Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents




Info

Данная статья применима к:

  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1



Warning

Принимая решение о допустимости хранения конфиденциальной информации на сменных носителях, следует помнить, что 

наличие физического доступа к любому носителю информации
позволяет прочитать с него всё, что там хранится,
независимо от наличия и содержания мандатных меток

Для предотвращения утечки информации следует в обязательном порядке

  • ограничить физический доступ к носителям,
  • и применять защитное преобразование хранящейся информации



Warning

При размещении конфиденциальной информации на твердотельных носителях (SSD, Flash) следует помнить, что  в силу их технических особенностей гарантированное полное стирание с них информации НЕВОЗМОЖНО.

Подробности см.  Твердотельные накопители (SSD): особенности применения


Поддерживаемые файловые системы

Info

ext2/ext3/ext4
vfat

«В качестве файловых систем на носителях информации компьютеров с ОС (в том числе съемных машинных носителях информации) должны использоваться только файловые системы Ext2/Ext3/Ext4, поддерживающие расширенные (в т.ч. мандатные) атрибуты пользователей и обеспечивающие гарантированное уничтожение (стирание) информации»
«Руководство по КСЗ, Часть 1» РУСБ.10015-01 97 01-1, 2020г., п. 17.3.1 «Условия применения ОС»


Warning
При создании нескольких правил с одним идентификатором (например только ID_SERIAL) для одного носителя под разными уровнями udev будет обрабатывать только одно из этих правил.

Порядок

работы

учёта накопителей

Для учёта USB-накопителя для работы с конфиденциальной информацией нужно создать для USB носителя этого накопителя правила доступа в графическом инструменте fly-admin-smc.
Для
 этого:

  • не подключая накопитель к компьютеру, запустить графический инструмент  fly-admin-smc
    (меню "Пуск" - "Панель управления" - "Безопасность" - "Политика безопасности";
    в меню инструмента выбрать "Устройства и правила" > "Устройства" ;
    и нажать кнопку "+" ("новый элемент");

  • после появления окна с приглашением "Подсоедините устройство"  подключить носитель к компьютеру;

  • дождаться, пока с носителя прочитается информация, и из появившегося списка выбрать логическое устройство 
    (обычно - самый последний элемент в списке), и нажать кнопку ДА;

  • в закладке "Общие"
    • указать наименование устройства;
    • выбрать пользователя (владельца устройства) и группу - владельца;
    • указать для всех права доступа;

  • в закладке МРД 
    • указать необходимый максимальный "Уровень" конфиденциальности для этого носителя;
    • и допустимые категории доступа;

  • в закладке Аудит указать необходимые параметры аудита;

  • в правом верхнем углу поставить отметку "Включено";

  • сохранить изменения;


Warning

Для того, чтобы изменения ограничений мандатного доступа вступили в силу,  следует переподключить носитель.
Для того, чтобы можно было получить доступ к носителю после перезагрузки компьютера следует переподключить носитель.


Note
Для учтённых USB устройств -накопителей с файловой системой vfat:
работа на учтенном для данного пользователя USB-накопителе возможна только при входе пользователя на уровне конфиденциальности,
который назначен назначнном администратором для данного устройства накопителя во fly-admin-smc.


Note

Для учьённых USB устройств -накопителей с файловой системой ext4:
работа Работа на учтенном для данного пользователя USB носителе возможна -накопителе возможна при входе пользователя на всех уровнях конфиденциальности.
При этом, этом  доступ к данным осуществляется согласно правилам МРД, заданным в контейнерах (каталогах),
которые администратор должен предварительно создать в файловой системе ext4 данного носителя накопителя (типовые сценарии для созданий контейнеров см. ниже).


Warning

Все пользователи, для которых включается режим работы с конфиденциальной информацией на USB носителях
обязательно носителях обязательно должны быть исключены из группы floppy (ОС СН Смоленск 1.5 и ОС СН Смоленск 1.6) и из группы fuse (ОС СН Смоленск 1.5).
(при обработке конфиденциальной информации это должны быть все пользователи, кроме администраторов из группы astra-admin).

Исключить пользователя из группы floppy можно командой:

Command
gpasswd -d username floppy



Сценарии для подготовки USB носителей ext4

  1. Для подготовки USB носителя с файловой системой ext4 к работе на нескольких уровнях
    можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):

    Info
    #!/bin/bash
    USERNAME="user"
    DEVICE="/dev/sdc1"
    mkfs.ext4 $DEVICE
    mkdir -p /media/usb
    mount $DEVICE /media/usb
    #multilevel
    pdpl-file 3:0:-1:ccnr /media/usb/
    mkdir /media/usb/{0,1,2,3}
    pdpl-file 0:0:0:0 /media/usb/0
    pdpl-file 1:0:0:0 /media/usb/1
    pdpl-file 2:0:0:0 /media/usb/2
    pdpl-file 3:0:0:0 /media/usb/3
    chown -R ${USERNAME}:${USERNAME} /media/usb/{0,1,2,3}
    ls -la /media/usb/
    pdp-ls -M /media/usb/
    umount /media/usb


  2. Для подготовки USB носителя с файловой системой ext4 к работе для работы на одном (например, 2-м)
    уровне можно использовать следующий сценарий (задав необходимые переменные USERNAME и DEVICE):

    Info
    #!/bin/bash
    USERNAME="user"
    DEVICE="/dev/sdc1"
    mkfs.ext4 $DEVICE
    mkdir -p /media/usb
    mount $DEVICE /media/usb
    #one level
    pdpl-file 2:0:0:0 /media/usb/
    chown -R ${USERNAME}:${USERNAME} /media/usb/
    ls -la /media/usb/
    pdp-ls -M /media/usb/
    umount /media/usb