Доверие к источникам получения/подключения репозиториев
Окружение
Вопрос
Какой нормативный документ (реквизиты) устанавливает доверие к официальным репозиториям ОС Astra Linux, доступным из сети Интернет (с явным перечнем адресов репозиториев и указанием их назначения)?
Ответ
В соответствии с документом Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 2 июня 2020 г. № 76 (п. 23.2):
- в случае получения обновления средства по сетям связи оно должно получать такие обновления с информационного ресурса заявителя;
- при доведении обновлений средства до потребителей должны обеспечиваться подлинность и целостность обновлений за счет применения электронной цифровой подписи.
Для ОС Astra Linux выполняются оба условия.
Подлинность и неизменность ПО, распространяемого по сетям связи, подтверждаются путем проверки усиленной квалифицированной электронной подписи изготовителя.
Подлинность и неизменность ПО ОС Astra Linux, установленного на средство вычислительной техники, подтверждаются средствами контроля целостности путем вычисления и сравнения контрольных сумм исполняемых файлов и библиотек с эталонными значениями, хранящимися в файле gostsums.txt
, размещенном на установочном диске и обновлениях ОС Astra Linux.
Таким образом, подтверждением доверия к источнику получении обновлений является:
- наличие усиленной квалифицированной электронной подписи у ПО репозитория;
- размещение репозиториев в личном кабинете пользователя, доступ к которому есть только у пользователя и изготовителя.