Astra Linux Special Edition - Форум по вопросам информационной безопасности

Адрес документа: http://itsec.ru/forum.php?sub=12776&from=0

Astra Linux Special Edition

К списку тем | Добавить сообщение


Автор: Александр | 67452 13.12.2016 15:57
Здравствуйте, уважаемые коллеги!
В одну из организаций поставили машину с установленной ОС Astra Linux Special Edition для обработки ГТ по 2 категории. Обязательно ли к ней покупать плату доверенной загрузки?

Автор: WORM, MK | 67454 13.12.2016 16:29
К ней-то покупать не обязательно (впрочем, нужно почитать, чего там пишут в формуляре, какие условия по применению), а вот требования РД ФСТЭК выполнять обязательно.

Автор: Мимо | 67455 13.12.2016 16:58
... в которых про обязательность применения СДЗ ни слова (ждем новый Букварь).

Автор: Мимо | 67456 13.12.2016 17:03
Вдогонку:
если применяется Астра РУСБ.10015-07 по линии ФСБ, то в формуляре явное требование наличия сертифицированных АПМДЗ. На объектах Минобороны тоже АПМДЗ требуют.

Автор: Александр | 67457 13.12.2016 19:52
Будет применяться релиз "Смоленск" по линии ФСТЭК.
Если я вас правильно понял, коллеги, то мы на текущий момент, применяя данную ОС без АПМДЗ, никаких требований ФСТЭК не нарушим?

Автор: Мимо | 67458 13.12.2016 20:14
Да, у ФСТЭК на данный момент на сей счет белое пятно. А в формуляре Астры на ФСТЭК-версию требований по обязательному наличию АПМДЗ нет.

Автор: Евгений | 67463 14.12.2016 09:11
А сертификат на САВЗ под эту ОС уже есть? В октябре еще не было.

Автор: Мимо | 67468 14.12.2016 09:57
По ФСТЭК после ИК скоро будет Антивирус Касперского 8.0 для Linux File Servers (сейчас пока только по Минобороны).
http://support.kaspersky.ru/general/certificates/12509
Dr.Web Enterprise Security Suite (серт 3509) работает под Астрой в режиме ЗПС, но под мандатной меткой работает с ограничениями

Автор: oko | 67469 14.12.2016 09:59
to Евгений
Антивирусная защита? Это же навесное СЗИ по отношению к Астре. DrWeb for Linux, KES for Linux - и вперед, у них собственные сертификаты. Или в составе Астры хотят и антивирус протащить под сертификацию? Или речь идет о номинальном сертификате совместимости какого-то антивирусного продукта с Астрой?

Автор: Александр | 67484 14.12.2016 15:14
Вот, что ответила тех. поддержка Русбитех :

Операционная система специального назначения "Astra Linux Special Edition" соответствует РД СВТ по 3 классу и РД НДВ по 2 уровню, предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности "совершенно секретно" включительно.

Сертификат соответствия ФСТЭК России № 2557 от 27.01.2012 г., действующий до 27.01.2018 г. (По истечению срока действия, сертификат продлевается)

Описание классов защищенности АС доступно на нашем сайте: ссылка.

Для достижения класса АС 2А требуется применение модулей доверенной загрузки, а также межсетевого экрана класса 2.

Все-таки требуется плата получается?

Автор: Мимо | 67486 14.12.2016 15:50
Типичный ответ их ТП.
Спросите почему тогда об этом ничего нет в формуляре на версию РУСБ.10015-01 под ФСТЭК ??

Автор: oko | 67491 14.12.2016 22:26
to Александр
Тов. Мимо верно говорит. Либо отметка в формуляре, либо официальное представление вам ТУ на Астру (не выдадут скорее всего), в которых это (необходимость МДЗ) явно указано. Если ни того, ни другого - никакого нарушения нет...
С другой стороны, есть еще ГОСТ по аттестации с его двоякой трактовкой доверенной загрузки. С материалами, которые ФСТЭК сейчас органам по аттестации написал, необходимыми для проведения аттестации я лично еще не успел ознакомиться. Но что-то мне подсказывает, что ГОСТ по этим документам наконец узаконен (привет, тов. sekira! :). Впрочем, это тоже не решает проблему из-за специфической трактовки ГОСТ в части проверки доверенной загрузки...
А так, да, ждем новый "букварь", который по-идее должен поставить точку в вопросе доверенной загрузки в ГТ...

ЗЫ imho, разработчики Астры попросту хотят впарить хоть кому-нибудь свой Максим-М1. Не ведитесь, даже если МДЗ будет в итоге обязателен к установке...

Автор: Иван | 67676 17.12.2016 10:05
В ГОСТе по типовым программам и методикам есть пункт о том что должна выполняться невозможность загрузки с устройств не предусмотренных технологией инициализации АС. И это по моему мнению и приводит к необходимости использования МДЗ

Автор: sekira | 67677 17.12.2016 13:39
"что ГОСТ по этим документам наконец узаконен (привет, тов. sekira! :)."

это просто список того что должно быть, это не значит что Аттестация ОИ должна проводится в соответствии с требованиями приведенными в этих двух Гостах по аттестации.

Еще раз в ГОСТах нет требовавний к ОИ есть требования как их аттестовать, в приложениях рекомендуемая (даже в трактовке ГОСта форма).
Узаконен может ГОСТ быть в требованиях к ОИ в любом виде!

А так, да, ждем новый "букварь"
Золотые слова...

Автор: sekira | 67678 17.12.2016 13:41
то Иван...

"В ГОСТе по типовым программам и методикам " есть требования к ОИ?


Автор: oko | 67680 17.12.2016 18:38
to sekira
В упомянутом ГОСТ есть пункт про обязательность оной проверки во время аттестационных испытаний. И про то, что блокирование функций во время проверки - удел СЗИ. И, если читать формально, то СЗИ - это либо орг.+тех.меры, либо только технический сертифицированный элемент (у нас же все элементы должны быть сертифицированы под ГТ, ага). Т.е. отмазки аля "настройки BIOS + пароль" уже не катят. В противном случае - положительного заключения по результатам аттестационных испытаний выдать нельзя...
Впрочем, никто и явно этого не указывал - на том до выхода "букваря" и держимся.

to Иван
Советую ГОСТ детально не цитировать. А то форум под ДСП придется "положить" :)

Автор: sekira | 67681 17.12.2016 19:00
Еще раз.
ГОСТ не требования к ОИ, а порядок проверки требований. И ГОСТ необязателен для лицензиатов и органов, поэтому ждем новый "букварь".

Автор: oko | 67682 17.12.2016 19:53
to sekira
Еще раз. Два вопроса.
1. Как можно "проверять требования", если самих "требований" нет?
2. Для кого же тогда обязательны ГОСТ по аттестации (оба два)?
*в сторону* чисто для проформы. С моей точки зрения ГОСТ сделаны грамотно и обязательны, ибо это ГОСТ. А требования к той же ДЗ вне зависимости от их явного утверждения должны предъявляться при аттестации. Иначе вся эта чехарда не имеет смысла...

Автор: sekira | 67683 18.12.2016 07:11
1. Никак. Но это не значит что они появились здесь.
2. Пока только для тех у кого они согласованы с Заказчиком работ в ТЗ или в Программе.

тоже в сторону....
С моей точки зрения все должно быть четко и логично. Напишите как регулятор хоть где (пример как это сделано это 17 приказе или НМД в части техканалов по ГТ) для аттестации ОИ применяем такие то ГОСТы и все.

А так получается "Иначе вся эта чехарда не имеет смысла..."

Автор: oko | 67686 18.12.2016 23:40
to sekira
Шутку оценил, смешно. С одной стороны, регулятору это не выгодно - куда проще *ать незнающий народ за несоблюдение правил, которые либо не утверждены, либо закрыты семью печатями (привет, "другой" регулятор!). С другой стороны, регулятор тогда должен, вестимо, издать глобальный документ на все случаи жизни, в котором помимо правил на все существующие объекты будут также правила и на все потенциально возможные случаи...
Кстати, ГОСТ на уровне обязаловки вроде как Правительство должно утверждать, а не регулятор. Регулятор как раз свою работу исполнил в достаточной мере. И имеет полное право требовать исполнения оных ГОСТ во время аттестации - не зря же разработаны были. Просто волокита бюрократии велика - как с тем же 17 Приказом (или НДВ из ПП 1119). Сколько лет прошло, а все равно народ считает, что ГИС - только те ИС, что в перечни попадают. Впрочем, надеюсь, вскоре этот вопрос будет закрыт уже на уровне ПП РФ. А оттуда и до ГОСТ недалеко. Прикол в том, что грамотно будет начать исполнение уже сейчас, не дожидаясь отмашек. Во всяком случае, когда исполнение не идет во вред...

Автор: WORM, MK | 67690 19.12.2016 15:47
" Для кого же тогда обязательны ГОСТ по аттестации (оба два)? "

"Пока только для тех у кого они согласованы с Заказчиком работ в ТЗ или в Программе."

Вообще-то для всех. Согласно ст.4 и ст. 6 ФЗ-162 "О стандартизации в РФ", документы по стандартизации в области защиты информации применяются в обязательном порядке.
И попробуйте убедить регулятора в необязательности...

Автор: sekira | 67691 19.12.2016 15:57
При чем тут статья 4 ? какой пункт статьи?
Ну а в статье 6 .... устанавливается Правительством Российской Федерации.
И че? В чем убеждать то?

Автор: sekira | 67692 19.12.2016 18:20
ППр 17.10.2009 N 822

28. Обязательность применения документов, в которых установлены требования к продукции (работам, услугам), указанной в пункте 27 настоящего Положения, а также к процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции, устанавливается государственными заказчиками работ по стандартизации продукции (работ, услуг) и федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации.

Где обязательность установленная федеральными органами исполнительной власти, уполномоченными в области противодействия техническим разведкам и технической защиты информации?

Еще раз ждем новый букварь!!
И утверждения проекта Постановления правительства подготовлен Минобороны России 25.12.2015

с Положением по стандартизации и пунктом 10. Национальные стандарты ограниченного распространения являются обязательными для применения и исполнения в отношении объектов стандартизации, установленных настоящим положением.

и п. 2
...б) "объект стандартизации" - продукция, используемая в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукция, сведения о которой составляют государственную тайну, создаваемых и (или) поставляемых вне государственного оборонного заказа, связанные с такой продукцией процессы, а также терминология, условные обозначения, исследования (испытания) и измерения, методы испытаний, маркировка, процедуры оценки соответствия.

Автор: WORM, MK | 67694 19.12.2016 18:47
Хмм...

тов. sekira, Вы уж цитируйте как следует.

" объект стандартизации - продукция (работы, услуги) (далее - продукция), процессы, системы менеджмента, терминология, условные обозначения, исследования (испытания) и измерения (включая отбор образцов) и методы испытаний, маркировка, процедуры оценки соответствия и иные объекты;

"
ст. 4. Стандартизация в Российской Федерации основывается на следующих принципах:
п.2. обязательность применения документов по стандартизации в отношении объектов стандартизации, предусмотренных статьей 6 настоящего Федерального закона, ....


ст 6. " Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией "

Ну и на всякий случай напомню, что ФЗ имеет большую юридич. силу в сравнении с Пост. Пр-ва.

И че?



Автор: sekira | 67695 19.12.2016 18:52
Не то процитировали (берите из правовых систем данные!)
от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"
ФЗ Статья 6 вступает в силу с 1 июля 2016 г.

ФЗ Статья 6. Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией

1. Порядок стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией, устанавливается Правительством Российской Федерации.

ФЗ отослал к Постановлению правительства которое пока не утверждено..., а то что действовало не содержит обязательность и отсылает регуляторам.

Автор: WORM, MK | 67696 19.12.2016 19:02
Вы случайно не перепутали порядок стандартизации с принципом применения документов по стандартизации?
Принцип очень простой: обязательность применения документов.

Автор: oko | 67697 19.12.2016 19:12
Итог (а то у меня от такого увлекательного цитирования глаза на лоб полезли): ФСТЭК ГОСТ разработала, а Правительство ничего не утвердило. Повторюсь, с ГИС та же история. И с НДВ по ПП 1119 аналогичная, пусть и реверсивная слегка. И... много еще примеров. Не беда - мы же, коллеги, в этой кухне давно варимся - пора уже привыкнуть к таким "несостыковочкам" :)
Вопрос-то в другом. Если ГОСТ не применять, то ДЗ обеспечивать, в принципе, не нужно (настройка BIOS на борту китай-материнки не в счет). Если ДЗ обеспечивать не нужно, появляется реальный канал утечки. Если появляется такой канал, его нужно закрывать. Замкнутый круг, ага. И, если раньше даже повода не было на него обращать внимания, ибо не рассматривали РД ГТК от НСД и СТР такой вопрос по ряду причин (хотя тов. из того же ОКБ САПР зачастую утверждают обратное). То сейчас появился какой-никакой повод в виде сих ГОСТ.
Итак, внимание, уважаемы знатоки, вопрос: "Будем бодаться с регулятором на заранее проигранной территории (лицензиаты мы как-никак, тем более однозначно с ГОСТ ознакомившиеся) или примем ГОСТ как модус операнди и начнем нагибать заказчика на соблюдения ДЗ в полной мере за счет встраивания отечественных СДЗ (благо, и требования по сертификации есть, и продукции хоть отбавляй)?" Естественно, к объектам, где за спиной каждого юзера (потенциального нарушителя) в АС стоит автоматчик - этот вопрос не относится...

Автор: WORM, MK | 67698 19.12.2016 19:38
2 oko
Это кто как. Кто-то будет бодаться, а кто-то нагибать )) Второе надежнее ))

Во всяком случае, если регулятор спросит "а чё не по ГОСТу?", то ответить практически и нечего...

Кстати, не раз спрашивал во 2 УФСТЭК, надо ли проводить ежегодный контроль в аттестованной ГИС. Ответ: не надо, надо постоянно поддерживать аттестованную ГИС в защищенном состоянии (см. мероприятия по эксплуатации аттестованной ИС в Приказе 17). А вот если по ГОСТу - ежегодный контроль строго обязателен, и любой аттестатор вправе (и даже обязан) вписать это в аттестат.

Автор: sekira | 67699 19.12.2016 19:40
"ФСТЭК ГОСТ разработал, а Правительство ничего не утвердило"
Что и пытался показать...

"и начнем нагибать заказчика на соблюдения ДЗ в полной мере"
А что вменим как требования к наличию ДЗ в Программе и методике и в последующем Заключении? Есть уже профили к ДЗ как их привяжите к ОИ не к СЗИ на ОИ?

Нет требований к ОИ нече выдумывать их самим и по крупицам где то домысливать и додумывать, по документам которые регулятор заранее подготовил, что бы требования (букварь) которые выдут заработали. Ну или начинаем переписку с регулятором ... пущай разъесняет.

Автор: sekira | 67700 19.12.2016 19:43
"А вот если по ГОСТу ..."

Я бы вам выложил все нестыковки с букварем, положением по аттестации, инструкцией по ГТ , методикой ПЭМИН, РД и т.д.
Но здесь низя и это совсем другая история...

Собственно почему и хотелось бы от регулятора отмашку...

Автор: oko | 67702 19.12.2016 22:03
to WORM
ГОСТ же вроде только ГТ касается ибо "орган по аттестации", а не лицензиат ТЗКИ. Хотя я тоже долго недоумевал от таких понятий. Раз аттестация по тому же 17 приказу, то и орган по аттестации...

to sekira
Наличие канала утечки информации вменим, я же уже говорил. И обоснуем незащищенностью АС в рамках Протокола НСД. Если хочется бумагомарательства - сослаться на ГОСТ в той же ПиМ и провести комплексные испытания системы ДЗ, доказав, что нужны СЗИ. А СЗИ для ГТ - только сертифицированные. А они уже под новые требования к СДЗ. Все логично, четко и в ажуре...
И потом, ПиМ - это не палочка-выручалочка. Дескать, что согласовали, то и проводим. В рамках испытаний всегда могут выясниться моменты, о которых не знаешь на этапе согласования ПиМ. Поэтому аттестация - не услуга по готовому тарифу (за что заплатили. то и получили). Голову-то на плечах иметь надо. Или прикажите красивые бумажки с надписью "Аттестат соответствия" выдавать за такие же красивые глаза "де юре защищенного ОИ"? Хреновая позиция...
И да, еще момент. Требований по части той же защиты виртуализации по ГТ тоже нет. А средства защиты есть. И что, это повод не ставить СЗИ и не рассматривать угрозы виртуальной среде как канал утечки? И на вопросы регулятора (который забеспокоился, да) отвечать "Не знаю, не видел, не писали, не читал"? Дважды хреновая позиция...

Автор: WORM, MK | 67705 20.12.2016 08:49
" ГОСТ же вроде только ГТ касается ибо "орган по аттестации", а не лицензиат ТЗКИ. "

Насколько я помню, ГОСТ касается любой аттестации и определяет, кто чего аттестует: орган аттестует ГТ, а лицензиат по ТЗКИ - конфу. В том то и дело, что ГОСТ писали для всех случаев.

Автор: Dfg | 67808 24.12.2016 08:54
Вот про классы ОС

http://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1206-informatsionnoe-soobshchenie-fstek-rossii-ot-18-oktyabrya-2016-g-n-240-24-4893

Сам приказ не нашел правда, видимо еще не опубликовали.

Интересно будет ли внутри прямо сказано про отсутствие НДВ предъявляемые к ОС. Ну и раскрыты прочие заморочки вроде обсуждаемых тут.

Винда как средство со встроенными фукнциями ЗИ видимо окончательно канет в лету :)

Прошла пара недель

Автор: Vosiley, ООО "ИнфоЦентр" | 67997 08.01.2017 12:30
Интересно, зачем в "Смоленске" запускаются драйвера bluetooth и присутствует мастер настройки беспроводных сетей? Как все это прошло сертификацию? Но это так, хохма.
А вот вопрос посерьезнее, можно ли настроить печать файлов с грифом напрямую, без маркировки и запуска макросов?

Автор: oko | 67998 08.01.2017 18:10
to Vosiley
Вы ядро посмотрите у Смоленска. Полная поддержка всех БСД, включая ИК, WiFi и т.п. А драйвер и ПО bluetooth им просто было лениво из Wheezy выпиливать...
По основному вопросу: попробуйте в файлах, которые в каталогах /usr/share/cups/psmarker и /usr/share/cups/fonarik, скрыть комментариями все ключевые позиции конфигурации. По идее, маркировка отрабатывать все так же будет, но уже без конечной печати "фонариков". А вот как убрать скрипты запроса учетной информации у пользователей при печати... это надо ковырять сами скрипты (и выпилить из них все содержимое)...

Автор: Vosiley | 68063 12.01.2017 07:14
to oko
Да, редактирование конфигов маркировки позволяет печатать пустую маркировку. Надеюсь, ребята из астры сделают костыль маркировки отключаемым, это сохранит много нервных клеток при попытках объяснить контингенту, как печатать документы с грифом.

Прошел месяц

Автор: Monkey | 69061 20.02.2017 15:45
А что касается использования программ контроля НСД, типа Ревизоро, Терьера? Я так понимаю версий под unix системы нету

Автор: Human | 69062 20.02.2017 17:43
для Monkey | 69061
В Астре эти так называемые "программы контроля" встроены в саму сборку. Почитайте мануал к Астре.

Автор: Martian | 69080 21.02.2017 09:26
To Human
Да только вот при "контроле эффективности защиты СЗИ" это нужно делать сторонними сертифицированными ФСТЭКом программами, а не встроенными в СЗИ. Как я понимаю, у Linux-систем с подобными программами совсем все туго.

Автор: sekira | 69081 21.02.2017 11:46
"Да только вот при "контроле эффективности защиты СЗИ" это нужно делать сторонними сертифицированными ФСТЭКом программами"

А можно узнать где такое написано? С пунктом документа пожалуйста..

Автор: nekto | 69084 21.02.2017 13:40
"Да только вот при "контроле эффективности защиты СЗИ" это нужно делать сторонними сертифицированными ФСТЭКом программами"

Ну с сертификатом, то как раз проблем нет, на Астру он же есть.

Автор: Martian | 69085 21.02.2017 14:03
В ГОСТ РО 0043-004-2013 Приложение Б пункт Б.8.

Автор: Monkey | 69086 21.02.2017 14:27
"Ну с сертификатом, то как раз проблем нет, на Астру он же есть"

А есть у кого этот сертификат 2557 от 27.01.2012? Что в нем написано? Я его не смог найти в интернете. А производитель почему-то только по запросу их выдает

Автор: Human | 69088 21.02.2017 15:10
для Martian | 69085

"В ГОСТ РО 0043-004-2013 Приложение Б пункт Б.8."
Не увидел, где там написано, что "...при контроле эффективности защиты СЗИ это нужно делать сторонними сертифицированными ФСТЭКом программами""

Тем временем, программы контроля защищенности типа "Ревизор" и т.п. сертифицированы по ТУ и РД НДВ (например, по 2 уровню ).
И Астра в системе ФСТЭК сертифицирована по 3 классу СВТ и 2 уровню НДВ.
Так почему же нельзя использовать встроенные в сертифицированную сборку Астры специальные программы контроля защищенности. Ведь Астра сертифицирована по 2 уровню НДВ?.

Автор: 12 | 69090 21.02.2017 16:46
*ворвался*
Коллеги! А в сертификате/ТУ написано ли, что в Астре есть встроенные средства контроля эффективности СЗИ? Задайте вопрос разработчику
З.Ы. Ждем, когда Астру отсертифицируют по новым требованиям БИ к ОС - там этот пункт обязателен.

Автор: Monkey | 69091 21.02.2017 17:07
"Не увидел, где там написано, что "...при контроле эффективности защиты СЗИ это нужно делать сторонними сертифицированными ФСТЭКом программами"

Т.е. Вы считаете, что можно использовать СЗИ для самотестирования? Это не логично

"И Астра в системе ФСТЭК сертифицирована по 3 классу СВТ и 2 уровню НДВ"

Она сертифицирована как СЗИ, но не как средство контроля эффективности применения СЗИ (Terrier, серт. 1193) или как средство контроля защищенности информации от НСД (Ревизор, серт. 989)

Автор: Human | 69092 21.02.2017 18:01
для Monkey | 69091
"Т.е. Вы считаете, что можно использовать СЗИ для самотестирования? Это не логично"
"Она сертифицирована как СЗИ, но не как средство контроля эффективности применения СЗИ (Terrier, серт. 1193) или как средство контроля защищенности информации от НСД (Ревизор, серт. 989)"

Согласен, что не логично. Но да, считаю. Вот почему:
В сертификатах на ревизор, терьер написано "средство контроля защищенности..." , но сертифицируются-то они по требованиям РД ФСТЭК, в частности, по уровню отсутствия НДВ, ну и ТУ. Никаких отдельных требований для средств контроля защищенности (как, например, требования к СДЗ и САВЗ) я не знаю. Если вы знаете, но подскажите, пожалуйста. А это значит, что так называемым средствам контроля защищенности достаточно быть сертифицированными по требованиям РД НДВ. И Астра вместе со своими встроенными утилитами тестирования сертифицирована по той же РД НДВ.
Если я где-то не прав, то поправьте. Я сам заинтересован познать истину, так сказать.

Автор: oko | 69095 21.02.2017 22:10
to Human
Правы. Во всем, включая согласие с отсутсвием логики... Но... так и живем (с)

Автор: sekira | 69096 22.02.2017 11:07
для Martian.

Я ответа со ссылкой на ТРЕБОВАНИЯ не увидел!
Приложение Б пункт Б.8. не говорит что средства контроля должны быть отдельны от СЗИ НСД. Кроме того вы прочитали название приложения Б ... ниже в скобках!!! А еще последний абзац первое слово п. 5.5.3!
А еще 1 пункт прочитайте требования к ЧЕМУ! этот ГОСТ устанавливает.

"Вы считаете, что можно использовать СЗИ для самотестирования? Это не логично"
Это ваше ИМХО а не требования к средствам контроля.

"Она сертифицирована как СЗИ, но не как средство контроля эффективности применения СЗИ"
А вы ТУ читали на сертификацию? Вообще то это ОС с функциями СЗИ и функциями средств контроля и др.

Автор: Иван, ЗАО "Связь-Союз" | 69104 23.02.2017 11:32
Хотелось бы расспросить того кто аттестовал ОИ(АС) на базе ПЭВМ с ОС AstraLinux, есть такие?

Автор: 12 | 69105 23.02.2017 12:42
На объектах с КИ используем Сканер-ВС (считали контрольные суммы, проверку затирания, аудит паролей и сети), на объектах с ГТ ситуация более прозаичная...

Автор: Human | 69106 23.02.2017 13:39
Для Иван, ЗАО "Связь-Союз" | 69104
"Хотелось бы расспросить того кто аттестовал ОИ(АС) на базе ПЭВМ с ОС AstraLinux, есть такие?"
Как-то звучит двусмысленно....
Это же форум. Поэтому вы пишите свой вопрос. И если кому-то будет чем ответить, то это, скорее всего, произойдет.

Автор: oko | 69111 23.02.2017 20:04
to Иван
Ничем от АС, в которых Windows+СЗИ НСД, не отличается... Сложности, скорее, у эксплуатантов с непривычки...

Автор: Иван, Связь-Союз | 69119 24.02.2017 04:56
1. Можно ли провести ЛСИ ПЭВМ с ОС Windows(запуск тестов, разрешение экрана и т.п.), затем переставить ОС Windows на ОС AstraLinux?
2. Либо использовать виртуальную машину Windows на ПЭВМ с ОС AstraLinux и запустить тесты под виртуальной машиной.
3. Для ПЭВМ с ОС Windows используем СЗИ SN7 c Соболем/SNTMC, а с AstraLinux (3/1В) - ни чего этого не надо? Соболь/SNTMC - обязательно только для 1А(из сообщений форума).
4. Аттестация: снятие КС(нюансы с: ~(тильда), .(точкой); ФИКС(ОС Windows)) - что использовать?
Пока все.

Автор: oko | 69120 24.02.2017 11:07
to Иван
1. Про СИ ПЭМИН лучше погуглите (пояндексите, ага) соответствующую ветку форума. Там вопросы разницы результатов СИ под Win и под Lin на одной и той же машине обсуждались. Мое мнение: если совпадает драйверная база (что, в части тестов, в принципе, возможно) - измеряйте под той ОС, для которой имеются тесты.
2. Аналогично 1. Только для накопителей будете некоторую задержку отклика получать, что не есть гуд... и с клавиатурами могут быть проблемы... и с периферийным оборудованием, ага :)
3. Де юре пока не надо. Новый СТР не читал, что там про доверенную загрузку для ГТ сказано - не знаю. Но сам уже давно придерживаюсь правила: для "публичных" АС (рассчитанных на несколько отделов) нужна СДЗ (тот же Соболь, если разъемы имеются и UEFI не шалит), а для АС в рсп, где, фактически, только "доверенные" сотрудники работают, хватит и "мобильного шасси" с доп. орг.мерами.
4. Fix-Unix. Но его придется собирать под конкретную версию Астры (сталкивался с проблемой запуска уже скомпилированного Fix из Астры 1.0 в Астре 1.4). Зато можно подготовить заранее, если на руках имеется установочный дистрибутив Астры. В ином случае... хмм... копайте в сторону Live-CD самоличной сборки на базе Linux. И драйверы почти под все оборудование "вшить" можно, и через Wine запустить ФИКС-Windows, Терьер (от него пользы мало), Агент инвентаризации (пользы никакой, ибо будет данные эмулятора-неэмулятора Wine списывать) + тесты ПЭМИН для *nix и набор скриптов сбора информации по установленному ПО и настройкам основных файлов конфигураций. Увы, такие скрипты придется под конкретную ОС писать (т.е. для Астры и, к примеру, Росы будут отличаться, пусть и не сильно).

ЗЫ Можно ФИКС-Windows и из-под Live-Windows запускать. Но тогда придется иметь хорошую поддержку ext3/ext4 файловых систем. Что, по-моему, еще нормально для Win не реализовано.
ЗЗЫ Проверено, из-под Wine все прекрасно запускается и работает. Главное для Live-CD Linux - точку монтирования корня установленной Астры (например, /mnt/Astra) потом в отчетах того же ФИКС заменить на "/" :)

Автор: Мимо | 69121 24.02.2017 14:05
Интересно, ФИКС-Unix 1.0 реализует алгоритм ГОСТ 34.11-2012 ? Начиная с Астры 1.5 контрольные суммы снимаются этим алгоритмом. К тому же стоит учесть, что если на объекте будет включен режим ЗПС, то неподписанные модули не запустятся.

Автор: oko | 69122 24.02.2017 17:45
to Мимо
Имея права root (а иначе как?), снять ЗПС не проблема.
Что касается ГОСТ 2012... если так хочется - снимайте aide.check из состава Астры...
И, кстати, вопрос: разве в формуляре Астры теперь приводятся КС на конкретные файлы, а не на полный дистрибутив (ядро, initrd, фс в squash)? Если нет, то какая вам разница с этим fix-unix? Используйте любое другое средство - благо, снятие КС с целью подтверждения верного дистрибутива можно проводить на любой другой машине.
*в сторону* только чек дистрибутива смысла не имеет особого... imho, снимать КС нужно для последующих проверок, что не менялась целостность критически важных файлов в процессе эксплуатации программной среды АС...

Автор: Dfg | 69124 25.02.2017 08:52
А даёт ли сейчас астра что-нибудь в плане централизированного контроля состояния среды Арм для сетей?

Например раскрутили astra linux directory (кстати большой вопрос можно ли использовать это для иод и гт) а что в плане центральной консоли непрерывного контроля защищенности?

На ПК пытаются подобрать пароль - админ получил алерт.
На ПК вырубили зпс - админ получил алерт.
На ПК завёлся неизвестный исполняемый файл, админ получил алерт.

Автор: 12 | 69131 25.02.2017 19:22
to Dfg
В Астре (начиная с 1.4) имеется написанная на php графическая среда для мониторинга логов на базе ossec
http://astra-linux.com/wiki/index.php/Ossec
не все то, что Вы описали, работает из коробки - нужно мааалость поработать напильником, настраивая политики сбора событий

>> astra linux directory (кстати большой вопрос можно ли использовать это для иод и гт)
нигде (пока что!) прямого запрета нет, выбирайте исходя из начальных условий. Военные, например, питают страсть к ALD

Автор: Dfg | 69133 26.02.2017 15:58
Тут дело не в запрете, а в том какие компоненты они сертифицировали в составе своей ОС.
Ald и Ossec у них как сертифицирован?
Oseec это например вполне самостоятельный продукт, который должен сертифицирован осы как система обнаружения вторжений.
А Ald это тоже считай внешняя система аутентификации и разграничения доступа, это немножно не то что и встроенный login.

Что касается напильника и написания скриптов, это уже по идее разработка, и те "велосипеды" которые будут ваять на каждом объекте линуксоиды, должны сами по себе проходить оценку соответствия заявленным функциям. Кто знает качество кода написанных на коленке скриптов костыльной обвязки.

Автор: 12 | 69134 26.02.2017 19:49
К разработчику/сертификатору не отношусь, но настолько знаю, все модули с установочного диска сертифицированы на СВТ3+НДВ2 (насчет СВТ3 к СУБД Postgres не уверен). Будем ждать пересертификации по новым требованиям к ОС, какой профиль защиты выберут. Согласен, что сейчас - дело темное.
"Напильник" не всегда предполагает написание скрипта, верно? С ossec править нужно конфиги формата .xml. А вот, например, с маркировкой "из коробки" действительно подстава - ну не соответствет она действующему законодательству!

p.s. Военные не зря же требуют сертифицировать все применяемые исполняемые модули, включая самописные, по ФСТЭК (пока!) тематических исследований же не требуют в обязательном порядке.

Автор: oko | 69135 26.02.2017 22:35
Вы еще про драйверную базу вспомните. Был случай, когда пытались в АРМ с Астрой воткнуть Nvidia 760GTX. Драйвера, разумеется, в составе дистрибутива не оказалось. А ставить проприетарный драйвер (nouveau не предлагать) = явно нарушать требования и сертификата, и банальной логики (весьма вероятные НДВ же!). Пришлось видеокарту "выбросить" и использовать iGPU (благо, материнка поддерживала).
Впрочем, после irDA+Bluetooth+WiFi-модулей в ядре ко всему, что связано с сертификацией Астры, отношусь философски...

Автор: Vosiley | 69269 28.02.2017 16:11
Кстати, по поводу root'a. Техподдержка Астры уверяла, что root в этой системе отключен. На мое возражение о том, что он не отключен, а просто пароль к нему неизвестен и лучше бы знать этот пароль, чем не знать его, представитель тех. поддержки упорствовал в том, что незнание пароля root безопаснее.

Автор: oko | 69270 28.02.2017 17:21
Под root в графике зайти нельзя. А в init 3 вполне. И сменить ничего не стоит - sudo passwd root.
Актуально для Астры 1.4. Как там в более свежих релизах - не знаю...

Автор: Vosiley | 69315 02.03.2017 11:40
После смены пароля можно и в графике зайти потом. Настройку системы это ускоряет, только техподдержка предупреждает, что под метками конфиденциальности root'ом заходить нельзя, ибо все рухнет.

Просмотров темы: 3948


Copyright © 2004-2010, ООО "Гротек"

Rambler's Top100 Rambler's Top100