Секрет

«Личный секрет»

«Личный Секрет» – продукт, предназначенный для частного использования, однако при этом может успешно применяться в целях безопасного хранения и передачи информации конфиденциального характера и в организациях.

В последнем случае его применение может быть признано целесообразным и желательным, если защищенную флешку требуется подключать к относительно небольшому числу компьютеров, не превышающему нескольких десятков, и особенно в том случае, если эти компьютеры не подключены к локальной сети и, следовательно, невозможно применение распределенной версии продукта – «Секрета Фирмы».

Модель администрирования защищенных флешек, реализованная в решении «Личный Секрет» и определяющая рекомендуемые выше предпочтительные условия их использования, отличается почти аскетической простотой. В комплект ПАК входят собственно защищенная флешка для хранения пользовательских данных и ПО для управления доступом к этим данным, которое должно быть установлено на каждый целевой компьютер.

В состав ПО «Личный Секрет» входят:

  • приложение «Секретный Агент», посредством которого пользователь подтверждает свои полномочия на получение доступа к данным и выполнение административных процедур;
  • специальный драйвер, делающий возможным обращение к защищенной флешке со стороны «Секретного Агента»;
  • специальный драйвер-фильтр, который может быть установлен и активирован в случае необходимости для того, чтобы запретить на целевом компьютере доступ ко всем флешкам, кроме тех, что принадлежат к семейству «СЕКРЕТ».

Защищенная флешка работает в соответствии с принципами, едиными для всех продуктов линейки «СЕКРЕТ» и описанными в разделе «Что делает флешку «Секретом»?». Доступ к диску служебного носителя для чтения и записи на него пользовательских данных предоставляется только в случае успешного выполнения процедур взаимной аутентификации компьютера, «Личного Секрета» и его пользователя. Для того чтобы все взаимодействующие стороны узнали о существовании друг друга, перед использованием служебного носителя на компьютере необходимо выполнить процедуру регистрации – «первичной» или «вторичной».

«Первичная» регистрация является самым ответственным этапом подготовки служебного носителя к дальнейшей эксплуатации и в обычных условиях выполняется один раз. В ходе «первичной» регистрации формируются PIN-код, который используется для получения доступа к данным, и код регистрации, который в дальнейшем понадобится для выполнения административных операций, таких как повторная регистрация и аннулирование регистрации, а также для разблокирования служебного носителя при утрате PIN-кода.

Как правило, сущность и характер использования флешки предполагают необходимость получения доступа к содержащимся на ней данным на нескольких компьютерах – независимо от того, применяется ли она для личных нужд (некоторыми секретами хочется/приходится делиться с друзьями) или в качестве средства передачи данных между изолированными компьютерами в организации. Разумеется, «Личный Секрет» не препятствует реализации такого сценария: в решении предусмотрена возможность выполнения «вторичных» регистраций, дополнительных к «первичной» регистрации, на «дружественных» компьютерах (до ста штук). Крайне желательно «сбрасывать» (аннулировать) «вторичную» регистрацию на тех компьютерах, на которых «Секрет» был зарегистрирован для разового использования, или если следующее использование на этом компьютере планируется не скоро. Сброс «вторичной» регистрации никак не повлияет на настройки «Секрета» – его регистрацию на других компьютерах, его код регистрации и PIN-код, а вот сброс «первичной» регистрации «обнуляет» «Секрет», возвращает его с исходному состоянию, как было до «первичной» регистрации, то есть все его «вторичные» регистрации, его PIN-код и код регистрации сбрасываются.

В результате выполнения процедуры регистрации (будь то «первичная» регистрация или одна из «вторичных») в специальную базу «Личный Секрет», имеющуюся на каждом компьютере, на котором установлено ПО «Личный Секрет», записывается информация о зарегистрированном служебном носителе, включая данные, необходимые для выполнения процедуры взаимной аутентификации компьютера и служебного носителя. А на СН «Секрет» в ходе этой процедуры записывается уникальная информация о каждом компьютере, на котором он зарегистрирован (тем самым формируется список разрешенных для использования компьютеров), и также криптографические данные, необходимые для выполнения процедуры взаимной аутентификации. Таким образом, компьютер становится разрешенным для получения на нем доступа к пользовательским данным.

Очевидно, что в случае корпоративного использования ПАК «Личный Секрет» исключить возможность несанкционированного использования служебного носителя Пользователем на компьютере, не входящем в список разрешенных, можно только в том случае, если Пользователю не известен код регистрации. Для этого первичным компьютером для всех «Секретов» должен быть сделан специально выделенный компьютер Администратора, на котором Администратор произведет регистрацию всех «Секретов». Компьютер Администратора должен быть защищен от несанкционированного доступа, а распечатки кодов регистрации (либо журнал, в котором записаны коды регистрации) должны храниться в гарантированно недоступном для Пользователей и, разумеется, посторонних лиц месте.

Наличие описанных защитных механизмов позволяет ПАК «Личный Секрет» успешно противостоять атакам со стороны злоумышленника, описанным в разделе «Покушения на Секреты». В случае потери, кражи, отъема, завладения устройством с помощью мошенничества или покупки у мотивированного инсайдера служебного носителя злоумышленник не сможет зарегистрировать его на стороннем компьютере, поскольку ему не известен код регистрации, сформированный на этапе первичной регистрации служебного носителя. А в случае завладения устройством, оставленным без присмотра на рабочем месте, злоумышленник не сможет получить доступ к данным, поскольку ему не известен PIN-код.

Документация:

Название документа Скачать
Инструкция по настройке PDF
Руководство пользователя PDF
Руководство администратора PDF

Информацию о стоимости ПАК «Личный Секрет» можно запросить по адресу zakaz@okbsapr.ru


Регистрационный номер в реестре отечественного ПО: 2033