Лекция №1 НСД Несанкционированный доступ к информации доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т.
Download ReportTranscript Лекция №1 НСД Несанкционированный доступ к информации доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т.
Лекция №1 НСД Несанкционированный доступ к информации доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т. д.) вкомпьютерных базах данных, файловых хранилищах, архивах, секретных частях и т. д. различных организаций путём изменения (повышения, фальсификации) своих прав доступа. Другими словами, это доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Так же иногда несанкционированным доступом называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей. Это активные действия по созданию возможности распоряжаться информацией без согласия собственника. Такие действия могут быть квалифицированы с использованием ст. 183, 272 УК РФ. Изменения уровня доступа достигаются путём использования методов социальной инженерии, ошибок и просчётов в системах безопасности, ошибок в программном обеспечении, а также подделки различных документов и удостоверений личности. Причины несанкционированного доступа к информации ошибки конфигурации (прав доступа, файрволов, ограничений на массовость запросов к базам данных) слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохоохраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников) ошибки в программном обеспечении злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации) Прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС Использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для имперсонализации. Приемы несанкционированного доступа к информации За дураком - физическое проникновение в производственные помещения - злоумышленник ожидает у закрытого помещения, держа в руках предметы связанные с работой на компьютерной технике (элементы маскировки), пока не появится кто-либо, имеющий легальный доступ в него, затем остается только войти внутрь вместе с ним или попросить его помочь занести якобы необходимые для работы на компьютере предметы. Другой вариант - электронное проникновение в СВТ - подключение дополнительного компьютерного терминала к каналам связи с использованием шлейфа "шнурка" в тот момент времени, когда законный пользователь кратковременно покидает свое рабочее место, оставляя свой терминал или персональный компьютер в активном режиме. За хвост - злоумышленник подключается к линии связи законного пользователя и терпеливо дожидается сигнала, обозначающего конец работы, перехватывает его на себя, а потом, когда законный пользователь заканчивает активный режим, осуществляет доступ к системе. Подобными свойствами обладают телефонные аппараты с функцией удержания номера, вызываемого абонентом. Компьютерный абордаж - злоумышленник вручную или с использованием автоматической программы подбирает код (пароль) доступа к системе с использованием обычного телефонного аппарата. Неспешный выбор - злоумышленник изучает и исследует систему защиты от несанкционированного доступа, используемую в компьютерной системе, ее слабые места, выявляет участки, имеющие ошибки или неудачную логику программного строения, разрывы программы (брешь, люк) и вводит дополнительные команды, разрешающие доступ. Маскарад - злоумышленник проникает в компьютерную систему, выдавая себя за законного пользователя с применением его кодов (паролей) и других идентифицирующих шифров. Мистификация - злоумышленник создает условия, когда законный пользователь банковской системы осуществляет связь с нелегальным терминалом, будучи абсолютно уверенным в том, что он работает с нужным ему законным абонентом. Формируя правдоподобные ответы на запросы законного пользователя и поддерживая его заблуждения некоторое время, злоумышленник добывает коды (пароли) доступа или отклик на пароль. Аварийный - злоумышленник создает условия для возникновения сбоев или других отклонений в работе СВТ банковской компьютерной системы. При этом включается особая программа, позволяющая в аварийном режиме получать доступ к наиболее ценным данным. В этом режиме возможно “отключение” всех имеющихся в банковской компьютерной системе средств защиты информации, что облегчает доступ к ним злоумышленника. Гениальный документ Руководящий документ Средства вычислительной техники Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. 2. Требования к показателям защищенности Наименование показателя Дискреционный принцип контроля доступа Мандатный принцип контроля доступа Очистка памяти Изоляция модулей Маркировка документов Защита ввода и вывода на отчуждаемый физический носитель информации Сопоставление пользователя с устройством Идентификация и аутентификация Гарантии проектирования Регистрация Взаимодействие пользователя с КСЗ Надежное восстановление Целостность КСЗ Контроль модификации Контроль дистрибуции Гарантии архитектуры Тестирование Руководство для пользователя Руководство по КСЗ Тестовая документация Конструкторская (проектная) документация "-" – нет требований к данному классу; "+" – новые или дополнительные требования, "=" – требования совпадают с требованиями к СВТ предыдущего класса. Класс защищенности 6 + - 5 + + - 4 + + + + + 3 = = + = = 2 + = = + = 1 = = = = = - - + = = = + + + + + + = + + + + = + + + + + + + + + = = + + = = + + + + + + = + + + = = + = = = = + + + = + + + = = + = = = = = = + = = = = + КРИПТОН-ЗАМОК Изделия М-526, М-526А, М-526Б (АПМДЗ «КРИПТОН-ЗАМОК») - это комплексы аппаратно-программных средств, который предназначены для обеспечения разграничения и контроля доступа пользователей к техническим средствам вычислительной сети (сервера и рабочие станции), на которых будет обрабатываться информация, в том числе и с высоким грифом секретности, разграничения доступа к аппаратным ресурсам компьютеров, а также контроля целостности установленной на компьютере программной среды под любые ОС, использующие файловые системы FAT12, FAT16, FAT32 и NTFS (Windows NT 4.0 и Windows 2000/XP/2003), а так же Ext2, Ext3 (Unix-системы). Изделия М-526, М-526А, М-526Б («КРИПТОН-ЗАМОК») обладают следующими возможностями: Идентификация и аутентификация пользователей до запуска BIOS компьютера. Создание нескольких профилей защиты, надежное разграничение ресурсов компьютера, принудительная загрузка операционной системы (ОС) с выбранного устройства в соответствии с индивидуальными настройками администратора для каждого пользователя. Блокировка компьютера при НСД, накопление и ведение электронного журнала событий (в собственной энергонезависимой памяти). Подсчет эталонных значений контрольных сумм объектов и проверка текущих значений контрольных сумм (рассчитываются по алгоритму вычисления хэш-функции по ГОСТ Р34.11-94), экспорт/импорт списка проверяемых объектов на гибкий магнитный диск. Интеграция в другие системы безопасности (сигнализация, пожарная охрана и пр.). Организация бездисковых рабочих мест на основе встроенного Флеш-диска 16 Мбайт. Алгоритм кодирования аутентифицирующей информации в Изделиях М-526, М-526А, М-526Б («КРИПТОН-ЗАМОК») в соответствии с требованиями ГОСТ 28147-89. Администратор имеет возможность разрешить некоторым пользователям осуществлять загрузку ОС с накопителя на гибком магнитном диске (НГМД) или CD ROM. Во всех других случаях Изделия М-526, М-526А, М-526Б («КРИПТОНЗАМОК») загружают ОС только через сетевой адаптер, произведенный фирмой «АНКАД», или с одного из накопителей на жёстком магнитном диске (НЖМД) компьютера, который специально подготовлен администратором. Одна из главных отличительных особенностей Изделий М-526, М-526А, М-526Б («КРИПТОН-ЗАМОК») - это их модульная структура, которая позволяет настраивать и дорабатывать его под разнообразные требования заказчиков. Система Dallas Lock 7.5 «Dallas Lock 7.5» для Windows 2000/XP/2003 (сертификат ФСТЭК Система Dallas Lock 7.5 России №1685 отпредставляет 18.09.08); собой программное средство защиты от несанкционированного доступа к что информации в персональном компьютере с Сертификат удостоверяет, флагманская версия является возможностью подключения аппаратных идентификаторов. программным средством защиты информации от Основные возможности СЗИ от НСД «Dallas Lock 7.5»: несанкционированного доступа к информационным ресурсам Запрет загрузки компьютера посторонними лицам. компьютеров и соответствуют руководящих Двухфакторная авторизация по паролю и требованиям аппаратным идентификаторам (USB eToken, Touch Memory) до загрузки ОС. документов Гостехкомиссии России по 2-му уровню контроля Разграничение прав пользователей на доступ к локальным и сетевым ресурсам. отсутствия недекларированных возможностей и 3-му классу Контроль работы пользователей со сменными накопителями. защищенности от НСД. Версияразграничения продукта может Мандатный и дискреционный принципы прав. использоваться Организация замкнутой программной среды. для защиты государственной тайны категории «совершенно Аудит действий пользователей. секретно» (АС до класса защищенности "1Б" включительно), а Контроль целостности ресурсов компьютера. такжеостаточной для защиты информации (персональных данных) в ИСПДн Очистка информации. Возможность автоматической печати штампов (меток конфиденциальности) на всех до 1 класса включительно. распечатываемых документах. Защита содержимого дисков путем прозрачного преобразования. Удаленное администрирование, выделенный центр управления, работа в составе домена безопасности. Возможна установка на портативные компьютеры (Notebook). Отсутствие обязательной аппаратной части. Удобные интерфейс, установка и настройка. Защита данных путем преобразования диска (кодирования) Поддержка различных аппаратных идентификаторов (USB_e Token, TM, Proximity) SecretNet5.1 Secret Net 5.1 – это комплексное решение, сочетающее в себе С помощью средств аппаратной поддержки можно запретить необходимые возможности по защите информации, пользователю загрузку ОС с внешних съёмных средства централизованного управления, средства носителей. В качестве аппаратной поддержки система оперативного реагирования и возможность Secret Net 5.1 использует программно-аппаратный мониторинга безопасности информационной системы комплекс «Соболь“ и Secret Net Touch Memory Card. в реальном времени. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определённого Тесная интеграция защитных механизмов Secret Net с времени после включения питания на плату не было механизмами управления сетевой инфраструктурой, передано управление, она блокирует работу всей повышает защищенность информационной системы системы. компании в целом. Замкнутая программная среда Скрыть всеРазграничение доступа Для каждого пользователя компьютера формируется Усиленная идентификация и аутентификация пользователей определённый перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для Система Secret Net 5.1 совместно с ОС Windows обеспечивает каждого пользователя, так и определен на уровне идентификацию и аутентификацию пользователя с групп пользователей. Применение этого режима помощью программно-аппаратных средств при его позволяет исключить распространение вирусов, входе в систему. В качестве устройств для ввода в нее «червей“ и шпионского ПО, а также использования ПК идентификационных признаков могут быть в качестве игровой приставки. использованы: Контроль целостности iButton; eToken Pro. Управление доступом пользователей к конфиденциальным данным Функция управления доступом пользователей к конфиденциальной информации. Каждому информационному ресурсу назначается один их трёх уровней конфиденциальности: «Не конфиденциально”, „Конфиденциально”, „Строго конфиденциально”, а каждому пользователю – уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации. Разграничение доступа к устройствам Защита информации в процессе хранения Шифрование файлов Предназначено для усиления защищенности информационных ресурсов компьютера. В системе Secret Net 5.1 управление шифрованием файлов и доступ к зашифрованным файлам осуществляется на уровне каталога. Пользователь, создавший зашифрованный ресурс, является его владельцем, он может пользоваться им не только индивидуально, но и предоставлять доступ к этому ресурсу другим пользователям. Шифрование файлов производится по алгоритму ГОСТ 28147–89. Контроль печати конфиденциальной информации. Печать осуществляется под контролем системы защиты. При разрешённом выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами. Факт печати отображается Используется для слежения за неизменностью в журнале защиты Secret Net 5.1. контролируемых объектов с целью защиты их от модификации. Контроль проводится в Гарантированное уничтожение данных автоматическом режиме в соответствии с некоторым случайной заданным расписанием. Уничтожение достигается путем записи последовательности на место удаленной информации Объектами контроля могут быть файлы, каталоги, в освобождаемую область диска. Для большей элементы системного реестра и секторы дисков. надежности может быть выполнено до 10 циклов Каждый тип объектов имеет свой набор (проходов) затирания. контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. Регистрация событий на наличие файлов по заданному пути. При обнружении несоответствия предусмотрены Система Secret Net 5.1 регистрирует все события, происходящие на компьютере: включение \ следующие варианты реакции на возникающие выключение компьютера, вход \ выход пользователей, ситуации нарушения целостности: события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода регистрация события в журнале Secret Net; конфиденциальной информации на печать и отчуждаемые носители и т.п. блокировка компьютера; Функция обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить, повреждённой/модифицированной либо разрешить пользователям работу с любыми восстановление Удобство управления и настроек информации; портами \ устройствами. Разграничивается доступ к следующим Импорт и экспорт параметров отклонение или принятие изменений. портам/устройствам: последовательные и параллельные порты; В Secret Net 5.1 реализована возможность экспорта и импорта Контроль аппаратной конфигурации компьютера сменные, логические и оптические диски; различных параметров системы. После проверки USB-порты. корректности работы защитных механизмов на Осуществляет своевременное обнаружение изменений в компьютере, принимаемом за эталонный, аппаратной конфигурации компьютера и Поддерживается контроль подключения устройств на шинах выполняется экспорт значений параметров в файл. реагирования на эти изменения. Предусмотрено два USB, PCMCIA, IEEE1394 по типу и серийному номеру, Далее значения импортируются на необходимое вида реакций: права доступа на эти устройства задаются не только количество компьютеров. регистрация события в журнале Secret Net; для отдельных пользователей, но и для групп блокировка компьютера. пользователей. Также существует возможность запретить использование сетевых интерфейсов — Ethernet, 1394 Функциональный самоконтроль подсистем FireWire, Bluetooth, IrDA, WiFi. Самоконтроль производится перед входом пользователя в систему и предназначен для обеспечения гарантии Доверенная информационная среда того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net 5.1 загружены и Защита от загрузки с внешних носителей функционируют. Сетевая версия системы Secret Net 5.1 обладает всеми возможностями автономной версии, кроме того в нее включены средства централизованного управления, что существенно облегчает работу администратора безопасности. Система централизованного управления В качестве хранилища информации в системе централизованного управления используется Active Directory (AD). Для нужд централизованного управления Secret Net 5.1 схема Active Directory расширяется — создаются новые объекты и изменяются параметры существующих. Для выполнения этих действий используется специальный модуль изменения схемы AD, который устанавливается и запускается на контроллере домена при установке системы централизованного управления. Для приведения параметров работы защитных средств компьютера в соответствие настройкам безопасности Secret Net 5.1, задаваемым с помощью групповых политик, используется агент Secret Net 5.1, установленный на каждом сервере или рабочей станции защищаемой сети. Столь тесная интеграция Системы Управления с Active Directory позволяет легко использовать Secret Net 5.0 для организации защиты сети, использующей многодоменную структуру. Построение защитной системы сети, использующей многодоменную структуру, на основе выделенного сервера безопасности, как это было в системах защиты предыдущего поколения, имело ряд существенных недостатков. Постоянно возникающие проблемы синхронизации данных между контроллером домена и сервером безопасности, завышенные требования к аппаратной части сервера безопасности – всё это значительно затрудняло централизованное управление безопасностью информационной системы. В Secret Net 5.1 эти проблемы принципиально отсутствуют. Оперативный мониторинг и аудит В Secret Net 5.1 предусмотрена функция оперативного мониторинга и аудита безопасности информационной системы предприятия, которая позволяет решать такие задачи, как: Оперативный контроль состояния автоматизированной системы предприятия (получение информация о состоянии рабочих станций и о работающих на них пользователях). Централизованный сбор журналов с возможностью оперативного просмотра в любой момент времени, а также хранение и архивирование журналов. Оповещение администратора о событиях НСД в режиме реального времени. Оперативное реагирование на события НСД — выключение, перезагрузка или блокировка контролируемых компьютеров. Ведение журнала НСД. Система Оперативного управления имеет свою базу данных, в которой хранится вся информация, связанная с работой сервера по обеспечению взаимодействия компонентов, а также журналы, поступающие от агентов. В качестве базы данных используется СУБД Oracle 9i. Мониторинг Программа мониторинга устанавливается на рабочем месте администратора оперативного управления — сотрудника, уполномоченного контролировать и оперативно корректировать состояние защищаемых компьютеров в режиме реального времени. С помощью программы мониторинга администратор может управлять сбором журналов с рабочих станций. Предусмотрено два варианта. Первый — сервер оперативного управления собирает журналы по команде администратора. Второй — администратор составляет расписание и передает его серверу, далее сервер собирает журналы в соответствии с этим расписанием. Также предусмотрена возможность создать удобный для администратора вид представления сети – т.н. «срез» (например, по отделам, по территориальному размещению и т.п.), в случае крупной распределённой сети, делегировать другим администраторам выделенные им для управления сегменты сети. Аудит В системе Secret Net 5.1 для проведения аудита используются 4 журнала, три из которых – штатные журналы ОС и одни хранит сведения событий, происходящих в Secret Net 5.1. Журналы ведутся на каждом защищаемом компьютере сети и хранятся в его локальной базе данных. Сбор журналов осуществляется по команде аудитора или по расписанию. Программа работы с журналами позволяет аудитору просматривать записи журналов и тем самым отслеживать действия пользователей, связанные с безопасностью автоматизированной информационной системы предприятия. В журналах предусмотрена удобная система фильтрации по различным критериям, которая значительно упрощает работу, связанную с поиском и анализом событий. С помощью программы работы с журналами аудитор может выдавать команды серверу на архивацию журналов, а также на восстановление журналов из архива. Предусмотрена возможность просмотра архивов, а также сохранения журнала в файл для последующей передачи и анализа записей вне системы Secret Net 5.1. Клиент Клиент Secret Net 5.1 следит за соблюдением настроенной политики безопасности на рабочих станциях и серверах, обеспечивает регистрацию событий безопасности и передачу журналов на Сервер Безопасности, а также приём от него оперативных команд и их выполнение.Сервер Безопасности Сервер Безопасности производит сбор журналов от зарегистрированных на нем агентов, накапливает полученную информацию в базе данных и обеспечивает выдачу команд оперативного управления клиентам (например, блокировку рабочей станции при выявлении попытки НСД).Программа оперативного управления, мониторинга и аудита («Монитор») Монитор является программой, которая отображает администратору оперативную информацию от Сервера Безопасности о состоянии рабочих станций и дает возможность отслеживать:какие компьютеры сети в данный момент включены; какие пользователи на них работают (как локально, так и в терминальном режиме). «Монитор» в режиме реального времени отображает оперативную информацию о происходящих событиях НСД, позволяет осуществлять просмотр журналов всех рабочих станций, а также выдавать на защищаемые рабочие станции команды оперативного управления. Модификатор схемы Active Directory Модификатор схемы AD используется для подготовки схемы Active Directory ОС Windows к развертыванию Secret Net 5.1. т.к. в качестве хранилища информации о настройках безопасности Secret Net 5.1 использует AD, данный модуль создаёт новые объекты и изменяет параметры существующих. Программы управления объектами и параметрами групповых политик, входящие в состав этого модуля, обеспечивают управление параметрами работы доменных пользователей и применение централизованных настроек безопасности Secret Net 5.1. Соболь Доступ к информации на компьютере получили только те сотрудники, которые имеют на это право. В случае повреждения ОС или важных информационных массивов, хранящихся на компьютере, администратор мог вовремя принять меры по восстановлению информации. Возможности Поддержка платы PCI-Express Аутентификация пользователей Идентификация и усиленная (двухфакторная) аутентификация пользователей с использованием персональных идентификаторов. В качестве персональных идентификаторов пользователей могут применяться: Используемый в комплексе "Соболь" механизм контроля целостности позволяет контролировать неизменность файлов и физических секторов жесткого диска до загрузки операционной системы. Для этого вычисляются некоторые контрольные значения проверяемых объектов и сравниваются с ранее рассчитанными для каждого из этих объектов эталонными значениями. Формирование списка подлежащих контролю объектов с указанием пути к каждому контролируемому файлу и координат каждого контролируемого сектора производится с помощью программы управления шаблонами контроля целостности. Сторожевой таймер Механизм сторожевого таймера обеспечивает блокировку доступа к компьютеру при условии, что после включения компьютера и по истечении заданного интервала времени управление не передано расширению BIOS комплекса "Соболь". iButton eToken PRO Регистрация попыток доступа к ПЭВМ iKey 2032 Rutoken S Rutoken RF S Блокировка загрузки ОС со съемных носителей Электронный замок «Соболь» осуществляет ведение системного журнала, записи которого хранятся в специальной энергонезависимой памяти. Таким образом, электронный замок «Соболь» предоставляет администратору информацию обо всех попытках доступа к ПЭВМ. В системном журнале фиксируются следующие события: После успешной загрузки штатной копии ОС доступ к этим устройствам восстанавливается. Факт входа пользователя и имя пользователя; Запрет распространяется на всех пользователей компьютера, за исключением администратора. Предъявление незарегистрированного идентификатора пользователя; Контроль целостности функционирует под управлением операционных систем, использующих следующие файловые системы: NTFS5, NTFS, FAT32, FAT16 и FAT12. Введение неправильного пароля; Превышение числа попыток входа в систему; Число и дата НСД. Администратор имеет возможность задать режим работы электронного замка, при котором будет блокирован вход пользователей в систему при нарушении целостности контролируемых файлов. Электронный замок «Соболь» обеспечивает запрет загрузки операционной системы со съемных носителей на аппаратном уровне для всех пользователей компьютера, кроме администратора. Контроль целостности СТРАЖ NT 3.0 СЗИ от НСД Страж NТ (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных (ИСПДн). СЗИ от НСД Страж NТ (версия 3.0) функционирует в среде 32-разрядных операционных систем MS Windows 2000 (Server и Professional), MS Windows XP (Professional и Home Edition), MS Windows Server 2003, MS Windows Vista, MS Windows Server 2008, MS Windows 7 и устанавливается как на автономных рабочих местах, так и на рабочих станциях и серверах локальной вычислительной сети. Дополнительный механизм защиты съемных носителей (дискет и флэш-накопителей) путем прозрачного преобразования всей информации, записываемой на носитель. Преобразование информации осуществляется с применением функции гаммирования с обратной связью алгоритма криптографического преобразования ГОСТ 28147-89. СЗИ от НСД Страж NT (версия 3.0) в настоящий момент проходит сертификационные испытания на соответствие требованиям руководящих документов Гостехкомиссии России "Средства вычислительной техники. Защита информации от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" по 3 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств информации. Классификация по уровню контроля отсутствия недекларированных возможностей" по 2 уровню контроля. Поддержка в качестве персональных идентификаторов USBключей Rutoken и флэш-накопителей Подсистема регистрации Все события СЗИ доступны для просмотра из одной программы. Усовершенствованы функции сортировки и поиска отдельных событий СЗИ. Основные отличия от предыдущих версий: Поддержка современных операционных систем компании Microsoft СЗИ от НСД Страж NТ (версия 3.0) может устанавливаться на автономных рабочих станциях, рабочих станциях в составе рабочей группы или домена, серверах, в том числе в составе кластера. СЗИ от НСДСтраж NТ (версия 3.0) может функционировать на одно- и многопроцессорных компьютерных системах на базе архитектуры x86 под управлением 32-хразрядных операционных систем Windows Vista, Windows Server 2008, Windows 7. Подсистема контроля устройств Подсистема преобразования информации на отчуждаемых носителях Подсистема учёта носителей информации Возможность контроля устройств, подключенных к компьютеру путём задания дескрипторов безопасности для групп однотипных устройств. Помимо уже используемых ранее гибких магнитных дисков, идентификаторов iButton, USB-ключей eToken и Guardant ID, в новой версии реализована поддержка ключей Rutoken. Дополнительно реализована возможность использования в качестве идентификаторов пользователей флэш-накопителей. Полностью переработана подсистема работы с носителями информации. В новой версии существует возможность регистрировать как отчуждаемые носители, так и отдельные тома жестких дисков. После окончания сертификационных испытаний СЗИ от НСД Страж NТ (версия 3.0) можно будет использовать для организации защиты информации в АС класса защищенности до 1Б включительнои при создании ИСПДн до 1 класса включительно; Новый механизм, предназначенный для облегчения настройки СЗИ. Механизм позволяет создавать списки настроек и свободно тиражировать их на другие компьютеры. Подсистема создания и применения шаблонов настроек Подсистема маркировки и учёта документов, выдаваемых на печать Новая программа настройки маркировки документов позволяет более гибко задавать состав и порядок служебной информации, выводимой на печать. Подсистема управления пользователями Добавлены новые функции работы с идентификаторами и возможность редактировать пользователей на удалённых рабочих станциях. Подсистема настройки системы защиты Настройка системы защиты реализована в виде единого центра настройки.