Aladdin LiveOffice

Специализированное средство для безопасной дистанционной работы

  • Позволяет подключаться к ГИС, ИСПДн, КИИ с личного компьютера, обрабатывать служебную тайну (ДСП)
  • В 5-7 раз дешевле защищённого служебного ноутбука
Aladdin LiveOffice
Зарегистрирован ПАК в реестре российских программ для ЭВМ и БД 20648
Зарегистрировано в реестре радиоэлектронной продукции (10495358, 10495359, 10495360)
Сертификат ФСТЭК 4355
Задать вопрос
FAQ по продукту

Что такое Aladdin LiveOffice

Aladdin LiveOffice – это специализированный защищённый флеш-накопитель с набором предустановленного ПО и средств защиты, работающий по технологии LiveUSB.

Такое решение позволяет безопасно работать с корпоративной или служебной информацией, используя личные (недоверенные) компьютеры сотрудников.

С этого носителя производится:

  • загрузка компьютера
  • защищённое подключение по VPN-каналу к сети организации
  • работа в терминальном режиме на удалённом компьютере или в инфраструктуре виртуальных рабочих столов (VDI)

При этом пользователь не сможет скопировать и сохранить у себя служебный документ, распечатать его на локальном принтере, скомпрометировать свой пароль (аккаунт), загрузить в информационную систему (ИС) организации троян или вирус.

Обеспечивается возможность:

  • дистанционной работы в ГИС, КИИ, ИСПДн
  • обработки служебных сведений и практически всех видов тайн (кроме гостайны)
  • использования электронной подписи в системах документооборота

Aladdin LiveOffice также является средством двухфакторной аутентификации пользователей (2ФА) и средством электронной подписи (ЭП).

Для кого

Сертифицированная версия Коммерческая версия (СЕ)
для государственных структур, органов исполнительной власти, предприятий КИИ, операторов ИСПДн, банков, предприятий ОПК для коммерческих организаций

Назначение

Организация безопасной дистанционной работы сотрудников при использовании ими личных или доступных для использования недоверенных средств вычислительной техники.

Обеспечение безопасного удалённого доступа к служебному компьютеру или инфраструктуре виртуальных рабочих столов (VDI).

Где допускается использование Aladdin LiveOffice

  • В государственных информационных системах (ГИС) до 1-го класса защищённости включительно
  • В информационных системах персональных данных (ИСПДн) до 1-й категории включительно
  • В информационных системах значимых объектов критической информационной инфраструктуры (КИИ) до 1-ой категории включительно
  • В автоматизированных системах управления производственными и технологическими процессами (АСУ ТП), на критически важных объектах и потенциально опасных объектах до 1-го класса защищённости включительно
  • В медицинских (МИС), банковских (ИБС) и других информационных системах (ИС) общего пользования до II класса

Aladdin LiveOffice позволяет

  • Организовать безопасную дистанционную работу:
    • своих сотрудников
    • контрагентов (внешних исполнителей, подрядчиков, агентов), не являющихся сотрудниками организации
  • В информационную систему (ИС) организации с доступом в критические подсистемы (базы данных МИС, ИСПДн, ERP, CRM, 1С-Предприятие/фреш и др. – см. кейсы) так, чтобы они не смогли бы:
    • скопировать, распечатать, сохранить у себя служебный (ДСП) документ
    • передать посторонним и скомпрометировать свои учётные данные, параметры подключения к ИС организации (включая пароль)
    • загрузить в информационную систему троян или вирус и причинить другой ущерб
  • Отказаться от использования защищённых служебных ноутбуков и связанных с этим проблем:
    • дорого, сложно администрировать, большая поверхность атаки (из-за хранения параметров, настроек удалённого подключния, документов ограниченного распространения и др., возможности изменения среды функционирования, наличия уязвимостей и пр.)
    • является частью аттестованной ГИС – при организации дистанционной работы потребуется переаттестация, организация контролируемой зоны
  • В 5-7 раз сэкономить бюджет.
  • Использовать USB-устройство как обычный токен:
    • для двухфакторной аутентификации пользователей (при работе в офисе или удалённо)
    • для электронной подписи (при работе в системах электронного документооборота и электронных сервисах)
  • Автоматически выполнить все требования и политики безопасности организации, а также лучшие практики при организации безопасной дистанционной работы
  • Соответствовать требованиям ФСТЭК и ФСБ России по организации безопасной дистанционной работы

Aladdin LiveOffice не требует установки какого-либо ПО на личный (чужой) компьютер и позволяет использовать его в двух режимах:

  • как обычно (игры, кино, поиск информации в Интернет и пр.)
  • для безопасной дистанционной работы без доступа пользователя к аппаратным и программным ресурсам компьютера для сохранения обрабатываемой информации, локальной печати и выхода в Интернет

Возможности

Подключение и дистанционная работа:

  • в государственных информационных системах (ГИС) до 1-го класса защищённости включительно
  • в информационных системах персональных данных (ИСПДн) до 1-й категории включительно
  • в информационных системах значимых объектов критической информационной инфраструктуры (КИИ) до 1-ой категории включительно
  • в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) на критически важных объектах, потенциально опасных объектах до 1-го класса защищённости включительно
  • в медицинских (МИС), банковских (ИБС) и других информационных системах (ИС) общего пользования до II класса

Использование для работы любого недоверенного (например, личного) компьютера:

  • без установки на него какого-либо ПО
  • без возможности сохранения обрабатываемой информации на его дисках или на съёмных носителях
  • без возможности распечатывания обрабатываемых документов на локальных принтерах
  • без возможности использовать установленное ПО на диске ПК во время удалённой сессии Aladdin LiveOffice
    • при этом после сеанса работы с Aladdin LiveOffice компьютер можно опять использовать как обычно

  • Виды тайн и служебных сведений

    • налоговую, банковскую, врачебную, нотариальную, адвокатскую, аудиторскую тайну
    • тайну страхования, связи следствия и др.
    • секреты производства (ноу-хау)
    • персональные данные
    • сведения о должниках, просроченной задолженности
    • информацию о пенсионных счетах и др.
    • различные сведения при осуществлении закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд
    • инсайдерскую информации и пр.
    Полный список тайн и служебных сведений включён в Формуляр к продукту.
  • Защита от деструктивных действий внутреннего или внешнего нарушителя
  • Централизованное управление и обновление (поддержка в системе JMS)

  • Защита документов "водяными" знаками

    • Иногда требуются повышенные меры безопасности, препятствующие распространению сфотографированных с экрана компьютера служебных документов в соцсетях, в сети Интернет
    • Защититься от фотографирования экрана компьютера технически крайне сложно, но можно динамически "подкрашивать" каждую страницу экрана с документами специальными маркерами - "водяными" знаками, содержащими в себе закодированный номер USB-устройства
    • Если документ был сфотографирован и выложен в сеть, а потом обнаружен, то прогнав фотографию через специальную утилиту можно получить номер устройства, а по ним и данные пользователя, сделавшего фотографию документа
    • В организационно-распорядительных документах организации должен быть включен пункт, что подобное нарушение является должностным нарушением (преступлением), за которое следует такое-то наказание
    • Знание, что наказание неотвратимо – сильный сдерживающий фактор, как следствие, использование такой технологии станет достаточно эффективной

    Как выглядит экран при использовании маркирования?

    Aladdin LiveOffice Как выглядит экран при использовании маркирования?

Основные преимущества

  • В 5-7 раз дешевле классического варианта – защищённого служебного (корпоративного) ноутбука
  • Существенно компактнее, всегда с собой, позволяет подключиться и безопасно поработать с личного или любого недоверенного компьютера
  • Безопаснее – поверхность атаки существенно меньше, чем при использовании ноутбука (подробнее)
  • Не нужно переучиваться и привыкать к новому средству - все процессы происходят на служебном компьютере, документы находятся на привычных местах
  • Легче обслуживать – пользователи работают в терминальном режиме из фиксированной замкнутой доверенной среды
  • Возможность встраивания решения в существующую инфраструктуру с минимальными её изменениями
  • Удобно
    • пароль вводится один раз
    • можно продолжить начатую в офисе работу с того же места, но уже из дома
  • При организации дистанционной работы в ГИС, ИСПДн, КИИ
    • не требуется аттестация рабочего места сотрудника
    • значительно проще готовить и проходить аттестацию ИС/АС
    • легче обеспечить выполнение требований регуляторов (в частности, по контролируемой зоне)

Особенности

Aladdin LiveOffice разрабатывался:

  • Во время начала пандемии коронавируса в 2020 г.
  • По поручению:
    • Председателя Правительства РФ №ММ-П9-1861 от 16.03.2020
    • Зам. Председателя Правительства РФ №ДГ-П17-1987 от 18.03.2020 в целях принятия мер по распространению коронавирусной инфекции и переводу работников на дистанционный режим исполнения должностных обязанностей, обеспечивающий бесперебойное функционирование федеральных органов исполнительной власти и подведомственных организаций
    • Рабочей группы Минцифры, ФСТЭК и ФСБ России по организации удалённого рабочего места государственного служащего в рамках федерального проекта "Цифровое государственное управление" национальной программы "Цифровая экономика"
    • Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности (№3 от 26.10.2020), во исполнение ФЗ-407
  • Cертификат ФСТЭК России №4355 от 10.02.2021 г. на Aladdin LiveOffice был получен до принятия и утверждения Требований ФСТЭК России к средствам безопасной дистанционной работы
    • Большинство положений Требований технически отрабатывались при разработке Aladdin LiveOffice

Для Aladdin LiveOffice реализовано Централизованное управление жизненным циклом ключевого носителя - в JMS.

Как это работает

Aladdin LiveOffice использует технологию LiveUSB – при включении компьютера со встроенной флеш-памяти подключенного USB-токена загружается доверенная сертифицированная ОС, в процессе её загрузки осуществляется аутентификация пользователя и проверка – авторизован ли для дистанционной работы данный компьютер.

Если проверки проходят успешно, производится подключение к Интернет, устанавливается защищённое VPN-соединение со шлюзом организации, устанавливается RDP-соединение с физическим служебным компьютером или с брокером подключений VDI.

Далее пользователь работает в замкнутой доверенной среде, не имеет возможности что-то сохранить на свой локальный диск или флешку, что-то загрузить с диска в ИС, распечатать обрабатываемые данные на свой локальный принтер, отослать их по эл. почте или через мессенджер. Данные по сети передаются в зашифрованном виде.

Изменить образ установленной администратором ОС, загрузить и использовать свои приложения, узнать или изменить настройки и параметры удалённого подключения пользователь не сможет.

LiveOffice может использоваться при работе как из дома, так и в офисе (на работе):

  • Как обычный корпоративный USB-токен для 2ФА при доступе в ИС предприятия, к различным электронным сервисам
  • Как полноценное средство электронной подписи для работы в системах электронного документооборота, на торговых площадках, с электронными сервисами и пр.

При этом данная функциональность полностью совместима с моделями токенов JaCarta-2 PKI/ГОСТ

Подготовка к работе, первое использование

Для использования Aladdin LiveOffice в качестве средства безопасной дистанционной работы потребуется предварительная подготовка:

  • Организация VPN-шлюза для удалённого подключения сотрудников и/или контрагентов
  • Настройка RDP-соединений с рабочим компьютером пользователя или подключения к инфраструктуре виртуальных рабочих столов (VDI)
  • Подготовка профиля пользователя (параметры подключения и аутентификации) и запись их в защищённую память USB-устройства

На стороне пользователя

  • Потребуется войти в UEFI (BIOS) и изменить параметры загрузки компьютера, указав загрузку ОС с внешнего носителя (Aladdin LiveOffice)
    • далее выбор источника загрузки может производиться нажатием клавиш F12/F8 и др.
  • Загрузить компьютер с USB-устройства Aladdin LiveOffice
  • Ввести ПИН-код устройства Aladdin LiveOffice
  • При первом использовании потребуется авторизовать используемый компьютер у администратора
    • При этом необходимо сообщить администратору полученный в процессе загрузки уникальный код (Fingerprint компьютера) и ввести полученный от адмистратора код авторизации
  • При использовании WiFi – выбрать сеть и ввести пароль для подключения
    • При сетевом подключении выбор сети производится автоматически
  • При подключении к своему удалённому служебному компьютеру начать работу
    • Работа производится в привычной среде (Windows или Linux)
    • Доступен весь набор привычных программ и сервисов
    • Все документы на своих местах

Как обеспечивается безопасность

  • Воспользоваться устройством Aladdin LiveOffice может только его владелец после того, как
    • Он подтвердит это введя правильный ПИН-код устройства (аутентификация пользователя)
    • Устройство проверит, что ему разрешено работать на данном компьютере (аутентификация компьютера)
  • При подключении устройства (а) к авторизованному компьютеру - до аутентификации, или к чужому (не авторизованному) компьютеру, даже при вводе правильного ПИН-кода устройства, получить доступ к защищённым разделам флеш-памяти с загрузочным образом ОС, настройкам подключения, профилю пользователя, другими служебным или пользовательским данными нельзя
  • Если устройство потеряно или украдено, то воспользоваться им посторонний (или злоумышленник) не сможет
    • Для активации устройства при его включении необходимо ввести правильный ПИН-код
    • Количество попыток – ограничено
    • При попытке подбора ПИН-кода устройство блокируется
    • Воспользоваться устройством можно только на авторизованных компьютерах, даже при вводе правильного ПИН-кода устройства
  • Образ загрузочной ОС находится на разделе флеш-памяти, доступном только на чтение, поэтому она всегда стартует с "чистого" эталонного образа (даже если в процессе работы были внесены несанкционированные изменения)
  • Все данные (служебные, пользовательские) хранятся в зашифрованном виде
  • Канал передачи данных зашифрован с использованием VPN
  • Обработка документов и все вычислительные процессы производятся на рабочем (служебном) компьютере или виртуальном (VDI), периметр организации они не покидают, на внешних носителях не хранятся, вся работа производится в терминальном режиме так, что на монитор пользователя "прилетают" отрисованные образы экрана (картинки), а обратно "улетают" сканы нажатых клавиш и коды координат мыши или тачпада
  • Отказ от использования запоминаемых и вводимых вручную пользовательских паролей при удалённой аутентификации
    • Если пользователь выучит свой сложный (правильный) пароль для удалённого подключения к ИС организации, то рано или поздно он обязательно использует его в соцсетях, при заказе пиццы и пр.
    • Такие ресурсы часто взламывают, а взломанные аккаунты попадают в обогащённые базы данных, из которых можно выудить нужные данные и попробовать подключиться к ИС от имени такого пользователя, и об этом не сразу узна...
    • Это приведёт к утечкам и дискредитации служебной информации
  • Для удалённого подключения используется только двухфакторная аутентификация (2ФА) пользователей
    • СТРОГАЯ, с использованием цифровых сертификатов - если в организации развёрнута инфраструктура открытых ключей (PKI)
    • УСИЛЕННАЯ, с использованием сложного сгенерированного 32-х символьного пароля, который автоматически подставляется в систему так, чтобы пользователь его не знал, не мог использовать и дискредитировать
  • Аппаратное устройство выполнено на базе заказного (ASIC) микроконтроллера
  • Все критические операции вынесены и выполняются в отдельном специализированном защищённом от от взлома и клонирования чипе - Secure Element
    • Криптографические ключи генерируются, хранятся и никогда не выходят за его пределы
    • Для защиты данных используется аппаратно реализованная российская криптография
  • Вся чувствительная информация разделена на логические блоки, каждый блок хранится на отдельном динамически подключаемом разделе флеш-памяти
  • Для защиты от атак на компоненты устройства реализован APDU-Firewall, контроллеры принимают только команды из "белого списка"

Доверенное безопасное ПО

  • Микроконтроллер работает под управлением собственной встроенной (embedded) ОС JaCarta OS
  • Устройство стартует в системе с помощью собственного доверенного загрузчика LiveTSM (Trusted Security Module), который дополнительно отвечает за аутентификацию пользователя, используемого им компьютера
  • Процесс разработки, тестирования и поддержки соответствует требованиям ГОСТ Р 56939-2016 (Стандарт по разработке безопасного ПО) и ГОСТ РВ 0015-002-2012 (военный стандарт) по УД-2 (второму уровню доверия, применяемому для средств защиты гостайны)
  • Безопасный обмен с ПО на хосте (защита команд и данных)
  • Возможность удалённого безопасного обновления ("прошивка" зашифрована и подписана электронной подписью на ключе устройства)
  • Идентификация и аутентификация
  • Защита функций безопасности
  • Защита данных пользователя
  • Управление работой и параметрами, а также разграничение доступа к управлению функциями безопасности (управление работой и параметрами)
  • Аудит событий безопасности (аудит безопасности
Служебный ноутбук Специализированное средство LiveOffice
Служебный ноутбук
Специализированное средство LiveOffice
Для работы требуется:

Установить и настроить набор необходимых средств защиты (СЗИ):

  • средство доверенной загрузки (СДЗ), антивирус, межсетевой экран, VPN, средство прозрачного шифрования данных на дисках для противодействия утечкам при утере, краже или неправильной утилизации или ремонте носителей информации
  • средства двухфакторной аутентификации (2ФА) пользователей – USB-токены, смарт-карты, ОТР-токены (иначе будет невозможно контролировать внешние аккаунты, без аппаратных средств злоумышленники смогут украсть и использовать пользовательские пароли)
  • средство электронной подписи (СКЗИ)

Весь необходимый набор средств (средство доверенной загрузки, преднастроенная ОС, VPN, RDP- или VDI-клиент, средство электронной подписи, клиент системы централизованного управления и обновления) уже стоит "на борту" USB-устройства.

Само USB-устройство является:

  • специализированным средством безопасной дистанционной работы
  • средством двухфакторной аутентификации (2ФА) пользователя
  • средством электронной подписи (УКЭП)

Вся чувствительная служебная информация на USB-носителе шифруется аппаратно, приобретать какие-либо дополнительные средства защиты или ПО не требуется.

При подключении в ГИС, ИСПДн, КИИ, для гос. организаций обязательным является использование сертифицированных ОС (сейчас это только российские ОС на базе Linux) и сертифицированных средств защиты, а также:

  • включение такого удалённого рабочего места в состав аттестованной ИС
  • переаттестацию ИС (с новой подсистемой дистанционной работы)
  • организация контролируемой зоны (при подключении и работе с документами ограниченного распространения)

Выполнить эти требования дорого, сложно и не быстро

При подключении в ГИС, ИСПДн, КИИ, для гос. организаций достаточно просто

  • включить сертифицированное средство Aladdin LiveOffice в состав аттестованной ИС
  • сделать организационно-распорядительные документы и инструкцию для пользователей по правилам дистанционной работы в ГИС и с документами ограниченного распространения (чтобы при подключении и работе за спиной или рядом не было посторонних)

Проблема организации контролируемой зоны в этом случае решается существенно проще поскольку здесь поверхность атаки существенно меньше – документы не выходят за пределы контролируемого периметра организации).
Поверхность атаки

Большая:

  • ОС с набором приложений и СЗИ
  • данные хранятся на встроенных дисках и могут являться целью атаки
  • пользователи знают свои логины и пароли для удалённого подключения, злоумышленники могут их перехватить и подключаться от имени легального пользователя, контролировать это сложно, параметры и настройки подключния хранятся в системе
  • программная среда не является замкнутой, возможно её несанкционированное изменение

Небольшая:

  • используется специально подготовленная и сильно обрезанная ОС без лишних функций и интерфейсов
  • подготовленный образ ОС находится на скрытом подключаемом Read Only разделе, так что при каждом сеансе работы ОС стартует из эталонного образа
  • в качестве аппаратного носителя используется защищённый служебный флеш-накопитель на базе JaCarta SF/ГОСТ, сертифицированного по линии МО РФ для работы с гостайной
  • служебные данные, сохраняемые на носителе, находятся на разных скрытых разделах и шифруются аппаратно с помощью российских алгоритмов, обеспечивающих гарантированную стойкость
  • данные обрабатываются и хранятся только на служебном компьютере, в контролируемом периметре организации, на удалённый компьютер не передаются, на внешних носителя не сохраняются
  • программно-аппаратная среда является фиксированной и замкнутой, несанкционированно модифицировать её нельзя, целостность программной среды и служебных данных (настроек) контролируется аппаратно
  • запоминаемые пользователем и вводимые вручную пароли для удалённого подключения не используются – пользователи знают только ПИН-код от своего устройства
  • если пользователь не знает свой пароль, то и не сможет его дискредитировать, используя в соцсетях и в других электронных сервисах
Стоимость

Стоимость организации удалённого рабочего места сотрудника складывается из:

  • стоимости корпоративного ноутбука, выдаваемого сотруднику
  • стоимости лицензии на ОС вкл. обновления (для российских сертифицированных ОС – от 15,000 руб., а это уже более половины стоимости Aladdin LiveOffice)
  • стоимость устанавливаемых СЗИ (СДЗ, антивирус, межсетевой экран, VPN, средство шифрования дисков, токен для 2ФА)

Фиксированная стоимость Aladdin LiveOffice – существенно (в 5-7 раз) меньше стоимости служебного защищённого ноутбука

  • организация не оплачиваем стоимость компьютера (для дистанционной работы может использовать любой доступный, например, личный)
  • весь набор необходимых СЗИ входит в состав продукта (антивирус и межсетевой экран не требуются в силу заложенной архитектуры решения)
Вывод
-

Использование специализированного средства выгоднее в 5-7 раз, удобнее и проще в экплуатации и поддержке, и главное – безопаснее.

Дистанционная работа сотрудников при использовании ими личных компьютеров

  • во время их болезни, отпуска, командировки
  • для сотрудников, временно уехавших из страны (релоцировавшихся), но продолжающих работать дистанционно, с доступом в ИС организации, что повышает риски утечки и компрометации чувствительных данных

Организация безопасного доступа привелегированных пользователей к критически важным информационным ресурсам организации

  • Задача – не допустить утечки, компрометации, искажения чувствительной информации, снизить вероятность атак и последствий от деструктивных действий внутренних и внешних нарушителей.

Организация безопасной работы внешних агентов организации

Ситуация (пример)

  • Организация является оператором персональных данных (оформление полисов)
  • Полисы оформляют внешние агенты
  • Заставить внешних агентов (не являющихся сотрудниками организации) выполнять все требования регуляторов, политик и требований организации по безопасности практически невозможно

В результате

  • Агенты используют для удалённой работы неконтролируемые организацией компьютеры
  • Аккаунты (логины, пароли, настройки для подключения) могут использоваться посторонними, передаваться третьим лицам, контролировать их использование организация не может
  • Данные клиентов (персональные данные, оформленные полисы) хранятся на их компьютерах, бесконтрольно копируются и утекают, попадают в консолидированные хакерские базы, что несёт огромные репутационные риски и оборотные штрафы для организации

Решение

  • Организация предъявляет требования к средствам для безопасной дистанционной работы, с помощью которых разрешено подключение к её ИС (по аналогии с ФНС – требования к средствам электронной подписи)
  • Агенты (зарабатывающие на оказании услуг по оформлению полисов) самостоятельно (а) приобретают нужные средства или (б) выполняют требования по защите своих компьютеров в соответствии с требованиями 17-го Приказа ФСТЭК России (Меры защиты…) и предоставляют их организации для записи сертификатов доступа и параметров подключения к её ИС
  • Использование специализированного средства Aladdin LiveOffice обходится значительно (в 5-7 раз) дешевле, чем защищённый по требованиям ФСТЭК и ФСБ России компьютер, который в случае с ГИС, должен являться частью аттестованной ГИС, что потребует её переаттестации, организации контролируемой зоны и пр. (что практически нереализуемо)
  • При использовании Aladdin LiveOffice внешние агенты будут знать только ПИН-код своего устройства, ни пароля, ни параметров для подключения к ИС организации они знать не будут, не смогут сохранять у себя данные клиентов, обрабатываемые документы – всё это существенно снижает риски утечек и экономит бюджет организации.

Организация онлайн-работы и обслуживания 1С-Предприятия/Бухгалтерии/Кадры/фреш

Ситуация (пример)

  • o Организация является оператором персональных данных, гос. организацией, субъектом КИИ
  • o Для автоматизации используется ПО 1С (Предприятия/Бухгалтерии/Кадры/фреш или др.)
  • o Информация в 1С – критическая для организации (данные поставщиков, кадры, цены и пр.)
  • o Продукт 1С установлен в закрытом контуре, ИС организации аттестована
  • o Поддержкой 1С занимается внешняя организация (1С-франчайзи)
  • o Часть функций бухучета (кадровый учёт) ведёт внешний аутсорсер (совместитель)
  • o ИС аттестована, добавить компьютер с удалённым доступом – значит включить его в состав ИС и провести переаттестацию (предварительно выполнив все требования регуляторов) – сложно и дорого

Решение

  • Использование Aladdin LiveOffive, добавление его в состав аттестованной ИС (несложно, поскольку решение безопасно и сертифицировано именно для этих целей), проблема контролируемой зоны решается выпуском инструкции для пользователя (чтобы никто не стоял за спиной и не мог подсматривать во время подключения и работы)

Демонстрационный комплект

Для оценки работы Aladdin LiveOffice можно заказать специальный демо-комплект.

В его состав входят:

  • USB-устройство Aladdin LiveOffice с набором предустановленного ПО, настроенные для подключения к шлюзу демо-зоны компании Аладдин
  • Инструкция по подключению и использованию

На демонстрационном сервере развернуты виртуальные рабочие места, установлены рабочие приложения.

alo-1 alo-1 alo-1 alo-1

Модели/версии

Сертифицированная версия Коммерческая версия (СЕ)
  • для гос. организаций, органов исполнительной власти, организаций КИИ, операторов ИСПДн и пр.
  • когда необходимо обеспечить выполнение всех требований регуляторов
  • когда необходимо подключаться и дистанционно работать в аттестованных ГИС, ИСПДн и др.
  • для коммерческих организаций – базируется на использовании лучших практик и рекомендаций при организации безопасной дистанционной работы
  • когда требуется обеспечить высокий уровень безопасности и защититься от деструктивных действий инсайдеров (внутренних нарушителей, нелояльных/обиженных сотрудников, контрагентов)
  • когда необходимо обеспечить гибкость и минимальные изменения в ИТ-инфраструктуре

Фиксированная замкнутая программная среда

Достаточно гибкая программная среда, возможность установки необходимых компонент для совместимости с имеющейся ИТ-инфраструктурой

Соответствие требованиям регуляторов (ФСТЭК, ФСБ, Центральный банк России)

Более низкая цена

-

Конфигурация продукта собирается под заказ с учётом имеющейся ИТ-инфраструктуры.

Архитектура

Основные компоненты

Aladdin LiveOffice является программно-аппаратным комплексом (ПАК), включающим в себя следующие компоненты:

  • Специализированный защищённый USB-флеш накопитель с предустановленным набором необходимого ПО
    • Встроенного ("прошивки") - для работы аппаратной части устройства
    • Системного и прикладного – для работы пользователя
  • АРМ Администратора безопасности, включающий в себя специализированное ПО для безопасного администрирования пользовательских устройств LiveOffice. Может использоваться как под Linux, так и под Windows
  • "Единый клиент JaCarta" – стандартный клиентский модуль для работы с токенами JaCarta для поддержки 2ФА пользователей в ОС, в приложениях и эл. сервисах, для работы с ключами, сертификатами Х.509, с ЭП (УКЭП), для управления и администрирования токенов (JaCarta PKI/ГОСТ).
    • С использованием этого модуля можно автономно сменить ПИН-код устройства, восстановить забытый ПИН-код, администрировать встроенный в LiveOffice токен (отвечающий за функциональность PKI и ЭП)
    • Средство криптографической защиты информации «Криптотокен 2 ЭП»

Аппаратная платформа

Специализированный защищённый флеш-накопитель выполнен на аппаратной платформе, используемой для защищённого служебного флеш-накопителя JaCarta SF/ГОСТ (сертификат МО РФ для защиты гостайны со степенью секретности "СС").

Для повышения уровня безопасности в составе аппаратной платформы используется специализированный защищённый смарт-карточный микроконтроллер, аппаратно реализующий криптографические функции для 2ФА и ЭП.

Aladdin LiveOffice Аппаратная платформа

Разделы флеш-накопителя

Память флеш-накопителя физически разбита на 5 (опционально 6) разделов:

  • Загрузочный раздел (Read Only), с которого стартует специализированный доверенный загрузчик LiveBoot, запускающий встроенную ОС устройства
  • Системный раздел (Read Only), с которого запускается специализированная сертифицированная версия ОС Linux с фиксированным набором предустановленных и преднастроенных приложений для установления защищённого канала со служебным компьютером пользователя
  • Скрытый зашифрованный системный раздел, на котором хранятся настройки ОС и профиль пользователя
  • Скрытый зашифрованный служебный раздел для журнала событий безопасности
  • Скрытый зашифрованный раздел для хранения и переноса служебных данных пользователя (опция)
  • Открытый раздел (info) для хранения инструкций по настройке, документации, для переноса данных пользователем. Доступен на чтение/запись

При подключении специализированного флеш-накопителя к компьютеру сразу (до аутентификации пользователя) из шести разделов доступны только два – загрузочный и info. Остальные разделы в системе или при подключении устройства к работающему компьютеру, загруженному в штатном режиме, не видны и недоступны.

Доступ к скрытым разделам появляется только после начала загрузки ОС компьютера с устройства LiveOffice и только после успешной аутентификации пользователя на авторизованном (зарегистрированном) и разрешённым для использования компьютере.

Доступ к обоим системным разделам, скрытому служебному разделу пользователь иметь не будет.

Пользователь сможет иметь доступ на чтение/запись только в раздел info и (опционально) - к скрытому зашифрованному разделу.

Сертификаты

Сертификаты безопасности

Сертификат ФСТЭК России №4355 На программно-техническое средство обеспечения безопасной дистанционной работы Aladdin LiveOffice (УД-4, ТУ)
Скачать

Эксплуатационные сертификаты

Электромагнитная совместимость

Сертификат №04ИДЮ106.RU.C00903 соответствия требованиям нормативных документов

  • ТУ АЛДЕ.467359.001-11ТУ1 (п. 2.5.1, п. 2.5.2, п. 2.5.6, п. 2.6.1, п. 7.1)
  • ГОСТ 14254-2015 (IP68), ГОСТ 30805.22-2013 (п. 6.1)
  • ГОСТ 30804.4.2-2013 (раздел 5), ГОСТ CISPR 24-2013 (раздел 10)
  • ГОСТ 30804.6.2-2013 (раздел 8)
  • ГОСТ IEC 60950-1-2014 (п. 4.2, п. 4.7)
 Запросить
Безопасность для здоровья человека Декларация ЕАЭС № RU Д-RU.РА01.В94387/21 о соответствии требованием Технического регламента Евразийского экономического союза "Об ограничении применения опасных веществ в изделиях электротехники и радиоэлектроники" (ТР ЕАЭС 037/2016) Запросить
1 Сделать форму запроса с указанием, что данные сертификат является ДСП – предоставляется только по официальному письменному запросу

Совместимость

Совместимость с российскими операционными системами
  • Астра 1.7
  • РЕДОС 7.3
Совместимость с VPN
  • ViPNet (ИнфоТеКС)
  • ЗАСТАВА (ЭЛВИС-ПЛЮС)
  • Континент АП (КОД БЕЗОПАСНОСТИ)
  • NGate (Крипто-Про)
  • Cisco AnyConnect (Cisco)
Совместимость с VDI/RDP
  • RDP (fxreerdp)
  • VMware Horizon
  • Citrix Workspace
  • Termidesk
  • Скала^р/Базис

Общие характеристики

Внешний вид, конструкция

Aladdin LiveOffice внешний вид, конструкция

Конструкция и размеры

Размеры (Д × Ш × В): 56,5 х 17 х 8 мм

Aladdin LiveOffice конструкция и размеры

Габаритный чертёж

Aladdin LiveOffice габаритный чертёж

Корпус

  • АБС-пластик (ABS). Прочный, износостойкий, ударопрочный, негорючий пластик, безопасный для здоровья человека
  • USB-интерфейс.
    • USB 2.0, может работать с USB 1.1, 2.0, 3.0, 3.1
    • USB-разъём - стандартный Type-A

Вес

  • 7 г — со съёмным колпачком
  • 6 г — без съёмного колпачка

Объём встроенной флеш-памяти

  • 16 ГБ

Разъёмы и внешние интерфейсы

  • USB-интерфейс
  • USB-разъём - стандартный Type-A

Средства управления

  • ПО для администрирования - Aladdin SecureAdmin
  • ПО для поддержки работы устройства и функций 2ФА и ЭП – Единый клиент
  • ПО для централизованного управления (возможность работы вместе) – JMS (JaCarta Management System)

Маркировка

На боковой поверхности корпуса USB-устройства нанесён стойкий к истиранию 32-битный уникальный серийный номер.

Номер имеет вид: XXXXXXXX, где X – шестнадцатеричный символ 0-9, A, B, C, D, E, F (длина номера – 8 символов).

Номер устройства, наносимый на корпус, предназначен для идентификации и учёта.

Номер машиночитаем и также доступен для чтения со стороны прикладного программного обеспечения.

Aladdin LiveOffice маркировка

Техническая спецификация

Требования к среде функционирования и необходимое аппаратное обеспечение

Требуемое дисковое пространство от 1 ГБ
Видеоадаптер и монитор VGA 1024x768 (поддерживаемое разрешение 1024 на 768 пикселов)
Свободная оперативная память от 128 МБ
Объём оперативной памяти Требуемый объём памяти — от 4 ГБ
Минимально необходимый объём памяти — от 4 ГБ
Устройства взаимодействия с пользователем Монитор, клавиатура и мышь
USB-интерфейс USB 2.0 тип А или совместимые
Сетевые интерфейсы Интерфейс проводной локальной вычислительной сети (технология Ethernet)
и/или
Интерфейс беспроводной локальной вычислительной сети (технология Wi-Fi) и/или интерфейс беспроводной высокоскоростной передачи данных сети подвижной радиотелефонной связи 3 или 4 поколения (3G/4G)
Процессоры Процессоры с архитектурой x86, x64

Поддерживаемые ОС

Среда функционирования для ПО администрирования Aladdin SecureAdmin
  • Astra Linux 1.6 SE "Смоленск"
  • РЕД ОС 7.3 (релиз "Муром")
  • Microsoft Windows 8.1, 10
Для удалённых рабочих мест, к которым осуществляется подключение Microsoft Windows 7, 8, 8.1, 10

Поддерживаемые/используемые виртуальные среды (VDI)

  • RDP (fxreerdp)
  • VMware Horizon
  • Citrix Workspace
  • Termidesk
  • Скала^р/Базис

Технические характеристики USB-устройства

Идентификатор класса устройств
  • VID (Vendor ID): 0x24DC
  • PID (Product ID): 0x100F
Аппаратные и программные интерфейсы для подключения (взаимодействия)

USB-интерфейс: USB 2.0, может работать с USB 1.1, 2.0, 3.0

  • Обратно совместим с USB версии 1
  • Совместим с USB версии 3.0 (работает с контроллером USB версии 3.0, но контроллер должен поддерживать/быть включён в режиме совместимости с USB версии 2.0)
  • Поддерживает подключение Plug and Play
  • Протокол обмена данными между хостом и токеном – USB MSCD
  • Напряжение питания – 4.75 В до 5.25 В (от USB-порта)
  • Потребляемый ток – до 300 мА
USB-разъём Type-A
Программные интерфейсы USB Mass Storage – для чтения и записи данных в рабочий раздел APDU – для обновления прошивки устройства
Встроенная батарея/аккумулятор Отсутствует
Надёжность Наработка на отказ - не менее 7500 часов
Ресурс и долговечность
  • Ресурс подключений по USB-разъёма: до 5 000 циклов
  • Количество циклов перезаписи в одну ячейку флеш-памяти MicroSD-карты: не менее 1500
  • Минимальной количество циклов перезаписи в одну ячейку флеш-памяти использующегося в Изделии микроконтроллера – не менее 500 000 циклов
  • Время непрерывной работы: допускается круглосуточный режим работы (24 х 7 х 365)
  • Информация о выработке физического ресурса устройства сохраняется в его служебном журнале и во избежание потери важной информации может служить в качестве рекомендации (требования) администраторам о необходимости скорейшей замены устройства на новое, а также, при исчерпании гарантированного ресурса хотя бы по одному параметру, для отказа Производителя от гарантийных обязательств в течение гарантийного срока
Срок службы
  • Установленный срок службы – 1 год
  • Гарантийный срок – 1 год (расширенная гарантия – 3 года. – отдельная опция при заказе)
  • Рекомендуемый срок полезного использования: 3 года (учётная информация для бухгалтерии)
Ремонтопригодность Только производителем устройства
Встроенные средства диагностики Да, ведётся журнал событий безопасности
Устойчивость к сбоям и ошибкам Реализована возможность восстановление работоспособности продукта после его переподключения

Требования по эксплуатации

Режим эксплуатации Допускается круглосуточный режим работы (24 х 7 х 365)
Климатическое исполнение

УХЛ4, относится к группе 1.1 (умеренно холодное исполнение), предназначено для установки в отапливаемых помещениях и эксплуатации в условиях круглосуточной или сменной работы с техническими перерывами.

Соответствует требованиям ГОСТ 15150-69, МЭК 68-1:1988, ГОСТ РВ 20.39.304-98 (Аппаратура, приборы, устройства и оборудование военного назначения. Требования стойкости к внешним воздействующим факторам).
Нормальные условия эксплуатации
  • Температура: +25±10°С
  • Относительная влажность воздуха: от 40% до 60%
  • Атмосферное давление: 96 кПа - 103 кПа (720 - 770 мм рт. ст.)
Предельные условия эксплуатации
  • Температура: от 0°С до +70°С, при температуре воздуха выше +30°С влажность не должна превышать 70%
  • Относительная влажность воздуха: до 80%, без конденсата
  • Атмосферное давление: 84 кПа - 106,7 кПа (630 - 800 мм рт. ст.)
Условия хранения
  • Температура: от +5°С до +40°С
  • Относительная влажность воздуха не более 80% (без конденсата) при отсутствии агрессивных примесей (паров кислот, щелочей, солей)
  • Не допускаются резкие изменения температуры окружающего воздуха (более 20°С в час) и воздействия внешних магнитных полей напряженностью более 4 000 А/м
Условия транспортировки
  • Температура: –30°С до +50°С
  • Относительная влажность воздуха до 60% при 25°С (без конденсата), без прямого воздействия солнечных лучей и атмосферных осадков, при отсутствии агрессивных примесей (паров кислот, щелочей, солей), упаковка не должна иметь повреждений
  • Предельные температуры при транспортировке: от -40°С до +85°С
Климатограмма допустимых значений температуры и влажности Aladdin LiveOffice Климатограмма
Пылезащищённость

По классу IP68

Не рекомендуется использование устройство в пыльных помещениях.
Влагозащищённость

По классу IP68

Конструкция устройства полностью не защищает его внутреннее устройство (электронные компоненты и контактную группу) от попадания влаги. Влага может попасть на контактную площадку внутри незащищённой части USB-разъёма, но её легко удалить продуванием.
Электромагнитная безопасность

Устройство не оказывает влияния на работу электронного оборудования, чувствительного к электромагнитным излучениям и помехам и соответствует требованиям ГОСТ 30805.22.

  • Устройство продолжает функционировать в соответствии с назначением без вмешательства оператора после прямого воздействия электростатических разрядов величиной 4 кВ (контактного разряда), а также после непрямого воздействия электростатических разрядов величиной 8 кВ (воздушного разряда)
  • Уровень индустриальных радиопомех от устройства соответствует фиксированным нормам, установленным для оборудования класса Б в соответствии с требованиями ГОСТ 30805.22
  • Уровень индустриальных радиопомех от устройства соответствует фиксированным нормам, установленным ГОСТ 30805.22 (ГОСТ CISPR 22)
  • Уровень собственной помехоустойчивости устройства при его функционировании в соответствии с назначением в окружающей электромагнитной обстановке, соответствует фиксированным нормам, установленным ГОСТ CISPR 24
  • Устройство прошло проверки на наличие вредных веществ для подтверждения его соответствия требованиям ТР ЕАЭС 037/2016 "Технический регламент Евразийского экономического союза "Об ограничении применения опасных веществ в изделиях электротехники и радиоэлектроники"
Механическая прочность

Устройство соответствует требованиям ГОСТ IEC 60950-1-2014 (п. 4.2.6)

Допустимая вибрация и удары - согласно ГОСТ 30631-99:

  • До 35 Гц с максимальной амплитудой ускорения 5 м/с2
  • Однократные или многократные ударные воздействия с ускорением до 0.1 м/с2 (например, падение на поверхность с твердым покрытием с высоты 1 м)

Не допускаются:

  • Однократные ударные воздействия эквивалентные свободному падение с высоты более 1 м либо аналогичные ударные воздействия
  • Случайные вибрации степени жёсткости выше 4c по ГОСТ 30631–99
Требования к качеству электропитания

Электропитание устройства обеспечивается по USB-шине компьютера:

  • Напряжение: от 4.75В до 5.25В при нагрузке 300 мА.

Соответствие стандартам и требованиям

  • ГОСТ-Р ИСО/МЭК 7816-4-2013
  • ГОСТ 14254-2015
  • ГОСТ 15150-69
  • ГОСТ РВ 20.39.304-98
  • МЭК 68-1:1988
  • ГОСТ 30805.22 2013 (п. 6.1, 6.2)
  • ГОСТ 30804.4.2-2013 (раздел 5)
  • ГОСТ CISPR 24-2013 (раздел 10)
  • ГОСТ 30804.6.2-2013 (раздел 8)
  • ГОСТ IEC 60950-1-2014 (п. 4.2, п. 4.7)
  • ГОСТ Р 51317.4.2-2010
  • ГОСТ Р 51318.22-99
  • ГОСТ 30631-99
  • ГОСТ 2.608-78 (п. 1.2)
  • SS-00259
  • ТР ЕАЭС 037/2016 - Требования Технического регламента Евразийского экономического союза, "Об ограничении применения опасных веществ в изделиях электротехники и радиоэлектроники"
  • PC/SC Workgroup Specifications Revision 2.01.14 (PC/SC версия 2.01.14, части 1 — 10)

  • Universal Serial Bus Specification Revision 2.0

    Устройство совместимо с USB версии 3.0 (работает с контроллером USB версии 3.0, но контроллер должен поддерживать или быть включён в режиме совместимости с USB версии 2.0)

  • Universal Serial Bus. Device Class: Smart Card. CCID. Specification for Integrated Circuit(s) Cards Interface Devices. Revision 1.1
  • ITU-T Rec.X.509
  • PKCS#11 (версия 2.30)
  • Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (ФСТЭК России, утв. Приказом №131 от 30.06.2018 – для 2-го и 4-го уровней доверия)
  • Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении (для 2-го уровня доверия)

  • Требования к продукции машиностроения, приборостроения и электротехники (гл. II Единых санитарно-эпидемиологических и гигиенических требований к товарам, подлежащим санитарно-эпидемиологическому надзору (контролю), утвержденных решением Комиссии Таможенного союза от 28.05.2010 г. № 299).

    Требования Технического регламента Таможенного союза, утвержденного Решением Комиссии Таможенного союза от 9 декабря 2011 года №879, ТР ТС 020/2011 "Электромагнитная совместимость технических средств".

  • Требования Единых санитарно-эпидемиологических и гигиенических требований к товарам, подлежащим санитарно-эпидемиологическому надзору.
Пожаробезопасность Устройство соответствует ГОСТ IEC 60950-1-2014 (п. 4.7)
Безопасность для здоровья человека

Изделие соответствует требованиям Единых санитарно-эпидемиологических и гигиенических требований к товарам, подлежащим санитарно-эпидемиологическому надзору.

Корпус Изделия выполнен из прочного, износостойкого, ударопрочного, негорючего ABS-пластика, соответствует директивам RoHS, PoHS, 2003/11/EC, 2006/122/EC, стандарту SS-00259 и положениям раздела 7 "Требования к продукции машиностроения, приборостроения и электротехники" главы II Единых санитарно-эпидемиологических и гигиенических требований к товарам, подлежащим санитарно-эпидемиологическому надзору (контролю), утвержденных решением Комиссии Таможенного союза от 28.05.2010 г. № 299.

В целях охраны окружающей среды Изделие соответствует:

  • в части уровней индустриальных радиопомех от изделия – фиксированным нормам, установленным ГОСТ 30805.22;
  • в части уровня собственной помехоустойчивости изделия при его функционировании в соответствии с назначением в окружающей электромагнитной обстановке – фиксированным нормам, установленным ГОСТ CISPR 24.
Требования по утилизации

Специальные требования по утилизации Изделия не предъявляются.

  • Если Изделие не применялось при обработке информации ограниченного доступа (ДСП) – рекомендации по утилизации такие же, как и для других средств вычислительной техники;
  • Не рекомендуется утилизировать Изделие вместе с бытовыми отходами.
Содержание драгметаллов

Расчётное количество золота в Изделии – не более 0.001 г

  • Требования стандарта ГОСТ 2.608-78 (п. 1.2, в редакции с Изменением №1, утверждённым в сентябре 1984 г.) позволяют не указывать сведения о количестве золота в изделии в эксплуатационных документах (паспорт изделия) и не предъявляют особых требований по хранению, распространению и утилизации.

Экспортные ограничения

  • Есть (сертифицированная версия Aladdin LiveOffice содержит встроенную российскую криптографию и имеет экспортные ограничения)

В Aladdin LiveOffice реализованы следующие меры защиты информации в ИС

Условное обозначение и номер меры Меры защиты информации в информационных системах Выполнение
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора +
ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных +
ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов +
ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации +
ИАФ.5 Защита обратной связи при вводе аутентификационной информации +
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) +
УПД.2 Реализация необходимых методов управления доступом (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа +
УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами +
УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы +
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы +
УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) +
УПД.9 Ограничение числа параллельных сеансов доступа для каждой учётной записи пользователя информационной системы +
УПД.11 Разрешение (запрет) действий пользователей, разрешённых до идентификации и аутентификации +
УПД.13 Реализация защищённого удалённого доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети +
УПД.17 Обеспечение доверенной загрузки средств вычислительной техники +
ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения +
ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения +
ОПС.3 Установка (инсталляция) только разрешённого к использованию программного обеспечения и (или) его компонентов +
ЗНИ.1 Учёт машинных носителей информации +
ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах +
ЗНИ.5 Контроль использования интерфейсов ввода (вывода) +
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) +
РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения +
РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации +
РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения +
РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объёма (ёмкости) памяти +
РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них +
РСБ.7 Защита информации о событиях безопасности +
РСБ.8 Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе +
АВЗ.1 Реализация антивирусной защиты +
АНЗ.2 Контроль установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации +
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации +
АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации +
АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учётных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе +
ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации +
ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему +
ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации +
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее её несанкционированный просмотр +
ЗИС.3 Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при её передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны +
ЗИС.4 Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) +
ЗИС.5 Запрет несанкционированной удалённой активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удалённо, и оповещение пользователей об активации таких устройств +
ЗИС.7 Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологии мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологии мобильного кода +
ЗИС.8 Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи +
ЗИС.9 Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации +
ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов +
ЗИС.14 Использование устройств терминального доступа для обработки информации +
ЗИС.15 Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации +
ЗИС.18 Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения +
ЗИС.22 Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании этой информационной системы +
ЗИС.30 Защита мобильных технических средств, применяемых в информационной системе +

Задачи импортозамещения и санкционной независимости

Aladdin LiveOffice разработан и производится в РФ, зарегистрирован в Едином реестре отечественного ПО - №20648.

Свидетельство о регистрации авторских прав в Роспатенте - № 2020664235.

Какие продукты зарубежных вендоров способен заместить Aladdin LiveOffice

Вендор Продукт % замещения
Check Point Remote Access VPN 100%
Check Point Abra 100%

Ресурсы

Цена/купить

Решение интегрируется в существующую инфраструктуру, цена зависит от спецификации (может быть разное встроенное ПО) и рассчитывается индивидуально под запрос.

Для расчета цены отправьте запрос на электронный адрес: question@aladdin.ru