Astra Linux Special Edition - Форум по вопросам информационной безопасности

Адрес документа: http://itsec.ru/forum.php?sub=12776&from=0

Astra Linux Special Edition

К списку тем | Добавить сообщение


Автор: Александр | 67452 13.12.2016 15:57
Здравствуйте, уважаемые коллеги!
В одну из организаций поставили машину с установленной ОС Astra Linux Special Edition для обработки ГТ по 2 категории. Обязательно ли к ней покупать плату доверенной загрузки?

Автор: WORM, MK | 67454 13.12.2016 16:29
К ней-то покупать не обязательно (впрочем, нужно почитать, чего там пишут в формуляре, какие условия по применению), а вот требования РД ФСТЭК выполнять обязательно.

Автор: Мимо | 67455 13.12.2016 16:58
... в которых про обязательность применения СДЗ ни слова (ждем новый Букварь).

Автор: Мимо | 67456 13.12.2016 17:03
Вдогонку:
если применяется Астра РУСБ.10015-07 по линии ФСБ, то в формуляре явное требование наличия сертифицированных АПМДЗ. На объектах Минобороны тоже АПМДЗ требуют.

Автор: Александр | 67457 13.12.2016 19:52
Будет применяться релиз "Смоленск" по линии ФСТЭК.
Если я вас правильно понял, коллеги, то мы на текущий момент, применяя данную ОС без АПМДЗ, никаких требований ФСТЭК не нарушим?

Автор: Мимо | 67458 13.12.2016 20:14
Да, у ФСТЭК на данный момент на сей счет белое пятно. А в формуляре Астры на ФСТЭК-версию требований по обязательному наличию АПМДЗ нет.

Автор: Евгений | 67463 14.12.2016 09:11
А сертификат на САВЗ под эту ОС уже есть? В октябре еще не было.

Автор: Мимо | 67468 14.12.2016 09:57
По ФСТЭК после ИК скоро будет Антивирус Касперского 8.0 для Linux File Servers (сейчас пока только по Минобороны).
http://support.kaspersky.ru/general/certificates/12509
Dr.Web Enterprise Security Suite (серт 3509) работает под Астрой в режиме ЗПС, но под мандатной меткой работает с ограничениями

Автор: oko | 67469 14.12.2016 09:59
to Евгений
Антивирусная защита? Это же навесное СЗИ по отношению к Астре. DrWeb for Linux, KES for Linux - и вперед, у них собственные сертификаты. Или в составе Астры хотят и антивирус протащить под сертификацию? Или речь идет о номинальном сертификате совместимости какого-то антивирусного продукта с Астрой?

Автор: Александр | 67484 14.12.2016 15:14
Вот, что ответила тех. поддержка Русбитех :

Операционная система специального назначения "Astra Linux Special Edition" соответствует РД СВТ по 3 классу и РД НДВ по 2 уровню, предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности "совершенно секретно" включительно.

Сертификат соответствия ФСТЭК России № 2557 от 27.01.2012 г., действующий до 27.01.2018 г. (По истечению срока действия, сертификат продлевается)

Описание классов защищенности АС доступно на нашем сайте: ссылка.

Для достижения класса АС 2А требуется применение модулей доверенной загрузки, а также межсетевого экрана класса 2.

Все-таки требуется плата получается?

Автор: Мимо | 67486 14.12.2016 15:50
Типичный ответ их ТП.
Спросите почему тогда об этом ничего нет в формуляре на версию РУСБ.10015-01 под ФСТЭК ??

Автор: oko | 67491 14.12.2016 22:26
to Александр
Тов. Мимо верно говорит. Либо отметка в формуляре, либо официальное представление вам ТУ на Астру (не выдадут скорее всего), в которых это (необходимость МДЗ) явно указано. Если ни того, ни другого - никакого нарушения нет...
С другой стороны, есть еще ГОСТ по аттестации с его двоякой трактовкой доверенной загрузки. С материалами, которые ФСТЭК сейчас органам по аттестации написал, необходимыми для проведения аттестации я лично еще не успел ознакомиться. Но что-то мне подсказывает, что ГОСТ по этим документам наконец узаконен (привет, тов. sekira! :). Впрочем, это тоже не решает проблему из-за специфической трактовки ГОСТ в части проверки доверенной загрузки...
А так, да, ждем новый "букварь", который по-идее должен поставить точку в вопросе доверенной загрузки в ГТ...

ЗЫ imho, разработчики Астры попросту хотят впарить хоть кому-нибудь свой Максим-М1. Не ведитесь, даже если МДЗ будет в итоге обязателен к установке...

Автор: Иван | 67676 17.12.2016 10:05
В ГОСТе по типовым программам и методикам есть пункт о том что должна выполняться невозможность загрузки с устройств не предусмотренных технологией инициализации АС. И это по моему мнению и приводит к необходимости использования МДЗ

Автор: sekira | 67677 17.12.2016 13:39
"что ГОСТ по этим документам наконец узаконен (привет, тов. sekira! :)."

это просто список того что должно быть, это не значит что Аттестация ОИ должна проводится в соответствии с требованиями приведенными в этих двух Гостах по аттестации.

Еще раз в ГОСТах нет требовавний к ОИ есть требования как их аттестовать, в приложениях рекомендуемая (даже в трактовке ГОСта форма).
Узаконен может ГОСТ быть в требованиях к ОИ в любом виде!

А так, да, ждем новый "букварь"
Золотые слова...

Автор: sekira | 67678 17.12.2016 13:41
то Иван...

"В ГОСТе по типовым программам и методикам " есть требования к ОИ?


Автор: oko | 67680 17.12.2016 18:38
to sekira
В упомянутом ГОСТ есть пункт про обязательность оной проверки во время аттестационных испытаний. И про то, что блокирование функций во время проверки - удел СЗИ. И, если читать формально, то СЗИ - это либо орг.+тех.меры, либо только технический сертифицированный элемент (у нас же все элементы должны быть сертифицированы под ГТ, ага). Т.е. отмазки аля "настройки BIOS + пароль" уже не катят. В противном случае - положительного заключения по результатам аттестационных испытаний выдать нельзя...
Впрочем, никто и явно этого не указывал - на том до выхода "букваря" и держимся.

to Иван
Советую ГОСТ детально не цитировать. А то форум под ДСП придется "положить" :)

Автор: sekira | 67681 17.12.2016 19:00
Еще раз.
ГОСТ не требования к ОИ, а порядок проверки требований. И ГОСТ необязателен для лицензиатов и органов, поэтому ждем новый "букварь".

Автор: oko | 67682 17.12.2016 19:53
to sekira
Еще раз. Два вопроса.
1. Как можно "проверять требования", если самих "требований" нет?
2. Для кого же тогда обязательны ГОСТ по аттестации (оба два)?
*в сторону* чисто для проформы. С моей точки зрения ГОСТ сделаны грамотно и обязательны, ибо это ГОСТ. А требования к той же ДЗ вне зависимости от их явного утверждения должны предъявляться при аттестации. Иначе вся эта чехарда не имеет смысла...

Автор: sekira | 67683 18.12.2016 07:11
1. Никак. Но это не значит что они появились здесь.
2. Пока только для тех у кого они согласованы с Заказчиком работ в ТЗ или в Программе.

тоже в сторону....
С моей точки зрения все должно быть четко и логично. Напишите как регулятор хоть где (пример как это сделано это 17 приказе или НМД в части техканалов по ГТ) для аттестации ОИ применяем такие то ГОСТы и все.

А так получается "Иначе вся эта чехарда не имеет смысла..."

Автор: oko | 67686 18.12.2016 23:40
to sekira
Шутку оценил, смешно. С одной стороны, регулятору это не выгодно - куда проще *ать незнающий народ за несоблюдение правил, которые либо не утверждены, либо закрыты семью печатями (привет, "другой" регулятор!). С другой стороны, регулятор тогда должен, вестимо, издать глобальный документ на все случаи жизни, в котором помимо правил на все существующие объекты будут также правила и на все потенциально возможные случаи...
Кстати, ГОСТ на уровне обязаловки вроде как Правительство должно утверждать, а не регулятор. Регулятор как раз свою работу исполнил в достаточной мере. И имеет полное право требовать исполнения оных ГОСТ во время аттестации - не зря же разработаны были. Просто волокита бюрократии велика - как с тем же 17 Приказом (или НДВ из ПП 1119). Сколько лет прошло, а все равно народ считает, что ГИС - только те ИС, что в перечни попадают. Впрочем, надеюсь, вскоре этот вопрос будет закрыт уже на уровне ПП РФ. А оттуда и до ГОСТ недалеко. Прикол в том, что грамотно будет начать исполнение уже сейчас, не дожидаясь отмашек. Во всяком случае, когда исполнение не идет во вред...

Автор: WORM, MK | 67690 19.12.2016 15:47
" Для кого же тогда обязательны ГОСТ по аттестации (оба два)? "

"Пока только для тех у кого они согласованы с Заказчиком работ в ТЗ или в Программе."

Вообще-то для всех. Согласно ст.4 и ст. 6 ФЗ-162 "О стандартизации в РФ", документы по стандартизации в области защиты информации применяются в обязательном порядке.
И попробуйте убедить регулятора в необязательности...

Автор: sekira | 67691 19.12.2016 15:57
При чем тут статья 4 ? какой пункт статьи?
Ну а в статье 6 .... устанавливается Правительством Российской Федерации.
И че? В чем убеждать то?

Автор: sekira | 67692 19.12.2016 18:20
ППр 17.10.2009 N 822

28. Обязательность применения документов, в которых установлены требования к продукции (работам, услугам), указанной в пункте 27 настоящего Положения, а также к процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения указанной продукции, устанавливается государственными заказчиками работ по стандартизации продукции (работ, услуг) и федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности, обороны, внешней разведки, противодействия техническим разведкам и технической защиты информации.

Где обязательность установленная федеральными органами исполнительной власти, уполномоченными в области противодействия техническим разведкам и технической защиты информации?

Еще раз ждем новый букварь!!
И утверждения проекта Постановления правительства подготовлен Минобороны России 25.12.2015

с Положением по стандартизации и пунктом 10. Национальные стандарты ограниченного распространения являются обязательными для применения и исполнения в отношении объектов стандартизации, установленных настоящим положением.

и п. 2
...б) "объект стандартизации" - продукция, используемая в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукция, сведения о которой составляют государственную тайну, создаваемых и (или) поставляемых вне государственного оборонного заказа, связанные с такой продукцией процессы, а также терминология, условные обозначения, исследования (испытания) и измерения, методы испытаний, маркировка, процедуры оценки соответствия.

Автор: WORM, MK | 67694 19.12.2016 18:47
Хмм...

тов. sekira, Вы уж цитируйте как следует.

" объект стандартизации - продукция (работы, услуги) (далее - продукция), процессы, системы менеджмента, терминология, условные обозначения, исследования (испытания) и измерения (включая отбор образцов) и методы испытаний, маркировка, процедуры оценки соответствия и иные объекты;

"
ст. 4. Стандартизация в Российской Федерации основывается на следующих принципах:
п.2. обязательность применения документов по стандартизации в отношении объектов стандартизации, предусмотренных статьей 6 настоящего Федерального закона, ....


ст 6. " Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией "

Ну и на всякий случай напомню, что ФЗ имеет большую юридич. силу в сравнении с Пост. Пр-ва.

И че?



Автор: sekira | 67695 19.12.2016 18:52
Не то процитировали (берите из правовых систем данные!)
от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации"
ФЗ Статья 6 вступает в силу с 1 июля 2016 г.

ФЗ Статья 6. Стандартизация в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, продукции, для которой устанавливаются требования, связанные с обеспечением безопасности в области использования атомной энергии, а также в отношении процессов и иных объектов стандартизации, связанных с такой продукцией

1. Порядок стандартизации в отношении оборонной продукции (товаров, работ, услуг) по государственному оборонному заказу, продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, продукции, сведения о которой составляют государственную тайну, а также процессов и иных объектов стандартизации, связанных с такой продукцией, устанавливается Правительством Российской Федерации.

ФЗ отослал к Постановлению правительства которое пока не утверждено..., а то что действовало не содержит обязательность и отсылает регуляторам.

Автор: WORM, MK | 67696 19.12.2016 19:02
Вы случайно не перепутали порядок стандартизации с принципом применения документов по стандартизации?
Принцип очень простой: обязательность применения документов.

Автор: oko | 67697 19.12.2016 19:12
Итог (а то у меня от такого увлекательного цитирования глаза на лоб полезли): ФСТЭК ГОСТ разработала, а Правительство ничего не утвердило. Повторюсь, с ГИС та же история. И с НДВ по ПП 1119 аналогичная, пусть и реверсивная слегка. И... много еще примеров. Не беда - мы же, коллеги, в этой кухне давно варимся - пора уже привыкнуть к таким "несостыковочкам" :)
Вопрос-то в другом. Если ГОСТ не применять, то ДЗ обеспечивать, в принципе, не нужно (настройка BIOS на борту китай-материнки не в счет). Если ДЗ обеспечивать не нужно, появляется реальный канал утечки. Если появляется такой канал, его нужно закрывать. Замкнутый круг, ага. И, если раньше даже повода не было на него обращать внимания, ибо не рассматривали РД ГТК от НСД и СТР такой вопрос по ряду причин (хотя тов. из того же ОКБ САПР зачастую утверждают обратное). То сейчас появился какой-никакой повод в виде сих ГОСТ.
Итак, внимание, уважаемы знатоки, вопрос: "Будем бодаться с регулятором на заранее проигранной территории (лицензиаты мы как-никак, тем более однозначно с ГОСТ ознакомившиеся) или примем ГОСТ как модус операнди и начнем нагибать заказчика на соблюдения ДЗ в полной мере за счет встраивания отечественных СДЗ (благо, и требования по сертификации есть, и продукции хоть отбавляй)?" Естественно, к объектам, где за спиной каждого юзера (потенциального нарушителя) в АС стоит автоматчик - этот вопрос не относится...

Автор: WORM, MK | 67698 19.12.2016 19:38
2 oko
Это кто как. Кто-то будет бодаться, а кто-то нагибать )) Второе надежнее ))

Во всяком случае, если регулятор спросит "а чё не по ГОСТу?", то ответить практически и нечего...

Кстати, не раз спрашивал во 2 УФСТЭК, надо ли проводить ежегодный контроль в аттестованной ГИС. Ответ: не надо, надо постоянно поддерживать аттестованную ГИС в защищенном состоянии (см. мероприятия по эксплуатации аттестованной ИС в Приказе 17). А вот если по ГОСТу - ежегодный контроль строго обязателен, и любой аттестатор вправе (и даже обязан) вписать это в аттестат.

Автор: sekira | 67699 19.12.2016 19:40
"ФСТЭК ГОСТ разработал, а Правительство ничего не утвердило"
Что и пытался показать...

"и начнем нагибать заказчика на соблюдения ДЗ в полной мере"
А что вменим как требования к наличию ДЗ в Программе и методике и в последующем Заключении? Есть уже профили к ДЗ как их привяжите к ОИ не к СЗИ на ОИ?

Нет требований к ОИ нече выдумывать их самим и по крупицам где то домысливать и додумывать, по документам которые регулятор заранее подготовил, что бы требования (букварь) которые выдут заработали. Ну или начинаем переписку с регулятором ... пущай разъесняет.

Автор: sekira | 67700 19.12.2016 19:43
"А вот если по ГОСТу ..."

Я бы вам выложил все нестыковки с букварем, положением по аттестации, инструкцией по ГТ , методикой ПЭМИН, РД и т.д.
Но здесь низя и это совсем другая история...

Собственно почему и хотелось бы от регулятора отмашку...

Автор: oko | 67702 19.12.2016 22:03
to WORM
ГОСТ же вроде только ГТ касается ибо "орган по аттестации", а не лицензиат ТЗКИ. Хотя я тоже долго недоумевал от таких понятий. Раз аттестация по тому же 17 приказу, то и орган по аттестации...

to sekira
Наличие канала утечки информации вменим, я же уже говорил. И обоснуем незащищенностью АС в рамках Протокола НСД. Если хочется бумагомарательства - сослаться на ГОСТ в той же ПиМ и провести комплексные испытания системы ДЗ, доказав, что нужны СЗИ. А СЗИ для ГТ - только сертифицированные. А они уже под новые требования к СДЗ. Все логично, четко и в ажуре...
И потом, ПиМ - это не палочка-выручалочка. Дескать, что согласовали, то и проводим. В рамках испытаний всегда могут выясниться моменты, о которых не знаешь на этапе согласования ПиМ. Поэтому аттестация - не услуга по готовому тарифу (за что заплатили. то и получили). Голову-то на плечах иметь надо. Или прикажите красивые бумажки с надписью "Аттестат соответствия" выдавать за такие же красивые глаза "де юре защищенного ОИ"? Хреновая позиция...
И да, еще момент. Требований по части той же защиты виртуализации по ГТ тоже нет. А средства защиты есть. И что, это повод не ставить СЗИ и не рассматривать угрозы виртуальной среде как канал утечки? И на вопросы регулятора (который забеспокоился, да) отвечать "Не знаю, не видел, не писали, не читал"? Дважды хреновая позиция...

Автор: WORM, MK | 67705 20.12.2016 08:49
" ГОСТ же вроде только ГТ касается ибо "орган по аттестации", а не лицензиат ТЗКИ. "

Насколько я помню, ГОСТ касается любой аттестации и определяет, кто чего аттестует: орган аттестует ГТ, а лицензиат по ТЗКИ - конфу. В том то и дело, что ГОСТ писали для всех случаев.

Автор: Dfg | 67808 24.12.2016 08:54
Вот про классы ОС

http://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/1206-informatsionnoe-soobshchenie-fstek-rossii-ot-18-oktyabrya-2016-g-n-240-24-4893

Сам приказ не нашел правда, видимо еще не опубликовали.

Интересно будет ли внутри прямо сказано про отсутствие НДВ предъявляемые к ОС. Ну и раскрыты прочие заморочки вроде обсуждаемых тут.

Винда как средство со встроенными фукнциями ЗИ видимо окончательно канет в лету :)

Прошла пара недель

Автор: Vosiley, ООО "ИнфоЦентр" | 67997 08.01.2017 12:30
Интересно, зачем в "Смоленске" запускаются драйвера bluetooth и присутствует мастер настройки беспроводных сетей? Как все это прошло сертификацию? Но это так, хохма.
А вот вопрос посерьезнее, можно ли настроить печать файлов с грифом напрямую, без маркировки и запуска макросов?

Автор: oko | 67998 08.01.2017 18:10
to Vosiley
Вы ядро посмотрите у Смоленска. Полная поддержка всех БСД, включая ИК, WiFi и т.п. А драйвер и ПО bluetooth им просто было лениво из Wheezy выпиливать...
По основному вопросу: попробуйте в файлах, которые в каталогах /usr/share/cups/psmarker и /usr/share/cups/fonarik, скрыть комментариями все ключевые позиции конфигурации. По идее, маркировка отрабатывать все так же будет, но уже без конечной печати "фонариков". А вот как убрать скрипты запроса учетной информации у пользователей при печати... это надо ковырять сами скрипты (и выпилить из них все содержимое)...

Автор: Vosiley | 68063 12.01.2017 07:14
to oko
Да, редактирование конфигов маркировки позволяет печатать пустую маркировку. Надеюсь, ребята из астры сделают костыль маркировки отключаемым, это сохранит много нервных клеток при попытках объяснить контингенту, как печатать документы с грифом.

Просмотров темы: 1261


Copyright © 2004-2010, ООО "Гротек"

Rambler's Top100 Rambler's Top100