АПКЗИ «Ребус-М» предназначен для обеспечения защиты информации от несанкционированного доступа при ее хранении и обработке на автономных или объединенных в локальную вычислительную сеть ЭВМ.

АПКЗИ «Ребус-М» имеет сертификат соответствия Минобороны России № 1117 (3-й класс защищенности по РД СВТ, 2-й уровень контроля по РД НДВ).  

АПКЗИ «Ребус-М» используется при создании систем защиты информации в качестве базового средства защиты. 

Применение АПКЗИ «Ребус-М» позволяет разрабатывать и внедрять системы защиты информации для автоматизированных систем, обрабатывающих государственную тайну, и обеспечить выполнение требований по безопасности по классу защищенности АС до 1Б включительно (обработка информации с грифом до «совершенно секретно» включительно).
 

Дополнительные сведения

В АПКЗИ "Ребус-М" версии 4.0 (сертификат соответствия ФСТЭК России № 3140) обнаружена уязвимость BDU:2024-04392, опубликованная в базе уязвимостей ФСТЭК России (https://bdu.fstec.ru/vul/2024-04392).

ВНИМАНИЕ! Уязвимость не актуальна для АПКЗИ "Ребус-М" с сертификатом соответствия Минобороны России № 1117!

Компенсирующие меры, нейтрализующие угрозу эксплуатации уязвимости:
Для нейтрализации угрозы эксплуатации уязвимости необходимо запретить пользователям возможность запуска исполняемых файлов, полученных с внешних источников:

  • внешних носителей информации;
  • общих сетевых ресурсов.
Если пользователи не используют на ЭВМ внешние носители, то их можно не добавлять в список ресурсов станции (если внешних носителей нет в списке ресурсов станции, запуск с них исполняемых файлов будет невозможен).

Для обеспечения возможности работы пользователей с внешними носителями эти носители необходимо добавить в список ресурсов соответствующих станций, для этого необходимо выполнить следующие действия:

  • войти в ОС под учетной записью администратора АПКЗИ «Ребус-М»;
  • запустить программу «Администрирование АПКЗИ»;
  • в списке станций выбрать нужную станцию, нажать кнопку «Изменить», в появившемся окне «Редактирование станции» выбрать вкладку «Ресурсы»;
  • если в списке ресурсов станции нет ресурсов «Flash-носители», «CD/DVD», «ГМД», и при этом пользователю нужно использовать данные ресурсы, то эти ресурсы необходимо добавить на станцию. Те ресурсы, которые не используются на станции, необходимо удалить из списка ресурсов станции;
  • если в списке ресурсов станции нет необходимых логических дисков (папок), то их необходимо добавить. Для добавления новых логических дисков необходимо добавлять ресурс «Папка» с именем, содержащим имя диска, например, «g:\». Те диски, которые не используются на станции, необходимо удалить из списка ресурсов станции;
  • в окне «Редактирование станции», во вкладке «Пользователи», выбрать пользователя, нажать кнопку «Изменить»;
  • в окне «Работа пользователя станции» выбрать вкладку «Права доступа»;
  • если в списке ресурсов (ресурсов пользователя станции) нет необходимых пользователю ресурсов «Flash-носители», «CD/DVD», «ГМД», логических дисков внешних носителей (например, «g:\»), их необходимо добавить;
  • последовательно перебирая внешние ресурсы, необходимо во вкладке «Права доступа» установить для каждого ресурса запрет на запуск («Запуск»), а для логических дисков в дереве прав доступа необходимо раскрыть раздел «Наследуемый доступ\Использование ф/п» и установить запрет на запуск («Запуск файла»).

После выполнения настроек для всех станции и пользователей необходимо передать на все станции таблицы настроек и перезагрузить станции для вступления настроек в силу.

Дополнительно, необходимо блокировать возможность запуска исполняемых файлов с общих сетевых ресурсов. Для этого необходимо (с помощью межсетевого экрана, брандмауэра Windows и проч..) разрешить доступ по сети только к доверенным (защищаемым, контролируемым) общим сетевым ресурсам (в случае использования таковых), а также запретить запуск исполняемых файлов с этих ресурсов путём настройки соответствующих прав доступа.