Сегодня киберугрозы становятся все более изощренными, и вопросы безопасности информации выходят на первый план. Одним из ключевых элементов защиты от несанкционированного доступа и манипуляций является доверенная загрузка. Рассказываем, что такое аппаратный модуль доверенной загрузки, интегрированный в систему, и почему он становится надежным щитом, обеспечивая защиту на всех этапах работы устройства.
Доверенная загрузка — это процесс запуска операционной системы и приложений с гарантией их целостности и подлинности. Она является ключевым элементом безопасности, так как защищает систему от несанкционированного доступа и модификации программного обеспечения на ранних стадиях работы.
Процесс загрузки устройства с установленным аппаратно-программным модулем доверенной загрузки выглядит следующим образом:
Таким образом, СДЗ обеспечивает защищенную среду для загрузки, гарантируя целостность и подлинность всех компонентов системы до начала работы операционной системы.
Аппаратный модуль доверенной загрузки (АМДЗ), также известный как TPM (Trusted Platform Module), представляет собой специализированный микрочип, встроенный в материнскую плату или другие устройства. Он функционирует как защищенная среда, обеспечивающая безопасность процесса загрузки и работу ключевых функций системы.
АМДЗ состоит из нескольких ключевых компонентов:
Модуль доверенной загрузки выполняет следующие функции:
В итоге аппаратный модуль доверенной загрузки предоставляет дополнительный уровень защиты от киберугроз и обеспечивает надежный фундамент для безопасной работы устройства.
Сертификация средств доверенной загрузки — ключевой элемент обеспечения доверия к их безопасности и функциональности. Процесс сертификации основан на строгих критериях, которые определяют уровень защиты от киберугроз и соответствие действующим стандартам.
Алена Лукашева
Заместитель руководителя департамента аудита и консалтинга iTPROTECT
Средства доверенной загрузки предназначены для обеспечения защиты данных от угроз несанкционированного доступа (НСД) и противодействия атакам на базовую систему ввода-вывода. В требованиях, установленных ФСТЭК России, выделены следующие типы средств доверенной загрузки (СДЗ):
- СДЗ уровня базовой системы ввода-вывода, встраиваемые в BIOS/UEFI для управления порядком загрузки операционной системы. Они обеспечивают аутентификацию пользователей и журналирование их действий, контроль целостности BIOS/UEFI, проверку подлинности и целостности загружаемых модулей операционной системы.
- СДЗ уровня платы расширения. Они устанавливаются внутри устройства и перехватывают управление порядком загрузки устройства, исключая возможность загрузки операционной системы с внешних накопителей.
- СДЗ уровня загрузочной записи жесткого диска, использующие шифрование или замену загрузочной записи жесткого диска, работающие до передачи управления операционной системы.
Для дифференциации требований к функциям безопасности средств доверенной загрузки выделяются шесть классов защиты средств доверенной загрузки. Самый низкий класс — шестой, самый высокий — первый.
Соответствующие профили защиты для средств доверенной загрузки открыто опубликованы лишь для некоторых классов в форме методических документов ФСТЭК России:
- Профиль защиты. Средства доверенной загрузки уровня базовой системы ввода-вывода четвертого класса защиты (ИТ.СДЗ.УБ4.ПЗ);
- Профиль защиты. Средства доверенной загрузки уровня платы расширения четвертого класса защиты (ИТ.СДЗ.ПР4.ПЗ);
- Профиль защиты. Средства доверенной загрузки уровня загрузочной записи пятого класса защиты (ИТ.СДЗ.ЗЗ5.ПЗ);
- Профиль защиты. Средства доверенной загрузки уровня загрузочной записи шестого класса защиты (ИТ.СДЗ.ЗЗ6.ПЗ).
В соответствии с информационным письмом ФСТЭК России от 06.02.2014 г. № 240/24/405 «Об утверждении Требований к средствам доверенной загрузки», выделяются три уровня средств доверенной загрузки:
Сертификация средств доверенной загрузки является важным шагом для обеспечения доверие к их безопасности и функциональности. Она гарантирует, что данные и системы защищены от киберугроз и соответствуют стандартам безопасности.
Использование модулей доверенной загрузки значительно увеличивает уровень безопасности систем, гарантируя целостность и подлинность компонентов операционной системы и приложений. АМДЗ защищают от вредоносного ПО, обеспечивают безопасное хранение ключей и поддерживают действующие стандарты безопасности.
Очевидно, что технология доверенной загрузки будет дальше развиваться, чтобы удовлетворять растущие требования безопасности. Ожидается, что средства доверенной загрузки будут интегрированы в еще более широкий спектр устройств, включая IoT-устройства и промышленные системы.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться