Эта статья предназначена в первую очередь для владельцев объектов информатизации, которые столкнулись с требованием купить и установить средство доверенной загрузки (СДЗ), но не знают, с какой стороны подойти к этому вопросу. Тем не менее, и опытные пользователи СДЗ могут найти что-то интересное, например, почему нельзя просто ставить пароль на BIOS вместо СДЗ.

Предположим, что вам нужно купить и установить СДЗ. Вы столкнулись с этим, как с требованием, а теперь пробуете разобраться, зачем это вообще нужно, что конкретно и у кого покупать.

Зачем?

Если упростить, то компьютер запускается так: вы нажимаете кнопку, запускается BIOS, BIOS запускает операционную систему (например, Windows).

Именно BIOS выбирает, какую систему запускать. Для этого в нем есть упорядоченный список устройств, где он ищет пригодные для запуска системы: сначала поищет на жёстком диске, если там нет - на другом жёстком диске, если и там нет - на подключенных флешках и так далее.

Допустим, что у нас на жестком диске установлена абсолютно безопасная операционная система Windows, на которой ещё и сверху установлено средство защиты от несанкционированного доступа - Dallas Lock 8.0-К, например. Злоумышленнику нашу безопасную систему не пробить - там и контроль устройств, и пароли сложные, и вообще сплошные меры защиты.

Но что если злоумышленник на этапе загрузки BIOS установит свое устройство - например, флешку, на которой установлена другая версия Windows, или CD-диск с портативной версией Linux?

Если он сможет заставить BIOS запустить не нашу абсолютно безопасную Windows, а портативный Linux, то все меры защиты Windows будут бесполезны - она просто не начнет работать. При этом наши ценные файлы, которые лежат на жёстком диске, будут видны так, как если бы мы просто подключили к Линуксу флешку - их можно просматривать и скачивать без всяких ограничений, потому что ограничения - это внутри Windows, а она же не запустилась. Как с этим бороться?

1. Установить пароль на BIOS, чтобы никто, кроме администратора, не смог изменить порядок загрузки операционных систем. Почему это не работает? Во-первых, пароль на BIOS - это не сертифицированное средство защиты, а значит использовать его там, где требуются только сертифицированные средства, нельзя. Во-вторых, у многих производителей есть такая классная и удобная для них штука - стандартный пароль на BIOS. То есть вы, конечно, можете задать какой угодно пароль, но рядом с ним всегда будет действовать условный пароль "Dell" (список известных запасных паролей есть тут)

2. Использовать такое средство, которое загрузилось бы раньше, чем в BIOS появилась возможность изменить порядок загрузки, и проконтролировало, что запустится именно та система, в безопасности которой мы уверены. Вот это и есть средство доверенной загрузки

Получается, что нам от СДЗ требуется следующее:

• Чтобы оно загружалось раньше, чем появляется возможность изменить порядок загрузки систем в BIOS

• Чтобы оно запрашивало логины и пароли тех, кто с ним работает, для продолжения загрузки

• Чтобы оно запускало только ту систему, в правильной настройке и безопасности которой мы уверены

• (... и, естественно, много чего еще, если хотим углубиться - можно посмотреть профиль защиты СДЗ)

Поскольку такое устройство должно запускаться раньше (на самом деле вместе, но это технические детали) BIOS, то оно чаще всего обречено быть аппаратным, то есть существовать в реальном мире в виде некой платы. Вот так, например, выглядит СДЗ ПАК "Соболь", производимое ООО "Код Безопасности".

Что покупать?

Теперь мы понимаем, зачем нам нужно СДЗ и готовы его купить. На что обращать внимание:

1. Сертификат

2. Разъем для подключения

3. Совместимость

4. Количество

Сертификат

Если к вам применимы требования о сертифицированных средствах защиты, значит СДЗ тоже должно быть сертифицировано. Причем сертифицировано именно по требованиям того регулятора, под область которого вы попадаете. Если этот регулятор - ФСТЭК России, то проверить сертификат СДЗ можно в реестре СЗИ ФСТЭК России. Примеры сертифицированных СДЗ, о которых дальше пойдет речь - СДЗ "Dallas Lock" (сертификат 3666) и ПАК "Соболь" версия 4 (сертификаты 4043 и 4575).

Разъем для подключения

Интересующие нас СДЗ чаще всего делаются в трех видах:

• Для подключения в слот PCI Express

• Для подключения в слот mini PCI Express

• Для подключения в слот M.2 A-E

Это значит, что в компьютере, в который вы планируете установить СДЗ, должен быть свободен соответствующий слот. Как правило, в стационарных компьютерах есть слоты PCI Express (в них обычно подключают видеокарты). А вот в ноутбук СДЗ PCI Express не вставить - слишком уж плата большая. Поэтому нужно смотреть, есть ли в ноутбуке слот mini PCI Express или M.2 A-E - в них частенько вставляют Wi-Fi модули. Узнать, есть ли в вашем компьютере данные слоты можно из технической документации, либо с помощью вскрытия корпуса. Если мы убедились, что подходящий разъем у нас есть, двигаемся дальше. Если подходящих разъемов нет - можно сразу посмотреть в конец следующего раздела.

Совместимость

СДЗ могут быть не совместимы с различными версиями материнских плат. Это значит, что производитель не гарантирует, что если вы просто купите его СДЗ и попробуете воткнуть его в ваш компьютер, то оно будет работать. При чем эта проблема совершенно реальна, СДЗ могут быть не совместимы с достаточно большим количеством устройств, так что закупать вслепую - очень опасный путь. Что же делать?

1. Запросить у производителя список устройств, совместимость с которыми проверена и подтверждена. "Код Безопасности", например, предоставляет таблицу совместимости ПАК Соболь прямо на сайте. Если ваше устройство там есть - всё круто, можно смело покупать СДЗ!

2. Если вашего устройства там нет, то можно, например, запросить у поставщиков СДЗ один экземпляр для тестирования. Список партнеров ООО "Конфидент" (производитель СДЗ "Dallas Lock"), у которых можно запросить СДЗ для тестирования, также есть на сайте. При этом к тестированию лучше привлечь человека, занимающегося настройкой СДЗ, т.к. не всегда эти средства работают "из коробки" и иногда им требуется изменение базовых параметров. Запрашиваете, проверяете, если подошло - можно закупать. А что если в таблице написано "не совместимо", или протестированный образец не запустился? К сожалению, такое тоже бывает, и иногда не остается ничего, кроме замены технических средств или использования дополнительных организационных мер защиты, которые согласуются с теми, кто вашу защищенность оценивает.

Количество

Из того, что СДЗ, как правило, представляет собой аппаратное устройство, следует, что, если у нас есть 5 компьютеров, то для их защиты нам нужно 5 СДЗ. Не получится купить одну плату и в документах "поставить" её сразу не все компьютеры - физически плата всё-таки одна. Это кажется очевидным, но, исходя из опыта, требует отдельного упоминания.

Итоги

Теперь мы понимаем, зачем покупать СДЗ, какие они бывают и на что ориентироваться при выборе.

Неосвещенные здесь вопросы, которые также могут пригодиться, если вы погружаетесь в тему доверенной загрузки:

• Программные средства доверенной загрузки

• Этапы запуска компьютера с точки зрения средства доверенной загрузки

• Если поставить сразу два средства доверенной загрузки - какое из них запустится первым?