Прозрачное шифрование

БДМ шифрует весь диск (Full Disk Encryption), т.е. пользовательские данные, системный раздел, временные файлы, файлы подкачки, файлы-журналы приложений, дампы памяти и образы рабочей станции, сохраняемые на диске при переходе компьютера в спящий режим.

Утеря или кража компьютера не угрожают конфиденциальности хранимых данных. Раздел жесткого диска, на котором установлена доверенная операционная система, шифруется с использованием алгоритма ГОСТ 28147-89. Пользователь не получит доступ к данным на зашифрованном разделе без прохождения контроля целостности и процедуры двухфакторной аутентификации. Каждый сектор диска шифруется отдельным ключом, что делает практически неразрешимой задачу расшифрования информации злоумышленником в случае кражи или утери мобильного устройства.

Операции шифрования и расшифрования проходят в режиме реального времени в момент обращения к диску прозрачно для приложений и пользователя и не вносят видимых временных задержек, так как производительность криптографических операций сравнима с производительностью операций чтения/записи диска (для Core i5 на одном процессорном ядре скорость шифрования составляет порядка 300 Мбайт/с).