Компьютеры как никто другой могут делать несколько дел сразу. Однако из соображений безопасности выполнение разных задач часто должно быть разнесено по разным вычислительным средам.

Чтобы безопасность не мешала сотруднику становиться счастливым, на сегодняшний день существует уже целый ряд защищенных решений, позволяющих выполнять задачи в разных контурах защищенности на одном рабочем месте.

Задачу работы в двух контурах защиты с использованием микрокомпьютеров Новой гарвардской архитектуры можно решить несколькими способами. Опишем те из них, которые не требуют использования никаких дополнительных инфраструктурных решений типа «брокеров» или аналогичных.

Очевидно, что основа у этих способов общая: работа в разных контурах будет изолирована в том случае, если соединение с серверной частью производится из разных – изолированных одна от другой – ОС.

1. Использование модификации компьютера с физическим переключателем, положение которого определяет один из двух разных банков памяти, из которых может загружаться ОС. То есть запуск одной или второй ОС определяется положением переключателя, которым невозможно управлять программно – ни хакеру, ни вирусу. Итак, при одном положении переключателя запускается ОС, например, с ICA клиентом, который инициирует сессию с терминальным сервером в общедоступном контуре, а при втором положении переключателя – ОС, допустим, с VMware View Client, соединяющимся с защищенным виртуальным рабочим столом. Или как угодно иначе. Главное, что из одной ОС можно попасть только в один контур, а из второй – только в другой.

2. При использовании микрокомпьютера с одной ОС, размещенной в памяти в режиме RO, параметры доступа к серверной части системы хранятся обычно на внутренней SD-карте. Однако это не единственная возможность: параметры доступа и при необходимости какое-то дополнительное ПО можно получать с сервера по сети.

В модификации «MKT-card long для двойного применения» реализованы оба эти варианта одновременно. В процессе загрузки пользователь может выбрать, откуда получить конфигурационную информацию, и в зависимости от этого выбора попасть в один или в другой контур.

Наиболее логичными видятся доступ в контур ограниченного доступа с помощью загружаемых по сети конфигураций и доступ в общедоступный контур с конфигурациями на SD-карточке (потому что это позволит более гибко и оперативно управлять настройками доступа именно в более тщательно защищаемый контур). Хотя можно поступить и наоборот – это зависит скорее от желательного порядка администрирования конфигураций, чем от соображений безопасности.

3. Ну и, конечно, неверно было бы списывать со счетов естественный способ, порождаемый самой архитектурой решения, – использование док-станции и отчуждаемого ПК (рис. 58). Док-станции и ПК в общем случае инвариантны один к другому, то есть любой ПК можно подключить к любой док-станции той же модели. А значит, доступ в разные контуры можно получать, просто подключая к своей док-станции разные компьютеры.

Рис. 58. Микрокомпьютер MKT-card long и док-станция

Еще одна типично офисная задача, связанная с защитой информации, – включение выработки и проверки ЭП в технологию обработки электронных документов. Если нарисовать предельно обезличенную схему, то с учетом обрисованных условий она может выглядеть примерно так: документы формируются на терминальных серверах и должны быть подписаны операторами терминалов, при этом работа должна производиться с учетом требований Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» [60] (далее – Закон № 63-ФЗ) и Требований к средствам электронной подписи (Приложение № 1 к Приказу ФСБ России от 27.12.2011 № 796 [31]; далее – Требования).

С применением защищенного терминала MKT-card long это может быть реализовано, например, так:

1) документ формируется на терминальном сервере;

2) когда документ должен подписать оператор терминала, он передается с терминального сервера на терминальный клиент;

3) в целях контроля целостности документа при передаче по каналу перед отправкой на терминал он подписывается средством криптографической защиты информации на ключе сервера в автоматическом режиме (ст. 4 Закона № 63-ФЗ[211]);

4) на терминале подпись проверяется резидентным СКЗИ терминала;

5) в случае подтверждения целостности документ визуализируется (ч. 2 ст. 12 Закона № 63-ФЗ[212]);

6) оператор должен сознательным действием подтвердить корректность отображенного документа (ч. 2 ст. 12 Закона № 63-ФЗ);

7) подтверждение оператора является сигналом для вычисления хеш-функции от документа резидентным СКЗИ терминала. Далее тем же резидентным СКЗИ или отчуждаемым персональным СКЗИ (токеном) вычисляется ЭП (п. 15 Требований[213]);

8) после подписания документ снова визуализируется на терминале (ч. 2 ст. 12 Закона № 63-ФЗ).

Подтверждение оператора является сигналом для отправки подписанного документа на сервер.

Очевидно, что факторами, определяющими реализуемость данной схемы (как и любой другой разумной схемы встраивания в технологию ЭДО механизмов ЭП) на микрокомпьютерах семейства MKT, являются, с одной стороны, доверенная среда, обеспечиваемая технологически, и с другой – их вычислительные характеристики, достаточные для вычисления и проверки ЭП резидентным СКЗИ и корректной визуализации документа[214].

На данный момент есть опыт встраивания всех наиболее распространенных отечественных СКЗИ.

В части идентификаторов и ключевых носителей в MKT-card long предусмотрен целый ряд возможностей.

Во-первых, сам отчуждаемый компьютер из состава MKT-card long обладает всеми признаками персонального аппаратного идентификатора и ключевого носителя. Он отчуждаемый, персональный, безусловно аппаратный и защищенный. Он может выполнять функции идентификатора пользователя в СЗИ НСД семейства «Аккорд» и защищенного ключевого носителя.

Такое хранение и аутентифицирующей, и ключевой информации является заметно более правильным с точки зрения защиты информации по следующим причинам. При идентификации с помощью компьютера пользователь подтверждает не только то, что подключается к системе именно он, но и то, что он это делает именно со своего законного рабочего места, а не со специально подготовленного надлежащим образом ноутбука, например просто используя свой легальный идентификатор. Это позволит блокировать значительное число уязвимостей, связанных с так называемым BYOD, что на самом деле зачастую является неконтролируемым размыванием защищенного контура.

В плане работы с ключами все еще более очевидно, ведь даже храня ключи на так называемом «токене», можно скомпрометировать их, подключив токен не к защищенному рабочему месту, а к незащищенному компьютеру, на котором уже есть какой-нибудь ворующий ключи троян.

Заметим, что для укрепления метафорического смысла термина «ключ» пропорции отчуждаемого компьютера таковы, что он помещается в стандартный пенал для ключей и может сдаваться под охрану в конце рабочего дня.

Во-вторых, в MKT-card long реализована поддержка наиболее распространенных типов идентификаторов (список расширяемый, поскольку образ ОС формируется для каждой конкретной системы отдельно) и ключевых носителей, работающих по стандартному протоколу CCID.

Построение микрокомпьютера в виде комплекта «интеллектуальной» и «интерфейсной» частей имеет смысл не только для офисного применения. Максимально далекая от офисной область применения – критические информационные инфраструктуры (КИИ) [22, 33, 48] – нуждается в таком разделении едва ли не больше. Довольно быстро исчезли сомнения в том, что финансовые организации в большинстве своем попадают в зону действия нормативной базы, касающейся КИИ. Краткий обзор, который может служить своего рода путеводителем по наиболее важным документам в этой области, приведен в конце главы. Здесь же