ОкружениеLink to Окружение

Astra Linux

ВопросLink to Вопрос

Какой нормативный документ (реквизиты) устанавливает доверие к официальным репозиториям ОС Astra Linux, доступным из сети Интернет (с явным перечнем адресов репозиториев и указанием их назначения)?

ОтветLink to Ответ

В соответствии с документом Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 2 июня 2020 г. № 76 (п. 23.2):

  • в случае получения обновления средства по сетям связи оно должно получать такие обновления с информационного ресурса заявителя;
  • при доведении обновлений средства до потребителей должны обеспечиваться подлинность и целостность обновлений за счет применения электронной цифровой подписи.

Для ОС Astra Linux выполняются оба условия.

Подлинность и неизменность ПО, распространяемого по сетям связи, подтверждаются путем проверки усиленной квалифицированной электронной подписи изготовителя.

Подлинность и неизменность ПО ОС Astra Linux, установленного на средство вычислительной техники, подтверждаются средствами контроля целостности путем вычисления и сравнения контрольных сумм исполняемых файлов и библиотек с эталонными значениями, хранящимися в файле gostsums.txt, размещенном на установочном диске и обновлениях ОС Astra Linux.

Таким образом, подтверждением доверия к источнику получении обновлений является:

  • наличие усиленной квалифицированной электронной подписи у ПО репозитория;
  • размещение репозиториев в личном кабинете пользователя, доступ к которому есть только у пользователя и изготовителя.