- Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередные обновления 1.7 и 4.7
- Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередные обновления 1.7 и 4.7
- Дискреционный принцип контроля доступа.
- Мандатный принцип контроля доступа.
- СЗИ от НСД
- Montfer
- AnnyJoyce
- Olej
- Montfer
- CrashBldash
- Montfer
- AnnyJoyce
- Montfer
- AFilippov
- AFilippov
- AFilippov
- Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1
- Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux
- Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
- Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередные обновления 1.7 и 4.7
Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередные обновления 1.7 и 4.7
В cледующей таблице приведены возможности реализации мер защиты согласно руководящему документу РД СВТ. Информация о гарантиях проектирования, составе конструкторской документации и контроле модификации не приведена в эксплуатационной документации на ОС. При разработке и сертификации СВТ на соответствие РД СВТ разработчикам СВТ необходимо разработать собственные документы по настоящим разделам.
Дискреционный принцип контроля доступа.
Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.
Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.
Дискреционное управление доступом применяется к каждой сущности и каждому субъекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x). Права доступа включают список (битовую маску) из девяти пунктов: по три вида доступа для трех классов — пользователя-владельца, группы-владельца и всех остальных. Каждый пункт в этом списке может быть либо разрешен, либо запрещен (равен 1 или 0).
Дополнительно в Astra Linux механизмом дискреционных ПРД поддерживаются списки контроля доступа ACL (Access Control List), реализованные на основе расширенных атрибутов файловых систем.
Реализация механизма дискреционных ПРД обеспечивает наличие для каждой пары (субъект-сущность) явное и недвусмысленное перечисление разрешенных типов доступа.
Мандатный принцип контроля доступа.
Для работы с подсистемой протоколирования могут использоваться средства управления протоколированием в режиме командной строки (setfaud, getfaud, useraud, psaud), а также графические утилиты, которые позволяют настраивать параметры регистрации событий и просмотра протоколов:
— fly-admin-smc («Управление политикой безопасности») — управление протоколированием, привилегиями и мандатными атрибутами пользователей, работа с пользователями и группами;
— system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
СЗИ от НСД
Добрый день, коллеги! Не подскажете может кто-то сталкивался есть ли средства защиты информации от несанкционированного доступа для данной операционной системы?
P.S. Далласы и Секрет неты не предлагать, так как они еще на сертификации находятся.
Montfer
New member
AnnyJoyce
New member
Olej
New member
Вообще то говоря, как я понял из документации, Орёл — это самый обычный Debian 9 + красивые самобытные картинки GUI приложений, никаких специальных средств СЗИ там нет и не будет (сверх того что . ), и уж тем более СЗИ — кем-то или чем-то сертифицированных.
Montfer
New member
Помимо названных двух встречал упоминания об аккорде. Как работает и какие ОС поддерживает — не в курсе. К слову, у того же секрет нета нет информации о поддержке ядра 4.15. А на Орла уже можно ставить 4.19 + в тестовой ветке болтается версия ОС 2.12.16. Короч, проще купить смоленск 1.6, где СЗИ уже установлены из коробки
Ну, можете еще обратиться к компании, выпускавшей Zlock. Может быть, у них есть какие то решения
CrashBldash
New member
Или подождать сертификации Далласа и Секретнета.
Вероятно Орлы пришли централизовано и купить Смоленск не вариант. Или банально дешевле под персоналку например Орел с Секретнетом, чем Смоленск
Montfer
New member
Или подождать сертификации Далласа и Секретнета.
Вероятно Орлы пришли централизовано и купить Смоленск не вариант. Или банально дешевле под персоналку например Орел с Секретнетом, чем Смоленск
Таки да, орел 4к + секрет 8-9к дешевле 15к за смоленск в ОЕМ. Но стоит ли это возможных проблем в будущем?
AnnyJoyce
New member
Montfer
New member
Советую гуглить отечетсвенных разработчиков СЗИ и обзванивать или писать им письма. Вопрос крайне специфичный.
Плюсом пик активности грамотных безопасников прошел еще во второй половине 2018 года и шанс, что посоветуют конкретно и по делу, крайне мал
AFilippov
New member
Вот эти еще посмотри: Аккорд, Блокхост-Сеть, КСЗИ Панцирь+, Diamond ACS, Страж NT. Последнией, вроде тоже что-то под линукс делает. Как у них с сертификатами — не знаю.
P.S.: хороший пример для темы — зачем Минздраву AL SE.
AFilippov
New member
Или лучше сразу сюда https://fstec.ru/tekhnicheskaya-zas. v-zashchity-informatsii-n-ross-ru-0001-01bi00 Лучше ручками смотри, названия есть и сокращенные и полные.
AFilippov
New member
Таки да, орел 4к + секрет 8-9к дешевле 15к за смоленск в ОЕМ. Но стоит ли это возможных проблем в будущем?
А еще лучше, как правильно подсказывают, на части ПК по взаимозачету поставить Смоленск. Не думаю, что в Русбитех настолько упертые продажники и не пойдут на встречу. Разница между Орлом+СЗИ от НСД и Смоленском мизерна, головняка на порядок меньше. По бюджету и бухгалтерии проводить проще единым комплексом. Надеюсь, сможете вложить это в голову руководству.
Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1
Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux
| Требования по защите информации | Классы АС | Средства реализации | Способ реализации меры защиты с использованием штатных средств Astra Linux | Компоненты Astra Linux | ||||||||||
| Раздел | Подсистемы и функции | Требования | 1Д | 2Б | 3Б | 1Г | 1В | 1Б | 3А | 2А | 1А | |||
| ОВ | ||||||||||||||
| СС | ||||||||||||||
| С | ||||||||||||||
| ДСП | ||||||||||||||
| ПД | ||||||||||||||
| 1 | I. Подсистема управления доступом | |||||||||||||
| 1 | 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||||||
| 1 | — в систему | Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного/временного действия длиной не менее указанного количества буквенно-цифровых символов; | 6 | 6 | 6 | 6 | 6 | 8 | 6 | 6 | Средства Astra Linux | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Решение задачи идентификации и аутентификации локальных пользователей в Astra Linux основывается на использовании механизма PAM. Если Astra Linux не настроен для работы в ЕПП, то аутентификация осуществляется с помощью локальной БД пользователей. При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Концепция ЕПП подразумевает хранение системной информации о пользователе (включая доступные мандатные уровни и категории) централизованно в службе каталогов LDAP. Для управления пользователями, группами и настройками их атрибутов используется графическая утилита, соответствующие настройки обеспечивают требования к длине пароля. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Управление политикой безопасности fly-admin-smc (Пользователи, Политики учетной записи). Управление доменным пользователями (FreeIPA,ALD) | |
| Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов | 8 | Средства Astra Linux СДЗ, Токены | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. | |||||||||||
Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
| Требования по защите информации | Классы АС | Средства реализации | Уровни защищенности Astra Linux | Способ реализации меры защиты с использованием штатных средств Astra Linux | Компоненты Astra Linux | |||||||||||
| Раздел | Подсистемы и функции | Требования | 1Д | 2Б | 3Б | 1Г | 1В | 1Б | 3А | 2А | 1А | Усиленный («Воронеж») | Максимальный («Смоленск») | |||
| ОВ | ||||||||||||||||
| СС | ||||||||||||||||
| С | ||||||||||||||||
| ДСП | ||||||||||||||||
| ПД | ||||||||||||||||
| 1 | I. Подсистема управления доступом | |||||||||||||||
| 1 | 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||||||||
| 1 | — в систему | Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного/временного действия длиной не менее указанного количества буквенно-цифровых символов; | 6 | 6 | 6 | 6 | 6 | 8 | 6 | 6 | Средства Astra Linux | + | + | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Решение задачи идентификации и аутентификации локальных пользователей в Astra Linux основывается на использовании механизма PAM. Если Astra Linux не настроен для работы в ЕПП, то аутентификация осуществляется с помощью локальной БД пользователей. При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Концепция ЕПП подразумевает хранение системной информации о пользователе (включая доступные мандатные уровни и категории) централизованно в службе каталогов LDAP. Для управления пользователями, группами и настройками их атрибутов используется графическая утилита, соответствующие настройки обеспечивают требования к длине пароля. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Управление политикой безопасности fly-admin-smc (Пользователи, Политики учетной записи). Управление доменным пользователями (FreeIPA,ALD) | |
| Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов | 8 | Средства Astra Linux СДЗ, Токены | + | + | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. | |||||||||||