Numa Arce – первый в России программный модуль доверенной загрузки, прошедший сертификацию по безопасности информации в системах ФСБ России, ФСТЭК России и Министерства Обороны Российской Федерации, интегрированный и функционирующий в отечественной среде базовой системы ввода-вывода Numa BIOS (UEFI BIOS), разработанной командой НумаТех.
Предназначен для защиты средств вычислительной техники от несанкционированного доступа и обеспечения контроля целостности программной и аппаратной конфигурации СВТ, на которых он установлен, до начала работы операционной системы или гипервизора, а также организации доверенной загрузки операционной системы после процедуры контроля целостности загружаемой среды.
Решаемые Numa Arce задачи
- Выполнение требований регуляторов: Реализация требований приказов ФСТЭК России № 17, 21, 31 и 239
- Реальная безопасность: Полный контроль доступа к конфиденциальной информации, в том числе, до загрузки ОС
- Комплексный контроль: Аудит программных и аппаратных составляющих критичного устройства, отчеты об изменениях, настраиваемая блокировка запуска
- Решение нестандартных задач: Организация инфраструктуры тонких клиентов, доверенная загрузка виртуальных машин, защита электронного документооборота
Ключевые особенности Numa Arce
- Обеспечение доверенной загрузки ОС: Одним из наиболее уязвимых мест современных информационных систем является процесс загрузки операционной системы, поэтому особенно важно контролировать параметры процесса загрузки: что загружать, откуда загружать, удостоверять целостность и достоверность объекта загрузки, защищать специальные области кода и данных от модификаций. Для решения этих задач разработан программный модуль доверенной загрузки Numa Arce.
- Комплексный контроль целостности: Numa Arce обеспечивает контроль целостности программной среды базовой системы ввода-вывода Numa BIOS, собственных модулей, загрузочной записи, журнала аудита, данных пользователей, загружаемых объектов, компонентов аппаратной платформы, в т.ч. firmware прошивок. При нарушении на любом этапе следует блокировка запуска СВТ.
- Ролевое разграничение доступа: В Numa Arce использована модель ролевого разграничения доступа, применение которой необходимо для СВТ в составе информационных систем с повышенными требованиями к безопасности. Numa Arce может является единой точкой авторизации и хранения политик СВТ.
- Неизвлекаемый модуль доверенной загрузки: Numa Arce, реализованный на уровне базовой системы ввода вывода Numa BIOS, не извлекается из СВТ, его невозможно «обойти» или несанкционированно отключить в процессе работы, в противовес классическим АПМДЗ.
- Поддержка технологий SSO, PKI: Numa Arce поддерживает технологию единого входа SSO (Single Sign-On), что позволяет автоматически аутентифицироваться во всех других системах после прохождения процедуры первой аутентификации
- Удаленная авторизация пользователей на LDAP/AD: Numa Arce позволяет использовать удалённые серверы каталогов LDAP/AD в качестве баз данных учётных записей пользователей
- Интеграция с SIEM: Numa Arce ведет непрерывную регистрацию событий безопасности, которая записывается в журналы аудита. Данные журналы могут быть удаленно экспортированы в стороннюю SIEM-систему с целью их дальнейшего анализа и выработки мер реагирования.
- Поддержка аппаратных идентификаторов: В Numa Arce реализована многофакторная аутентификация пользователя с помощью аппаратных идентификаторов (USB-токенов и смарт-карт).
- Единственное ПО тонкого клиента: За счет реализации стека сетевых протоколов, функций проброса аппаратных идентификаторов и возможности загрузки ОС по сети Numa Arce может использоваться в качестве единственного ПО тонких клиентов (zero client). Таким образом, применение Numa Arce позволяет создать основу для построения защищенной VDI-инфраструктуры.
- Централизованный сбор событий безопасности: Numa Arce позволяет централизованно собирать журналы аудита со всех защищаемых устройств, в том числе, факты аутентификации пользователей, включения/выключения СВТ, историю действий пользователей, изменения аппаратной составляющей и т. д. Выгрузка журналов может осуществляться в режиме реального времени.
- Сертификаты Минобороны №5224 от 03.03.2021 (срок действия: 03.03.2026)
- Модуль доверенной загрузки Numa Arce cоответствует требованиям документов:
- «Требования к средствам доверенной загрузки» (ФСТЭК России, 2013 г.);
- «Профиль защиты средства доверенной загрузки уровня базовой системы ввода-вывода второго класса защиты» ИТ.СДЗ.УБ2.ПЗ (ФСТЭК России, 2013 г.);
- «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 2 уровню контроля отсутствия недекларированных возможностей;
- Реальных и декларируемых в документации функциональных возможностей.
- Модуль доверенной загрузки Numa Arce cоответствует требованиям документов: