- Аттестация объектов
- Денис
- monarch-1985
- Montfer
- Денис
- Денис
- Денис
- Денис
- cogniter
- StayPositive
- Денис
- Alexeistudio
- oko
- Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1
- Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux
- Запуск процессов с привилегиями PARSEC
- Зачем нужна?
- Как это работает
- Как это всё прикрутить к собственному проекту?
- Пример
- Инструменты «СКАНЕР-ВС»: Аудит ОС Astra Linux
- Работа с инструментом
Аттестация объектов
Здравствуйте подскажите при аттестации объектов на Win используем Средство создания модели системы разграничения доступа «Ревизор 1 ХР», Средство контроля защищенности от НСД «Ревизор 2 ХР». В случаи использования заказчиком Astra Linux® Special Edition какими похожими программами порекомендуете пользоваться.
Денис
New member
Если аттестация проводится в соответствии с требованиями ФСТЭК, то пока нет таких средств. В базе сертификатов на официальном сайте есть не понятный ревизор 1 и ревизор 2 заявитель КРАСМАШ они по 3 уровню НДВ и фикс юникс.
monarch-1985
New member
А разве в SE что-то еще нужно дополнительно ставить для аттестации? Зачем тогда отдавать такие немерянные деньги за SE? Мы вот купили CE и хотим ставить на них Dallas Lock’и d в качестве средств от НСД для аттестации ИСПДн.
Montfer
New member
Полистайте форум, бывали случаи, что аттестовывали астру se для гт с установленной офисной программой, не входящей в состав ОС. Для ПДн и подавно должны аттестовать без доп.программ. Ну, а АПМДЗ все таки надо будет поставить. Наверно. Крч, консультируйтесь с организацией, которая будет вас аттестовывать
Денис
New member
Если говорим про гос. тайну (в соотв. с треб. ФСТЭК) на текущий момент:
1. Есть защищенная ОС это отлично. (есть сертификат ФСТЭК).
2. Нужен антивирус, который должен соответствовать требованиям ФСТЭК. под 1.6. пока нет, но скоро будет(есть по 4 уровню НДВ можем аттестовать только конфу).
3. Нет ПО для контроля защищенности, всё что встроенное в ALSE не имеет сертификата как средства КЗИ.
4. Нет ПО КЗИ по ПЭМИН.
5. ПО для контроля Инспектор которое развивает Эшелон, так же по 4 уровню НДВ только под конфу.
По этому если пока аттестация ОИ под ГТ пока не возможна. Не судите за мое мнение может еще не все РД изучил, но думаю это главные вопросы на текущий момент.
Денис
New member
Денис
New member
Она не является антивирусом, средством обнаружения вторжений, средством КЗИ, итд.
DALLAS на неё не нужно она сама является СЗИ. вы могли поставить любую Ubunty и на неё накатить Dallas.
Денис
New member
Если есть дополнения или я в чем то ошибаюсь пишите сюда я считаю это глобальная тема.. кто стесняется моя почта REMNSD@YANDEX.RU
cogniter
Moderator
Если говорим про гос. тайну (в соотв. с треб. ФСТЭК) на текущий момент:
1. Есть защищенная ОС это отлично. (есть сертификат ФСТЭК).
2. Нужен антивирус, который должен соответствовать требованиям ФСТЭК. под 1.6. пока нет, но скоро будет(есть по 4 уровню НДВ можем аттестовать только конфу).
3. Нет ПО для контроля защищенности, всё что встроенное в ALSE не имеет сертификата как средства КЗИ.
4. Нет ПО КЗИ по ПЭМИН.
5. ПО для контроля Инспектор которое развивает Эшелон, так же по 4 уровню НДВ только под конфу.
По этому если пока аттестация ОИ под ГТ пока не возможна. Не судите за мое мнение может еще не все РД изучил, но думаю это главные вопросы на текущий момент.
StayPositive
New member
В итоге, не совсем понял. Если требуется провести атт.объекта двухбуквенную, мы всё же должны использовать СЗИ(сторонние) от НСД?
С антивирусом ситуация понятна,
Денис
New member
Alexeistudio
New member
В теме, ИМХО правильно поднят вопрос дополнительного ПО для аттестации под ГТ.
В качестве сертифицированного антивируса, вроде можно использовать сертиф. Dr. Web и KES 11 (по поводу уровня НДВ не смотрел еще).
В качестве дов. загрузки должны подойти платы типа Соболь, Dallas Lock и др. (пока не пробывал, но в ближайшее время Соболь будем пробывать).
Далее идет ПО которое нужно ТОЛЬКО для лицензиатов ФСТЭК для аттестации (но от этого не менее нужное):
По поводу тестов ПЭМИН — есть тесты от «Профиль защиты» (тесно связана с «ЦБИ», г. Юбилейный). Цена вопроса — 50 тыщ. Либо измерять под виндой а потом накатывать АСТРУ с теми же параметрами работы устройств , хотя вариант спорный..).
Программы контроля защиты информации: тут я видел только вышеупомянутый FIX Unix. Чем проверять разграничение ресурсов не ясно. Да и сами ресурсы на локальной машине как разграничить не ясно..
oko
New member
Primo , по линии ФСТЭК НДВ теперь в прошлом — читайте соответствующий открытый приказ по ОУД. По-идее, до конца года все производители должны обновить сертификаты, в которых говорилось про НДВ, до «оценочного уровня доверия». Но касается это в первую голову СЗИ НСД, потому что ОС, СДЗ, АВЗ, МЭ и СОВ сертифицируются по соответствующим Профилям (пока, во всяком случае, их не обновили). Так что к Astra Linux это отношения особого не имеет.
Secundo , по линии МО РФ и ФСТЭК России достаточно Astra Linux + KES11 или DrWeb10(11) для прохождения аттестации вплоть до многопользовательских АС с 2 буквами. С СДЗ, кстати, есть нюансы — читайте закрытую нормативку. По линии ФСБ (ФСО) все еще веселее и не для обсуждения на форуме.
Tertio , тесты ПЭМИН написать не сложно. Если очень нужны — могу скомпилить под нужную версию Астры и сбросить (пишите в личку). Имеются на все основные интерфейсы, кроме, пожалуй, принтера (но там не сложно и без теста, ага). Естественно, сертификацию не проходили (хотя имеется свидетельство о гос.регистрации).
Quatro , разграничение доступа проверяется встроенными средствами самотестирования parsec-tests. Уже много раз обсуждалось — это декларированный и оправданный путь проверки. А те же Ревизоры XP под Win — убожество, которому давно пора на свалку ( как и всему софту от ЦБИ ).
Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1
Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux
Требования по защите информации | Классы АС | Средства реализации | Способ реализации меры защиты с использованием штатных средств Astra Linux | Компоненты Astra Linux | ||||||||||
Раздел | Подсистемы и функции | Требования | 1Д | 2Б | 3Б | 1Г | 1В | 1Б | 3А | 2А | 1А | |||
ОВ | ||||||||||||||
СС | ||||||||||||||
С | ||||||||||||||
ДСП | ||||||||||||||
ПД | ||||||||||||||
1 | I. Подсистема управления доступом | |||||||||||||
1 | 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||||||
1 | — в систему | Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного/временного действия длиной не менее указанного количества буквенно-цифровых символов; | 6 | 6 | 6 | 6 | 6 | 8 | 6 | 6 | Средства Astra Linux | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Решение задачи идентификации и аутентификации локальных пользователей в Astra Linux основывается на использовании механизма PAM. Если Astra Linux не настроен для работы в ЕПП, то аутентификация осуществляется с помощью локальной БД пользователей. При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Концепция ЕПП подразумевает хранение системной информации о пользователе (включая доступные мандатные уровни и категории) централизованно в службе каталогов LDAP. Для управления пользователями, группами и настройками их атрибутов используется графическая утилита, соответствующие настройки обеспечивают требования к длине пароля. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Управление политикой безопасности fly-admin-smc (Пользователи, Политики учетной записи). Управление доменным пользователями (FreeIPA,ALD) | |
Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов | 8 | Средства Astra Linux СДЗ, Токены | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. |
Запуск процессов с привилегиями PARSEC
Выложена в открытый доступ утилита start-stop-parsec-daemon, пропатченная версия обычного start-stop-daemon для Astra Linux Special Edition. В отличии от стандартной версии умеет запускать процессы с привилегиями PARSEC под любым пользователем.
Зачем нужна?
Штатные возможности Astra Linux Special Edition не позволяют запускать процессы (демоны) со сменой UID/GID и при этом ставить привилегии PARSEC. Невозможно, например, запускать немодифицированные программы с привилегией PRIVSOCK (возможность подключения пользователей с ненулевой мандатной меткой) с UID/GID отличными от 0 (root).
Столь плачевное положение возможно имеет причиной: а) забывчивость Русбитеха; б) вера в то, что все привилегированные процессы должны запускаться от рута. Как бы то ни было, вся обвязка связанная с запуском процессов с привилегиями PARSEC, полна тлена и баш-скриптов и порой приводит к потере работоспособности скриптов запуска.
Посему мы это все решили прекратить и сделать свой start-stop-daemon с PARSEC привилегиями, но без скриптов.
Как это работает
Пакет устанавливает команду start-stop-parsec-daemon , полностью совместимую со штатным start-stop-daemon , но позволяющую указывать привилегии PARSEC с помощью параметра —capability . Для совместимости со штатным механизмом Астры privsock, если указана привилегия 0x100 (PRIVSOCK), то команда дополнительно сверяется с файлом /etc/parsec/privsock.conf на предмет наличия запускаемого бинарника в оном списке.
В остальном, все как обычно.
Как это всё прикрутить к собственному проекту?
- Добавьте в зависимости вашего пакета с init.d скриптом наш пакет (parsec-daemon).
- В скрипте используйте start-stop-parsec-daemon вместо start-stop-daemon .
- Укажите привилегии с помощью параметра —capability .
Пакеты можно собрать самостоятельно из исходников, а можно взять готовые для Astra Linux Special Edition 1.3/1.4 из нашего репозитория.
Рекомендация: если вы хотите таким образом адаптировать сторонние пакеты, то наилучшим способом будет создание пакета -parsec , в котором будет правильный LSB скрипт запуска. А postints/postrm скрипты будут отключать стандартный демон и работать с /etc/parsec/privsock.conf .
Пример
Конкретного примера не будет, смотрите нашу обвязку для RabbitMQ.
P.S. Наша версия start-stop-daemon войдет в версию 1.5 Astra Linux Special Edition.
Инструменты «СКАНЕР-ВС»: Аудит ОС Astra Linux
Инструмент «Аудит ОС Astra Linux» предназначен для аудита настроек комплекса средств защиты ОС специального назначения «Astra Linux Special Edition» по требованиям безопасности.
Инструмент запускается из веб-интерфейса «Аудит ОС Astra Linux» или из подменю стартера приложений. Для запуска инструмента необходимо выполнить следующие действия:
- запустить подменю стартера приложений;
- выбрать вкладку «Поиск уязвимостей»;
- выбрать инструмент «Аудит ОС Astra Linux» .
После запуска откроется окно терминала
Работа с инструментом
Для запуска процесса аудита, необходимо запустить скрипт на проверяемой рабочей станции. Для этого в терминале необходимо прописать команду, в которой указаны пользователь и IP-адрес тестируемой рабочей станции и нажать клавишу «Enter». Дополнительно можно указать папку для сохранения отчета. На рисунке 3 показан пример команды запуска скрипта на рабочей станции с IP-адресом 192.168.5.76 под учетной записью пользователя echelon и указанной папкой / для сохранения отчета.
В терминале будет отображено сообщение о подтверждении проведения аудита на рабочей станции, указанной в команде 4. Необходимо ввести в терминале «yes» и нажать клавишу «Enter».
Для начала аудита необходимо указать пароль пользователя, указанного в команде 5. Если аудит ОС Astra Linux проводится на рабочей станции впервые, пароль будет запрошен дважды. Нужно ввести в терминале пароль и нажать клавишу «Enter».