Адрес документа: http://lib.itsec.ru/forum.php?sub=12776&from=0
| Автор: Александр | 67452 | 13.12.2016 15:57 |
|
Здравствуйте, уважаемые коллеги!
В одну из организаций поставили машину с установленной ОС Astra Linux Special Edition для обработки ГТ по 2 категории. Обязательно ли к ней покупать плату доверенной загрузки? |
|
| Автор: WORM, MK | 67454 | 13.12.2016 16:29 |
|
К ней-то покупать не обязательно (впрочем, нужно почитать, чего там пишут в формуляре, какие условия по применению), а вот требования РД ФСТЭК выполнять обязательно.
|
|
| Автор: Мимо | 67455 | 13.12.2016 16:58 |
|
... в которых про обязательность применения СДЗ ни слова (ждем новый Букварь).
|
|
| Автор: Мимо | 67456 | 13.12.2016 17:03 |
|
Вдогонку:
если применяется Астра РУСБ.10015-07 по линии ФСБ, то в формуляре явное требование наличия сертифицированных АПМДЗ. На объектах Минобороны тоже АПМДЗ требуют. |
|
| Автор: Александр | 67457 | 13.12.2016 19:52 |
|
Будет применяться релиз "Смоленск" по линии ФСТЭК.
Если я вас правильно понял, коллеги, то мы на текущий момент, применяя данную ОС без АПМДЗ, никаких требований ФСТЭК не нарушим? |
|
| Автор: Мимо | 67458 | 13.12.2016 20:14 |
|
Да, у ФСТЭК на данный момент на сей счет белое пятно. А в формуляре Астры на ФСТЭК-версию требований по обязательному наличию АПМДЗ нет.
|
|
| Автор: Евгений | 67463 | 14.12.2016 09:11 |
|
А сертификат на САВЗ под эту ОС уже есть? В октябре еще не было.
|
|
| Автор: Мимо | 67468 | 14.12.2016 09:57 |
|
По ФСТЭК после ИК скоро будет Антивирус Касперского 8.0 для Linux File Servers (сейчас пока только по Минобороны).
Dr.Web Enterprise Security Suite (серт 3509) работает под Астрой в режиме ЗПС, но под мандатной меткой работает с ограничениями |
|
| Автор: oko | 67469 | 14.12.2016 09:59 |
|
to Евгений
Антивирусная защита? Это же навесное СЗИ по отношению к Астре. DrWeb for Linux, KES for Linux - и вперед, у них собственные сертификаты. Или в составе Астры хотят и антивирус протащить под сертификацию? Или речь идет о номинальном сертификате совместимости какого-то антивирусного продукта с Астрой? |
|
| Автор: Александр | 67484 | 14.12.2016 15:14 |
|
Вот, что ответила тех. поддержка Русбитех :
Операционная система специального назначения "Astra Linux Special Edition" соответствует РД СВТ по 3 классу и РД НДВ по 2 уровню, предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности "совершенно секретно" включительно. Сертификат соответствия ФСТЭК России № 2557 от 27.01.2012 г., действующий до 27.01.2018 г. (По истечению срока действия, сертификат продлевается) Описание классов защищенности АС доступно на нашем сайте: ссылка. Для достижения класса АС 2А требуется применение модулей доверенной загрузки, а также межсетевого экрана класса 2. Все-таки требуется плата получается? |
|
| Автор: Мимо | 67486 | 14.12.2016 15:50 |
|
Типичный ответ их ТП.
Спросите почему тогда об этом ничего нет в формуляре на версию РУСБ.10015-01 под ФСТЭК ?? |
|
| Автор: oko | 67491 | 14.12.2016 22:26 |
|
to Александр
Тов. Мимо верно говорит. Либо отметка в формуляре, либо официальное представление вам ТУ на Астру (не выдадут скорее всего), в которых это (необходимость МДЗ) явно указано. Если ни того, ни другого - никакого нарушения нет... С другой стороны, есть еще ГОСТ по аттестации с его двоякой трактовкой доверенной загрузки. С материалами, которые ФСТЭК сейчас органам по аттестации написал, необходимыми для проведения аттестации я лично еще не успел ознакомиться. Но что-то мне подсказывает, что ГОСТ по этим документам наконец узаконен (привет, тов. sekira! :). Впрочем, это тоже не решает проблему из-за специфической трактовки ГОСТ в части проверки доверенной загрузки... А так, да, ждем новый "букварь", который по-идее должен поставить точку в вопросе доверенной загрузки в ГТ... ЗЫ imho, разработчики Астры попросту хотят впарить хоть кому-нибудь свой Максим-М1. Не ведитесь, даже если МДЗ будет в итоге обязателен к установке... |
|
| Автор: Иван | 67676 | 17.12.2016 10:05 |
|
В ГОСТе по типовым программам и методикам есть пункт о том что должна выполняться невозможность загрузки с устройств не предусмотренных технологией инициализации АС. И это по моему мнению и приводит к необходимости использования МДЗ
|
|
| Автор: sekira | 67677 | 17.12.2016 13:39 |
|
"что ГОСТ по этим документам наконец узаконен (привет, тов. sekira! :)."
это просто список того что должно быть, это не значит что Аттестация ОИ должна проводится в соответствии с требованиями приведенными в этих двух Гостах по аттестации. Еще раз в ГОСТах нет требовавний к ОИ есть требования как их аттестовать, в приложениях рекомендуемая (даже в трактовке ГОСта форма). Узаконен может ГОСТ быть в требованиях к ОИ в любом виде! А так, да, ждем новый "букварь" Золотые слова... |
|
| Автор: sekira | 67678 | 17.12.2016 13:41 |
|
то Иван...
"В ГОСТе по типовым программам и методикам " есть требования к ОИ? |
|
| Автор: oko | 67680 | 17.12.2016 18:38 |
|
to sekira
В упомянутом ГОСТ есть пункт про обязательность оной проверки во время аттестационных испытаний. И про то, что блокирование функций во время проверки - удел СЗИ. И, если читать формально, то СЗИ - это либо орг.+тех.меры, либо только технический сертифицированный элемент (у нас же все элементы должны быть сертифицированы под ГТ, ага). Т.е. отмазки аля "настройки BIOS + пароль" уже не катят. В противном случае - положительного заключения по результатам аттестационных испытаний выдать нельзя... Впрочем, никто и явно этого не указывал - на том до выхода "букваря" и держимся. to Иван Советую ГОСТ детально не цитировать. А то форум под ДСП придется "положить" :) |
|
| Автор: sekira | 67681 | 17.12.2016 19:00 |
|
Еще раз.
ГОСТ не требования к ОИ, а порядок проверки требований. И ГОСТ необязателен для лицензиатов и органов, поэтому ждем новый "букварь". |
|
| Автор: oko | 67682 | 17.12.2016 19:53 |
|
to sekira
Еще раз. Два вопроса. 1. Как можно "проверять требования", если самих "требований" нет? 2. Для кого же тогда обязательны ГОСТ по аттестации (оба два)? *в сторону* чисто для проформы. С моей точки зрения ГОСТ сделаны грамотно и обязательны, ибо это ГОСТ. А требования к той же ДЗ вне зависимости от их явного утверждения должны предъявляться при аттестации. Иначе вся эта чехарда не имеет смысла... |
|
| Автор: sekira | 67683 | 18.12.2016 07:11 |
|
1. Никак. Но это не значит что они появились здесь.
2. Пока только для тех у кого они согласованы с Заказчиком работ в ТЗ или в Программе. тоже в сторону.... С моей точки зрения все должно быть четко и логично. Напишите как регулятор хоть где (пример как это сделано это 17 приказе или НМД в части техканалов по ГТ) для аттестации ОИ применяем такие то ГОСТы и все. А так получается "Иначе вся эта чехарда не имеет смысла..." |
|
| Автор: oko | 67686 | 18.12.2016 23:40 |
|
to sekira
Шутку оценил, смешно. С одной стороны, регулятору это не выгодно - куда проще *ать незнающий народ за несоблюдение правил, которые либо не утверждены, либо закрыты семью печатями (привет, "другой" регулятор!). С другой стороны, регулятор тогда должен, вестимо, издать глобальный документ на все случаи жизни, в котором помимо правил на все существующие объекты будут также правила и на все потенциально возможные случаи... Кстати, ГОСТ на уровне обязаловки вроде как Правительство должно утверждать, а не регулятор. Регулятор как раз свою работу исполнил в достаточной мере. И имеет полное право требовать исполнения оных ГОСТ во время аттестации - не зря же разработаны были. Просто волокита бюрократии велика - как с тем же 17 Приказом (или НДВ из ПП 1119). Сколько лет прошло, а все равно народ считает, что ГИС - только те ИС, что в перечни попадают. Впрочем, надеюсь, вскоре этот вопрос будет закрыт уже на уровне ПП РФ. А оттуда и до ГОСТ недалеко. Прикол в том, что грамотно будет начать исполнение уже сейчас, не дожидаясь отмашек. Во всяком случае, когда исполнение не идет во вред... |
|
| Автор: WORM, MK | 67690 | 19.12.2016 15:47 |
|
" Для кого же тогда обязательны ГОСТ по аттестации (оба два)? "
"Пока только для тех у кого они согласованы с Заказчиком работ в ТЗ или в Программе." Вообще-то для всех. Согласно ст.4 и ст. 6 ФЗ-162 "О стандартизации в РФ", документы по стандартизации в области защиты информации применяются в обязательном порядке. И попробуйте убедить регулятора в необязательности... |
|
| Автор: sekira | 67691 | 19.12.2016 15:57 |
|
При чем тут статья 4 ? какой пункт статьи?
Ну а в статье 6 .... устанавливается Правительством Российской Федерации. И че? В чем убеждать то? |
|
| Автор: sekira | 67692 | 19.12.2016 18:20 |
|
ППр 17.10.2009 N 822
28. Обязательность применения документов, в которых установлены требования к продукции (работам, услугам), указанной в пункте 27 настоящего Положения, а также к процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции, устанавливается государственными заказчиками работ по стандартизации продукции (работ, услуг) и федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации. Где обязательность установленная федеральными органами исполнительной власти, уполномоченными в области противодействия техническим разведкам и технической защиты информации? Еще раз ждем новый букварь!! И утверждения проекта Постановления правительства подготовлен Минобороны России 25.12.2015 с Положением по стандартизации и пунктом 10. Национальные стандарты ограниченного распространения являются обязательными для применения и исполнения в отношении объектов стандартизации, установленных настоящим положением. и п. 2 ...б) "объект стандартизации" - продукция, используемая в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукция, сведения о которой составляют государственную тайну, создаваемых и (или) поставляемых вне государственного оборонного заказа, связанные с такой продукцией процессы, а также терминология, условные обозначения, исследования (испытания) и измерения, методы испытаний, маркировка, процедуры оценки соответствия. |
|
| Автор: WORM, MK | 67694 | 19.12.2016 18:47 |
|
Хмм...
тов. sekira, Вы уж цитируйте как следует. " объект стандартизации - продукция (работы, услуги) (далее - продукция), процессы, системы менеджмента, терминология, условные обозначения, исследования (испытания) и измерения (включая отбор образцов) и методы испытаний, маркировка, процедуры оценки соответствия и иные объекты; " ст. 4. Стандартизация в Российской Федерации основывается на следующих принципах: п.2. обязательность применения документов по стандартизации в отношении объектов стандартизации, предусмотренных статьей 6 настоящего Федерального закона, .... ст 6. " Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией " Ну и на всякий случай напомню, что ФЗ имеет большую юридич. силу в сравнении с Пост. Пр-ва. И че? |
|
| Автор: sekira | 67695 | 19.12.2016 18:52 |
|
Не то процитировали (берите из правовых систем данные!)
от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации" ФЗ Статья 6 вступает в силу с 1 июля 2016 г. ФЗ Статья 6. Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией 1. Порядок стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией, устанавливается Правительством Российской Федерации. ФЗ отослал к Постановлению правительства которое пока не утверждено..., а то что действовало не содержит обязательность и отсылает регуляторам. |
|
| Автор: WORM, MK | 67696 | 19.12.2016 19:02 |
|
Вы случайно не перепутали порядок стандартизации с принципом применения документов по стандартизации?
Принцип очень простой: обязательность применения документов. |
|
| Автор: oko | 67697 | 19.12.2016 19:12 |
|
Итог (а то у меня от такого увлекательного цитирования глаза на лоб полезли): ФСТЭК ГОСТ разработала, а Правительство ничего не утвердило. Повторюсь, с ГИС та же история. И с НДВ по ПП 1119 аналогичная, пусть и реверсивная слегка. И... много еще примеров. Не беда - мы же, коллеги, в этой кухне давно варимся - пора уже привыкнуть к таким "несостыковочкам" :)
Вопрос-то в другом. Если ГОСТ не применять, то ДЗ обеспечивать, в принципе, не нужно (настройка BIOS на борту китай-материнки не в счет). Если ДЗ обеспечивать не нужно, появляется реальный канал утечки. Если появляется такой канал, его нужно закрывать. Замкнутый круг, ага. И, если раньше даже повода не было на него обращать внимания, ибо не рассматривали РД ГТК от НСД и СТР такой вопрос по ряду причин (хотя тов. из того же ОКБ САПР зачастую утверждают обратное). То сейчас появился какой-никакой повод в виде сих ГОСТ. Итак, внимание, уважаемы знатоки, вопрос: "Будем бодаться с регулятором на заранее проигранной территории (лицензиаты мы как-никак, тем более однозначно с ГОСТ ознакомившиеся) или примем ГОСТ как модус операнди и начнем нагибать заказчика на соблюдения ДЗ в полной мере за счет встраивания отечественных СДЗ (благо, и требования по сертификации есть, и продукции хоть отбавляй)?" Естественно, к объектам, где за спиной каждого юзера (потенциального нарушителя) в АС стоит автоматчик - этот вопрос не относится... |
|
| Автор: WORM, MK | 67698 | 19.12.2016 19:38 |
|
2 oko
Это кто как. Кто-то будет бодаться, а кто-то нагибать )) Второе надежнее )) Во всяком случае, если регулятор спросит "а чё не по ГОСТу?", то ответить практически и нечего... Кстати, не раз спрашивал во 2 УФСТЭК, надо ли проводить ежегодный контроль в аттестованной ГИС. Ответ: не надо, надо постоянно поддерживать аттестованную ГИС в защищенном состоянии (см. мероприятия по эксплуатации аттестованной ИС в Приказе 17). А вот если по ГОСТу - ежегодный контроль строго обязателен, и любой аттестатор вправе (и даже обязан) вписать это в аттестат. |
|
| Автор: sekira | 67699 | 19.12.2016 19:40 |
|
"ФСТЭК ГОСТ разработал, а Правительство ничего не утвердило"
Что и пытался показать... "и начнем нагибать заказчика на соблюдения ДЗ в полной мере" А что вменим как требования к наличию ДЗ в Программе и методике и в последующем Заключении? Есть уже профили к ДЗ как их привяжите к ОИ не к СЗИ на ОИ? Нет требований к ОИ нече выдумывать их самим и по крупицам где то домысливать и додумывать, по документам которые регулятор заранее подготовил, что бы требования (букварь) которые выдут заработали. Ну или начинаем переписку с регулятором ... пущай разъесняет. |
|
| Автор: sekira | 67700 | 19.12.2016 19:43 |
|
"А вот если по ГОСТу ..."
Я бы вам выложил все нестыковки с букварем, положением по аттестации, инструкцией по ГТ , методикой ПЭМИН, РД и т.д. Но здесь низя и это совсем другая история... Собственно почему и хотелось бы от регулятора отмашку... |
|
| Автор: oko | 67702 | 19.12.2016 22:03 |
|
to WORM
ГОСТ же вроде только ГТ касается ибо "орган по аттестации", а не лицензиат ТЗКИ. Хотя я тоже долго недоумевал от таких понятий. Раз аттестация по тому же 17 приказу, то и орган по аттестации... to sekira Наличие канала утечки информации вменим, я же уже говорил. И обоснуем незащищенностью АС в рамках Протокола НСД. Если хочется бумагомарательства - сослаться на ГОСТ в той же ПиМ и провести комплексные испытания системы ДЗ, доказав, что нужны СЗИ. А СЗИ для ГТ - только сертифицированные. А они уже под новые требования к СДЗ. Все логично, четко и в ажуре... И потом, ПиМ - это не палочка-выручалочка. Дескать, что согласовали, то и проводим. В рамках испытаний всегда могут выясниться моменты, о которых не знаешь на этапе согласования ПиМ. Поэтому аттестация - не услуга по готовому тарифу (за что заплатили. то и получили). Голову-то на плечах иметь надо. Или прикажите красивые бумажки с надписью "Аттестат соответствия" выдавать за такие же красивые глаза "де юре защищенного ОИ"? Хреновая позиция... И да, еще момент. Требований по части той же защиты виртуализации по ГТ тоже нет. А средства защиты есть. И что, это повод не ставить СЗИ и не рассматривать угрозы виртуальной среде как канал утечки? И на вопросы регулятора (который забеспокоился, да) отвечать "Не знаю, не видел, не писали, не читал"? Дважды хреновая позиция... |
|
| Автор: WORM, MK | 67705 | 20.12.2016 08:49 |
|
" ГОСТ же вроде только ГТ касается ибо "орган по аттестации", а не лицензиат ТЗКИ. "
Насколько я помню, ГОСТ касается любой аттестации и определяет, кто чего аттестует: орган аттестует ГТ, а лицензиат по ТЗКИ - конфу. В том то и дело, что ГОСТ писали для всех случаев. |
|
| Автор: Dfg | 67808 | 24.12.2016 08:54 |
|
Вот про классы ОС
Сам приказ не нашел правда, видимо еще не опубликовали. Интересно будет ли внутри прямо сказано про отсутствие НДВ предъявляемые к ОС. Ну и раскрыты прочие заморочки вроде обсуждаемых тут. Винда как средство со встроенными фукнциями ЗИ видимо окончательно канет в лету :) |
|
| Автор: Vosiley, ООО "ИнфоЦентр" | 67997 | 08.01.2017 12:30 |
|
Интересно, зачем в "Смоленске" запускаются драйвера bluetooth и присутствует мастер настройки беспроводных сетей? Как все это прошло сертификацию? Но это так, хохма.
А вот вопрос посерьезнее, можно ли настроить печать файлов с грифом напрямую, без маркировки и запуска макросов? |
|
| Автор: oko | 67998 | 08.01.2017 18:10 |
|
to Vosiley
Вы ядро посмотрите у Смоленска. Полная поддержка всех БСД, включая ИК, WiFi и т.п. А драйвер и ПО bluetooth им просто было лениво из Wheezy выпиливать... По основному вопросу: попробуйте в файлах, которые в каталогах /usr/share/cups/psmarker и /usr/share/cups/fonarik, скрыть комментариями все ключевые позиции конфигурации. По идее, маркировка отрабатывать все так же будет, но уже без конечной печати "фонариков". А вот как убрать скрипты запроса учетной информации у пользователей при печати... это надо ковырять сами скрипты (и выпилить из них все содержимое)... |
|
| Автор: Vosiley | 68063 | 12.01.2017 07:14 |
|
to oko
Да, редактирование конфигов маркировки позволяет печатать пустую маркировку. Надеюсь, ребята из астры сделают костыль маркировки отключаемым, это сохранит много нервных клеток при попытках объяснить контингенту, как печатать документы с грифом. |
|
| Автор: Monkey | 69061 | 20.02.2017 15:45 |
|
А что касается использования программ контроля НСД, типа Ревизоро, Терьера? Я так понимаю версий под unix системы нету
|
|
| Автор: Human | 69062 | 20.02.2017 17:43 |
|
для Monkey | 69061
В Астре эти так называемые "программы контроля" встроены в саму сборку. Почитайте мануал к Астре. |
|
| Автор: Martian | 69080 | 21.02.2017 09:26 |
|
To Human
Да только вот при "контроле эффективности защиты СЗИ" это нужно делать сторонними сертифицированными ФСТЭКом программами, а не встроенными в СЗИ. Как я понимаю, у Linux-систем с подобными программами совсем все туго. |
|
| Автор: sekira | 69081 | 21.02.2017 11:46 |
|
"Да только вот при "контроле эффективности защиты СЗИ" это нужно делать сторонними сертифицированными ФСТЭКом программами"
А можно узнать где такое написано? С пунктом документа пожалуйста.. |
|
| Автор: nekto | 69084 | 21.02.2017 13:40 |
|
"Да только вот при "контроле эффективности защиты СЗИ" это нужно делать сторонними сертифицированными ФСТЭКом программами"
Ну с сертификатом, то как раз проблем нет, на Астру он же есть. |
|
| Автор: Martian | 69085 | 21.02.2017 14:03 |
|
В ГОСТ РО 0043-004-2013 Приложение Б пункт Б.8.
|
|
| Автор: Monkey | 69086 | 21.02.2017 14:27 |
|
"Ну с сертификатом, то как раз проблем нет, на Астру он же есть"
А есть у кого этот сертификат 2557 от 27.01.2012? Что в нем написано? Я его не смог найти в интернете. А производитель почему-то только по запросу их выдает |
|
| Автор: Human | 69088 | 21.02.2017 15:10 |
|
для Martian | 69085
"В ГОСТ РО 0043-004-2013 Приложение Б пункт Б.8." Не увидел, где там написано, что "...при контроле эффективности защиты СЗИ это нужно делать сторонними сертифицированными ФСТЭКом программами"" Тем временем, программы контроля защищенности типа "Ревизор" и т.п. сертифицированы по ТУ и РД НДВ (например, по 2 уровню ). И Астра в системе ФСТЭК сертифицирована по 3 классу СВТ и 2 уровню НДВ. Так почему же нельзя использовать встроенные в сертифицированную сборку Астры специальные программы контроля защищенности. Ведь Астра сертифицирована по 2 уровню НДВ?. |
|
| Автор: 12 | 69090 | 21.02.2017 16:46 |
|
*ворвался*
Коллеги! А в сертификате/ТУ написано ли, что в Астре есть встроенные средства контроля эффективности СЗИ? Задайте вопрос разработчику З.Ы. Ждем, когда Астру отсертифицируют по новым требованиям БИ к ОС - там этот пункт обязателен. |
|
| Автор: Monkey | 69091 | 21.02.2017 17:07 |
|
"Не увидел, где там написано, что "...при контроле эффективности защиты СЗИ это нужно делать сторонними сертифицированными ФСТЭКом программами"
Т.е. Вы считаете, что можно использовать СЗИ для самотестирования? Это не логично "И Астра в системе ФСТЭК сертифицирована по 3 классу СВТ и 2 уровню НДВ" Она сертифицирована как СЗИ, но не как средство контроля эффективности применения СЗИ (Terrier, серт. 1193) или как средство контроля защищенности информации от НСД (Ревизор, серт. 989) |
|
| Автор: Human | 69092 | 21.02.2017 18:01 |
|
для Monkey | 69091
"Т.е. Вы считаете, что можно использовать СЗИ для самотестирования? Это не логично" "Она сертифицирована как СЗИ, но не как средство контроля эффективности применения СЗИ (Terrier, серт. 1193) или как средство контроля защищенности информации от НСД (Ревизор, серт. 989)" Согласен, что не логично. Но да, считаю. Вот почему: В сертификатах на ревизор, терьер написано "средство контроля защищенности..." , но сертифицируются-то они по требованиям РД ФСТЭК, в частности, по уровню отсутствия НДВ, ну и ТУ. Никаких отдельных требований для средств контроля защищенности (как, например, требования к СДЗ и САВЗ) я не знаю. Если вы знаете, но подскажите, пожалуйста. А это значит, что так называемым средствам контроля защищенности достаточно быть сертифицированными по требованиям РД НДВ. И Астра вместе со своими встроенными утилитами тестирования сертифицирована по той же РД НДВ. Если я где-то не прав, то поправьте. Я сам заинтересован познать истину, так сказать. |
|
| Автор: oko | 69095 | 21.02.2017 22:10 |
|
to Human
Правы. Во всем, включая согласие с отсутсвием логики... Но... так и живем (с) |
|
| Автор: sekira | 69096 | 22.02.2017 11:07 |
|
для Martian.
Я ответа со ссылкой на ТРЕБОВАНИЯ не увидел! Приложение Б пункт Б.8. не говорит что средства контроля должны быть отдельны от СЗИ НСД. Кроме того вы прочитали название приложения Б ... ниже в скобках!!! А еще последний абзац первое слово п. 5.5.3! А еще 1 пункт прочитайте требования к ЧЕМУ! этот ГОСТ устанавливает. "Вы считаете, что можно использовать СЗИ для самотестирования? Это не логично" Это ваше ИМХО а не требования к средствам контроля. "Она сертифицирована как СЗИ, но не как средство контроля эффективности применения СЗИ" А вы ТУ читали на сертификацию? Вообще то это ОС с функциями СЗИ и функциями средств контроля и др. |
|
| Автор: Иван, ЗАО "Связь-Союз" | 69104 | 23.02.2017 11:32 |
|
Хотелось бы расспросить того кто аттестовал ОИ(АС) на базе ПЭВМ с ОС AstraLinux, есть такие?
|
|
| Автор: 12 | 69105 | 23.02.2017 12:42 |
|
На объектах с КИ используем Сканер-ВС (считали контрольные суммы, проверку затирания, аудит паролей и сети), на объектах с ГТ ситуация более прозаичная...
|
|
| Автор: Human | 69106 | 23.02.2017 13:39 |
|
Для Иван, ЗАО "Связь-Союз" | 69104
"Хотелось бы расспросить того кто аттестовал ОИ(АС) на базе ПЭВМ с ОС AstraLinux, есть такие?" Как-то звучит двусмысленно.... Это же форум. Поэтому вы пишите свой вопрос. И если кому-то будет чем ответить, то это, скорее всего, произойдет. |
|
| Автор: oko | 69111 | 23.02.2017 20:04 |
|
to Иван
Ничем от АС, в которых Windows+СЗИ НСД, не отличается... Сложности, скорее, у эксплуатантов с непривычки... |
|
| Автор: Иван, Связь-Союз | 69119 | 24.02.2017 04:56 |
|
1. Можно ли провести ЛСИ ПЭВМ с ОС Windows(запуск тестов, разрешение экрана и т.п.), затем переставить ОС Windows на ОС AstraLinux?
2. Либо использовать виртуальную машину Windows на ПЭВМ с ОС AstraLinux и запустить тесты под виртуальной машиной. 3. Для ПЭВМ с ОС Windows используем СЗИ SN7 c Соболем/SNTMC, а с AstraLinux (3/1В) - ни чего этого не надо? Соболь/SNTMC - обязательно только для 1А(из сообщений форума). 4. Аттестация: снятие КС(нюансы с: ~(тильда), .(точкой); ФИКС(ОС Windows)) - что использовать? Пока все. |
|
| Автор: oko | 69120 | 24.02.2017 11:07 |
|
to Иван
1. Про СИ ПЭМИН лучше погуглите (пояндексите, ага) соответствующую ветку форума. Там вопросы разницы результатов СИ под Win и под Lin на одной и той же машине обсуждались. Мое мнение: если совпадает драйверная база (что, в части тестов, в принципе, возможно) - измеряйте под той ОС, для которой имеются тесты. 2. Аналогично 1. Только для накопителей будете некоторую задержку отклика получать, что не есть гуд... и с клавиатурами могут быть проблемы... и с периферийным оборудованием, ага :) 3. Де юре пока не надо. Новый СТР не читал, что там про доверенную загрузку для ГТ сказано - не знаю. Но сам уже давно придерживаюсь правила: для "публичных" АС (рассчитанных на несколько отделов) нужна СДЗ (тот же Соболь, если разъемы имеются и UEFI не шалит), а для АС в рсп, где, фактически, только "доверенные" сотрудники работают, хватит и "мобильного шасси" с доп. орг.мерами. 4. Fix-Unix. Но его придется собирать под конкретную версию Астры (сталкивался с проблемой запуска уже скомпилированного Fix из Астры 1.0 в Астре 1.4). Зато можно подготовить заранее, если на руках имеется установочный дистрибутив Астры. В ином случае... хмм... копайте в сторону Live-CD самоличной сборки на базе Linux. И драйверы почти под все оборудование "вшить" можно, и через Wine запустить ФИКС-Windows, Терьер (от него пользы мало), Агент инвентаризации (пользы никакой, ибо будет данные эмулятора-неэмулятора Wine списывать) + тесты ПЭМИН для *nix и набор скриптов сбора информации по установленному ПО и настройкам основных файлов конфигураций. Увы, такие скрипты придется под конкретную ОС писать (т.е. для Астры и, к примеру, Росы будут отличаться, пусть и не сильно). ЗЫ Можно ФИКС-Windows и из-под Live-Windows запускать. Но тогда придется иметь хорошую поддержку ext3/ext4 файловых систем. Что, по-моему, еще нормально для Win не реализовано. ЗЗЫ Проверено, из-под Wine все прекрасно запускается и работает. Главное для Live-CD Linux - точку монтирования корня установленной Астры (например, /mnt/Astra) потом в отчетах того же ФИКС заменить на "/" :) |
|
| Автор: Мимо | 69121 | 24.02.2017 14:05 |
|
Интересно, ФИКС-Unix 1.0 реализует алгоритм ГОСТ 34.11-2012 ? Начиная с Астры 1.5 контрольные суммы снимаются этим алгоритмом. К тому же стоит учесть, что если на объекте будет включен режим ЗПС, то неподписанные модули не запустятся.
|
|
| Автор: oko | 69122 | 24.02.2017 17:45 |
|
to Мимо
Имея права root (а иначе как?), снять ЗПС не проблема. Что касается ГОСТ 2012... если так хочется - снимайте aide.check из состава Астры... И, кстати, вопрос: разве в формуляре Астры теперь приводятся КС на конкретные файлы, а не на полный дистрибутив (ядро, initrd, фс в squash)? Если нет, то какая вам разница с этим fix-unix? Используйте любое другое средство - благо, снятие КС с целью подтверждения верного дистрибутива можно проводить на любой другой машине. *в сторону* только чек дистрибутива смысла не имеет особого... imho, снимать КС нужно для последующих проверок, что не менялась целостность критически важных файлов в процессе эксплуатации программной среды АС... |
|
| Автор: Dfg | 69124 | 25.02.2017 08:52 |
|
А даёт ли сейчас астра что-нибудь в плане централизированного контроля состояния среды Арм для сетей?
Например раскрутили astra linux directory (кстати большой вопрос можно ли использовать это для иод и гт) а что в плане центральной консоли непрерывного контроля защищенности? На ПК пытаются подобрать пароль - админ получил алерт. На ПК вырубили зпс - админ получил алерт. На ПК завёлся неизвестный исполняемый файл, админ получил алерт. |
|
| Автор: 12 | 69131 | 25.02.2017 19:22 |
|
to Dfg
В Астре (начиная с 1.4) имеется написанная на php графическая среда для мониторинга логов на базе ossec не все то, что Вы описали, работает из коробки - нужно мааалость поработать напильником, настраивая политики сбора событий >> astra linux directory (кстати большой вопрос можно ли использовать это для иод и гт) нигде (пока что!) прямого запрета нет, выбирайте исходя из начальных условий. Военные, например, питают страсть к ALD |
|
| Автор: Dfg | 69133 | 26.02.2017 15:58 |
|
Тут дело не в запрете, а в том какие компоненты они сертифицировали в составе своей ОС.
Ald и Ossec у них как сертифицирован? Oseec это например вполне самостоятельный продукт, который должен сертифицирован осы как система обнаружения вторжений. А Ald это тоже считай внешняя система аутентификации и разграничения доступа, это немножно не то что и встроенный login. Что касается напильника и написания скриптов, это уже по идее разработка, и те "велосипеды" которые будут ваять на каждом объекте линуксоиды, должны сами по себе проходить оценку соответствия заявленным функциям. Кто знает качество кода написанных на коленке скриптов костыльной обвязки. |
|
| Автор: 12 | 69134 | 26.02.2017 19:49 |
|
К разработчику/сертификатору не отношусь, но настолько знаю, все модули с установочного диска сертифицированы на СВТ3+НДВ2 (насчет СВТ3 к СУБД Postgres не уверен). Будем ждать пересертификации по новым требованиям к ОС, какой профиль защиты выберут. Согласен, что сейчас - дело темное.
"Напильник" не всегда предполагает написание скрипта, верно? С ossec править нужно конфиги формата .xml. А вот, например, с маркировкой "из коробки" действительно подстава - ну не соответствет она действующему законодательству! p.s. Военные не зря же требуют сертифицировать все применяемые исполняемые модули, включая самописные, по ФСТЭК (пока!) тематических исследований же не требуют в обязательном порядке. |
|
| Автор: oko | 69135 | 26.02.2017 22:35 |
|
Вы еще про драйверную базу вспомните. Был случай, когда пытались в АРМ с Астрой воткнуть Nvidia 760GTX. Драйвера, разумеется, в составе дистрибутива не оказалось. А ставить проприетарный драйвер (nouveau не предлагать) = явно нарушать требования и сертификата, и банальной логики (весьма вероятные НДВ же!). Пришлось видеокарту "выбросить" и использовать iGPU (благо, материнка поддерживала).
Впрочем, после irDA+Bluetooth+WiFi-модулей в ядре ко всему, что связано с сертификацией Астры, отношусь философски... |
|
| Автор: Vosiley | 69269 | 28.02.2017 16:11 |
|
Кстати, по поводу root'a. Техподдержка Астры уверяла, что root в этой системе отключен. На мое возражение о том, что он не отключен, а просто пароль к нему неизвестен и лучше бы знать этот пароль, чем не знать его, представитель тех. поддержки упорствовал в том, что незнание пароля root безопаснее.
|
|
| Автор: oko | 69270 | 28.02.2017 17:21 |
|
Под root в графике зайти нельзя. А в init 3 вполне. И сменить ничего не стоит - sudo passwd root.
Актуально для Астры 1.4. Как там в более свежих релизах - не знаю... |
|
| Автор: Vosiley | 69315 | 02.03.2017 11:40 |
|
После смены пароля можно и в графике зайти потом. Настройку системы это ускоряет, только техподдержка предупреждает, что под метками конфиденциальности root'ом заходить нельзя, ибо все рухнет.
|
|
| Автор: Форумчанин | 74544 | 01.08.2017 10:56 |
|
Здравствуйте, коллеги. Хотим приобрести Astra Linux Special Edition для ЗИ сост. ГТ по требованиям ФСТЭК. Из условий эксплуатации, приведенных на сайте производителя: "Изделие должно применяться совместно с имеющими действующий сертификат ФСБ России
аппаратно-программными модулями доверенной загрузки класса защиты, соответствующего уровню обрабатываемой информации". Эти условия распространяются и на сертификат Астры по линии ФСТЭК или там другие ТУ? Если распространяется, то почему сертификат ФСБ? В начале данной темы этот вопрос уже поднимался, но ответ получен не был. |
|
| Автор: cog | 74878 | 02.08.2017 17:04 |
|
Вопросы по Астре можно задавать представителям Русбитеха в этой группе в Телеграм
|
|
| Автор: Vosiley | 75380 | 11.08.2017 12:29 |
|
Нарвались тут на современный процессор Kaby Lake. С ним система устанавливается, но не стартует, предположительно, нет каких-то драйверов в ядре. Так что за техническим новьём лучше особо не гнаться.
|
|
| Автор: oko | 75410 | 12.08.2017 15:24 |
|
to Vosiley
Debian же, причем уже устаревший... Но вроде бы решение есть - отключить HT (костыльное, но для тачек под ГТ вполне допустимое) |
|
| Автор: konstantin | 77392 | 07.09.2017 11:42 |
|
Возможно ли в Astra Linux подключение по FTP если пользователь залогинился с уровнем мандатной метки 1 ?
|
|
| Автор: konstantin | 77393 | 07.09.2017 11:42 |
|
Возможно ли в Astra Linux подключение по FTP если пользователь залогинился с уровнем мандатной метки 1 ?
|
|
| Автор: User | 81831 | 07.11.2017 11:28 |
|
Здравствуйте, возникла проблема при установке ОС Astra SE 1.5 Смоленск. Во время установки задаем логин/пароль пользователя, заходим в систему. После перезагрузки в систему зайти невозможно, пишет "Неудачный вход". Переустанавливали несколько раз - не помогло, поменяли пароль после входа - не помогло. Подозреваю, что проблема должна решиться тривиально, но поиск по интернету и ЭД на Астру не принесли желаемого результата.
|
|
| Автор: 12 | 81850 | 07.11.2017 17:11 |
|
Похоже на заблокированную учетку по причине превышения количества неудачных попыток. Заходите через recovery и сбивайте пароль (пароль на GRUB не забыли, надеюсь?).
|
|
| Автор: oko | 81852 | 07.11.2017 17:49 |
|
to User
Была такая шляпа. Астру к версии 1.5 окончательно испоганили. Обратитесь в техподдержку - пояснят, что делать... Еще есть вариант, что вы некорректно настроили мандатную политику. Из-за этого учетная запись блочится. Но там легко ошибиться - повторюсь, Астру изгадили полностью (включая документацию)... |
|
| Автор: Vosiley | 82841 | 24.11.2017 16:59 |
|
Почему-то так и не удалось настроить Samba. Ни через гуй, ни через конфиг, максимум получается доступ только для чтения.
|
|
| Автор: oko | 82849 | 24.11.2017 21:42 |
|
to Vosiley
С мандаткой или без? Если без, то как в обычном Debian (могу скинуть хороший подробный конфиг в понедельник-вторник). Если с мандаткой, то умываю руки - после знакомства с 1.5 понял, что в этом направлении "все пропало"... |
|
| Автор: Vosiley | 82858 | 25.11.2017 19:34 |
|
oko,
конечно, с мандаткой :) ТП отсылает на свою вики, там какой-то конфиг лежит, но тоже как-то не очень работает. было бы неплохо посмотреть конфиг. |
|
| Автор: oko | 82860 | 25.11.2017 19:40 |
|
Сегодня-завтра могу скинуть. Но без мандатки. И вам советую о мандатке по Астрой забыть. Как в свое время забыли про МСВС, ага...
|
|
| Автор: oko | 82867 | 26.11.2017 15:50 |
|
to Vosiley
Ловите типовой конфиг Samba (без мандатки, разумеется - с мандаткой проверить не могу, под рукой последнего образа Астры не имею пока): |
|
| Автор: Василий | 82905 | 27.11.2017 16:21 |
|
Есть у кого как настроить данную ОС по РД классификация АС НСД?Ну пусть будет 1Г?
|
|
| Автор: oko | 82910 | 27.11.2017 18:49 |
|
to Василий
Не ищите, не найдете. Как говорилось в старой шутке - каждый ... как хочет... |
|
| Автор: Helen | 82967 | 29.11.2017 16:05 |
|
Доброго времени суток, коллеги! Кто-нибудь работал с Dr.Web под Astra 1.4 с мандатами? Работает ли сканер на ненулевых уровнях?
|
|
| Автор: oko | 82968 | 29.11.2017 16:39 |
|
to Helen
Заставлял работать консольный сканер через скрипты в cron. С логированием, со всем нужным. Делается просто - команды запуска читайте в оф.мануале. А дальше обычный bash-скрипт с запуском по расписанию crontab... Графика, кажись, так и не завелась (да не особо и хотелось GUI обеспечивать, если честно, - он в Астре все равно для галочки нужен)... |
|
| Автор: Cog | 83036 | 03.12.2017 09:23 |
|
Все работает в Астре, и Каспер и веб с графикой на всех уровнях, читайте документацию к этим продуктам.
Если сами не разберётесь, идите в группу телеграм про Астру, там объяснят. |
|
| Автор: Vosiley | 83485 | 11.12.2017 14:41 |
|
oko, спасибо за конфиг!
|
|
| Автор: Vosiley | 83486 | 11.12.2017 14:43 |
|
Cog
Ага, только чтоб ядро Касперского заработало, его нужно компилировать после установки, для этого, я так понял, нужно покупать дополнительно диск разработчика Astra Linux с компиляторами, и ставить эти компиляторы, затем их удалять. |
|
| Автор: 12 | 83487 | 11.12.2017 15:03 |
|
Нужна специальная сборка Антивирус Касперского 8.0 для Linux File Servers 8.0.3.297-astra или более новая, там ничего собирать не надо
|
|
| Автор: Vosiley | 83491 | 11.12.2017 17:19 |
|
12
Какой из их медиапаков комплектуется такой сборкой? |
|
| Автор: Игорь, Интерас | 83924 | 18.12.2017 13:38 |
|
Здравствуйте, уважаемые коллеги!
В организации имеется аттестованный АРМ по ГТ 2 категории, на АРМ установлена ОС Astra Linux Special Edition, встроенными средствами которой написана база данных состоящая из связки Apache+PHP+PostgreSQL для обработки ГТ 2 категории. Необходимо ли сертифицировать данное решение? Описано ли данный случай в нормативных актах по ГТ? |
|
| Автор: oko | 83939 | 18.12.2017 19:50 |
|
to Игорь
Сертифицировать на предмет чего? По НДВ-2 и так уже сертифицировано, если пакеты того же Apache и проч. брали с репозитория на CD-диске Астры (Астра сертифицирована вся полностью)... По СВТ-3 тут вопрос - на уровне ОС у вас отрабатывают защитные механизмы Астры, которые тоже сертифицированы (parsec и т.п.). На уровне веб-сервер+СУБД... скажем так, в формуляре Астры указано, что используются "защищенный веб-сервер" и "защищенная СУБД"... во всяком случае, раньше так было... так что, imho, никаких лишних телодвижений более не нужно... |
|
| Автор: 07 | 91288 | 17.04.2018 11:43 |
|
Автор: 12 | 81850 07.11.2017 17:11
Похоже на заблокированную учетку по причине превышения количества неудачных попыток. Заходите через recovery и сбивайте пароль (пароль на GRUB не забыли, надеюсь?). Подскажите, произошел такой случай заблокировалась учетка, какие действия по устранению данной неполадки...так как везде просит логин пароль и все везде неверное |
|
| Автор: Vosiley | 99306 | 11.08.2018 14:36 |
|
Ну вот и подходит к концу показушная затея с флагманом реестра отеч. ПО.
Некоторые особо бравые ведомства сначала всех перегоняли на астра-линукс, затем присылали самописную СУБД, которая работает только на винде, и требовали через нее отчетов... Народ начинает лезть на стенку и переустанавливать ОС. |
|
| Автор: oko | 99329 | 11.08.2018 16:27 |
|
to Vosiley
Уж лучше так, чем на Астре. От версии к версии все хуже и хуже. Лепить из Debian нечто проприетарно-закрытое - это извращение, не стоящее того, imho... |
|
| Автор: Юрий | 99508 | 13.08.2018 06:42 |
|
>> Ну вот и подходит к концу показушная затея с флагманом реестра отеч. ПО.
Что бы сие значило? |
|
| Автор: 12 | 99557 | 13.08.2018 11:37 |
|
Так-то и через Wine можно попробовать
|
|
| Автор: А.Ю. Щеглов, НПП "Информационные технологии в бизнесе" | 99877 | 15.08.2018 09:52 |
|
to jko.
Разрабатывать под Linux свои приложения, закрывать код и продавать - в этом не вижу ничего плохого. А вот этот продукт мне не понятен, что там своего и в чем импортозамещение. Если это серьезная разработка - разработано свое ядро ОС, то это позволяет говорить о своей ОС, но зачем тогда в названии продукта Linux? Если разработан некоторый набор приложений - рабочий стол и т.д., то их и надо продавать как приложения, а не претендовать на разработку ОС. Сегодня уже более 20 российских ОС без каких-либо комментариев разработчиков, что же ими сделано в этих ОС. Наверное, такая информация должна быть доступна, что позволит либо гордиться этими разработками, либо, наоборот. Опять же при этом узнаем, кто реально исправляет уязвимости. Хотя об этом можно и так узнать. |
|
| Автор: Vosiley | 99946 | 15.08.2018 18:00 |
|
С виртуалками неясна правомерность их применения относительно РД. Ну, допустим, wine (virtualbox, wmvare, и др.) запустили мы на astra linux (пока не проверял техническую возможность), так нужна лицензия опять же на окна, на офис, антивирус, сзи, и получится, что "скрипач нинужын".
|
|
| Автор: Vosiley | 99947 | 15.08.2018 18:08 |
|
to А.Ю. Щеглов
Насколько я понимаю в среде разработчиков linux так принято, если программист Васян делает свою сборку Linux, он может свободно называть ее Васян-linux. А разработчики астры именно что делают свое ядро, они привнесли туда мандатные метки и сессии, другое дело, что недоделано это все, да и немудрено это у нас на данном этапе развития. |
|
| Автор: oko | 99948 | 15.08.2018 18:20 |
|
to Vosiley
W.I.N.E. - Wine Is Not an Emulator! И софт, который под ним запускается, разумеется должен быть лицензионный. Иначе имеем необходимость запустить софт, но не имеем лицензии - без разницы, под чем его тогда запускать (Win/Lin/BSD/Mac/etc). Так что пользоваться вполне можно... *в сторону* В Астре (в частности) имеется куча патчей "отечественной разработки" в ядре. Будь они прокляты, ага... Зато как был bluetooth-демон и модули ядра в поставке по умолчанию, так и остались. Как была поддержка IrDA и WiFi, так и осталась. Как была кривая документация, так, мать ее, и осталось... |
|
| Автор: сергей | 107153 | 05.09.2019 07:31 |
|
Доброго времени суток, подскажите пожалуйста, такая проблема.
При запуске ОС, после ввода логина и пароля пользователя root, появляется черный экран и после нескольких секунд система перебрасывает к вводу логина и пароля. Попытка входа через пользователя (имеющего гриф), вход не успешен, так как заблокирован пароль системой. Что делать? Заранее спасибо. |
|
| Автор: мимопроходящий | 107771 | 23.01.2020 10:47 |
|
Коллеги, кто-нибудь нашел решение вопроса отключения маркировки?
|
|
| Автор: НСД | 107776 | 24.01.2020 15:42 |
|
Вот ответ от техподдержки, еще не проверяли
Если сервер печати не настраивался, то на предполагаемом сервере печати выполнить команды: {{sudo cupsctl --remote-admin --share-printers --remote-any }} {{sudo cupsctl ServerAlias=* }} {{sudo cupsctl DefaultPolicy=authenticated }} sudo cupsctl DefaultAuthType=Basic sudo systemctl restart cups Иначе их можно пропустить. Отредактировать файл /lib/systemd/system/cups.service указав строку: CapabilitiesParsec=PARSEC_CAP_PRIV_SOCK Строку: Also=cups.sock cups.path{{}} {{}} Привести к виду: Also=cups.path {{}} Выполнить команды: sudo systemctl stop cups.socket sudo systemctl daemon-reload sudo systemctl stop cups.service {{}} Проверить наличие сокета (файла .sock) в директории /var/run/cups с помощью команды: }}{{sudo ls /var/run/cups/ {{}} Выполнить команды: sudo rm -f /var/run/cups/cups.sock sudo systemctl disable cups.socket sudo systemctl start cups.service sudo cupsctl MacEnable=Off {{}} Проверить наличие флага ehole на сокете: sudo pdp-ls -Ma /var/run/cups/cups.sock{{}} {{}} Если флаг ehole присутствует, то маркировка отключена.}}{{}}{{ |
|
| Автор: Некто | 107787 | 30.01.2020 10:05 |
|
Отключение маркировки и отключение механизма маркировки - две разные вещи. Маркировку можно *убрать*, отредактировав файл шаблона маркировки. Но markjob при этом все равно делать придется.
to НСД: пробовал данный способ. упала подсистема печати, восстановил и больше не лазил туда. |
|
| Автор: Мимопроходящий | 107788 | 30.01.2020 11:38 |
|
to НЕКТО,
интересовал вопрос отключения именно механизма маркировки. В принципе сделал как сказали в тех. поддержки и все работает нормально, подсистема не падала. |
|
| Автор: Мимопроходящий | 107807 | 10.02.2020 12:42 |
|
А что у нас с межсетевым экраном в astre? СУдя по требованиям в ОС, в ней (astre) должен быть контроль сетевых потоков. Это можно рассматривать как МЭ?
|
|
| Автор: oko | 107808 | 10.02.2020 14:07 |
|
to Мимопроходящий
Сертификата по ИТ.МЭ... (ФСТЭК) или МЭ такого-то класса (ФСБ) у Astra Linux SE нет, так что де юре межсетевым экраном ее подсистема фильтрации на базе iptables не является... |
|
| Автор: Мимопроходящий | 107809 | 10.02.2020 14:09 |
|
to oko,
по такой же аналогии обчтоят дела и с доверенной загрузкой, как я понимаю? |
|
| Автор: oko | 107812 | 10.02.2020 16:28 |
|
to Мимопроходящий
Доверенная загрузка вообще вне юрисдикции любой операционной системы, так что да :) Хотя у РусБиТеха имеются отдельно внедряемые АПМДЗ... |
|
| Автор: Мимопроходящий | 107840 | 13.02.2020 12:57 |
|
Возник еще один вопрос, как проводить атт. мероприятия по линии НСД. Программ под линукс для контроля защищенности АС от НСД, контроля полномочий доступа к информационным ресурсам, поиск и гарантированного уничтожения инфы что-то не нашел. В формуляре про эти функции тоже ничего не говорится. Как быть? Ссылаться на сертификацию астра по такому-то типу и классу и говорить, что это априори должно быть там реализовано?
|
|
| Автор: oko | 107841 | 13.02.2020 16:02 |
|
to Мимопроходящий
Этот вопрос уже многократно обсуждался и на этом форуме, и на форуме самой Astra Linux - поглядите... Если коротко, то КСЗИ в Astra Linux имеет нужный набор утилит самотестирования, которые согласно ИТ.ОС..., по которым она сертифицирована, вполне себе ликвидны в качестве средств анализа защищенности от НСД... |
|
| Автор: Советник | 107887 | 25.02.2020 17:15 |
|
Товарищи. Есть ли сейчас какой-то легальный путь обхода применения криптографических средств (Криптографиеская подсистема), согласно требований РД АС от НСД? Раньше в СТРе был пункт 6.8. О25 про это молчит.
|
|
| Автор: oko | 107895 | 25.02.2020 22:35 |
|
to Советник
Не применять съемные МНИ-с-ГТ (любые, ага), а доступ к файлам на НЖМД разграничивать жестко и безжалостно всеми доступными способами :) Если серьезно, еще раз почитайте букварь. Там все настолько расплывчато, что можно доказать очень многое при желании... |
|
| Автор: sekira | 107896 | 26.02.2020 07:18 |
|
"О25 про это молчит" не молчит РД. А так ФСТЭКом письмами этот вопрос решен.
|
|
| Автор: Советник | 107899 | 26.02.2020 09:52 |
|
to oko,
боюсь уже его открывать, каждый раз пункты по-разному трактуются. Велик и могуч руский язык. А еще и создатели букваря писали одно, а подразумевали другое... to sekira, а можно ссылку хоть на одно такое письмо ФСТЭКа, если не затруднит? |
|
| Автор: Hu | 108141 | 22.05.2020 09:40 |
|
Коллеги. Пройдет ли аттестацию по ГТ ОВТ с установленной Astra Linux SE версии 1.3 ? или необходимо в обязательном порядке обновиться до актуальной версии? Сертификат один. В нем ничего про версии не сказано....
|
|
| Автор: oko | 108144 | 22.05.2020 14:33 |
|
to Hu
Была информация, что на ALSE 1.3 техподдержка не осуществляется, хоть и сертификат единый. Обращайтесь в РусБиТех. Если подтвердят официальным письмом, что эта версия все еще поддерживается (возможно, в индивидуальном порядке), или дадут иное подтверждение соответствия - используйте. Если нет, то де юре это нарушение п. 89 Положения по сертификации ФСТЭК России. Еще важно понять, распространяются ли на ваш объект требования сертификации именно ФСТЭК (вдруг у вас объект под ФСБ или МО, например)... imho, текущему сертификату (по ОС.А2.ПЗ или ОС.А1.ПЗ) ALSE 1.3 полностью не соответствует... |
|
| Автор: Ikebot | 109354 | 07.07.2021 18:16 |
|
Товарищи, подскажите пожалуйста есть ли в Astra Linux Special Edition функционал, показывающий время работы в каждой сессии? Т.е. есть ли возможность сверить данные наработки ОС с наработкой генератора ПЭМИН?
|
|
| Автор: Дядя-с-усами | 109360 | 13.07.2021 08:54 |
|
Отож.
|
|
| Автор: Ikebot | 109369 | 15.07.2021 09:23 |
|
to Дядя-с-усами, вход\выход из системы с градацией, что это была за сессия + конфиденциальная или не конфиденциальная даже за несколько месяцев в таком инструменте, это убиться проверять... Может быть есть какой-то способ автоматизации процесса для собственного контроля сопоставления сколько часов велась работа в сессиях с разной степенью конфиденциальности. Т.е. показывает ли Астра сколько часов суммарно велась работа в той или иной сессии, чтобы сопоставить эту цифру с показаниями генератора... в этом вопрос...
|
|
| Автор: мимо проходил | 109641 | 18.11.2021 16:35 |
|
to lkebot
включите генератор на постоянную работу, тогда отпадет необходимость сверять время работы СВТ и генератора |
|
| Автор: Сергей | 109724 | 22.12.2021 18:43 |
|
В ОО поставили машины с Астра , компания ростелеком установила ЕСПД , с виндой всё было просто установил сертификат прописал прокси с ограничениями но интернет работал, с астра не хочет хотя сертификат встал прокси прописали конект показывает что есть но при подключении к любому сервису соединение не проходит, что не так с настройками господа гуру
|
|
| Автор: курлык | 111408 | 11.04.2024 08:55 |
|
а форум, по всей видимости, закрыли
|
|
Просмотров темы: 66414
Copyright © 2004-2019, ООО "ГРОТЕК"
