Информация |
---|
Статья находится на обновлении |
Hide If | ||
---|---|---|
|
Оглавление |
---|
title | Данная статья применима к: |
---|
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10, РУСБ.10015-17
- Astra Linux Special Edition РУСБ.1015210015-02 37 (очередное обновление 47.7)
- Astra Linux Special Edition РУСБ.1001510152-01 02 (очередное обновление 14.67)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.56)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.4)Astra Linux Special Edition РУСБ.10015-16 исп. 1 16 исп. 1 и исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
@anonymous | |||||
Предупреждение | |||||
---|---|---|---|---|---|
При установке и эксплуатации стороннего программного обеспечения (ПО) в информационных системах Эксплуатация информационных систем (ИС), функционирующих под управлением ОС Astra Linux Special Edition (ОС), должно учитываться следующее:
Предупреждение | Требования по эксплуатацииОС СН в аттестованных ИС должна функционировать в соответствии с указаниями по эксплуатации, приведенными в эксплуатационной документации. Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) см.: в том числе установка и эксплуатация стороннего программного обеспечения (ПО) в таких ИС, должна осуществляться с учетом:
Раскрыть |
| title | "||
17.1. Обеспечение безопасности среды функционирования В целях обеспечения безопасности среды функционирования ОС на объектах информатизации должны быть выполнены следующие требования: 1) СВТ, предназначенное для установки и функционирования ОС, должно соответствовать требованиям, указанным в разделе 2 документа РУСБ.10015-01 31 01; 2) для создания защищенной среды виртуализации изделие должно применяться совместно с аппаратным обеспечением, поддерживающим соответствующие технологии VT/SVM, в том числе при необходимости предоставления доступа виртуальным машинам к физическим устройствам; 3) установка, управление и конфигурирование ОС должны проводиться в соответствии с эксплуатационной документацией; 4) должна быть обеспечена защита от осуществления действий, направленных на нарушение физической целостности СВТ, на котором функционирует ОС; 5) должна быть обеспечена доверенная загрузка ОС. Доверенную загрузку ОС рекомендуется выполнять с помощью сертифицированных средств доверенной загрузки или аппаратно-программных модулей доверенной загрузки. При технической невозможности или нецелесообразности использования таких средств должны быть приняты организационно-технические меры, предотвращающие возможность доступа пользователя к ресурсам СВТ в обход механизмов защиты ОС (должна быть исключена возможность загрузки альтернативной операционной системы на СВТ, а также модификация модулей загружаемой ОС); 6) при использовании сетевого взаимодействия необходимо обеспечить доверенный канал передачи информации между СВТ, на которых установлена ОС (например,контроль несанкционированного подключения к ЛВС в пределах контролируемой зоны, защищенная передача сетевого трафика за пределами контролируемой зоны); 7) должны быть определены лица, отвечающие за эксплуатацию и безопасность ОС, которым будут предоставлены административные полномочия в ОС. Данные лица не должны считаться нарушителем в модели угроз безопасности информации; 8) лица, ответственные за эксплуатацию ОС, должны обеспечить, чтобы аутентификационная информация для каждой учетной записи пользователя ОС содержалась в тайне и была недоступна лицам, не уполномоченным использовать данную учетную запись. | |||||
Раскрыть | |||||
|
Предупреждение | |||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Требования эксплуатационной документацииОС в аттестованных ИС должна функционировать в соответствии с указаниями по эксплуатации, приведенными в эксплуатационной документации. Для Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) см.:
password requisite pam cracklib.so установить значение minlen=<минимальная_длина_пароля> и добавить параметры dcredit=-1 , ucredit=-1 и lcredit=-1 (данные параметры устанавливают требования к сложности пароля);б) в файле /etc/login.defs для переменной PASS_MAX_DAYS установить требуемое значение максимального срока действия пароля в днях. Запрет повторного использования заданного числа последних паролей можно установить путем корректировки файла /etc/pam.d/common-password. Для этого в указанном файле в строке ... pam_unix.so добавить параметр remember=<число_паролей> ;3
LOGIN_RETRIES и LOGIN_TIMEOUT );
4) функции разграничения доступа, мандатного контроля целостности и гарантированного уничтожения (стирания) информации в полном объеме реализованы только для файловых систем ext2/ext3/ext4/xfs, поддерживающих расширенные (в т.ч. мандатные) атрибуты файловых объектов. При использовании других файловых систем необходимо учитывать данные ограничения. Установку ОС следует выполнять на системный раздел с файловой системой ext4/xfs; 5) при необходимости установки в систему внешних модулей уровня ядра ОС, такие модули должны быть получены из доверенного источника, и перед их установкой с ОС должна осуществляться проверка их целостности; 6) использование файловой системы NFS для доступа к сетевым дискам возможно при выполнении следующих условий: а) сетевые диски не предназначены для хранения файловых объектов, требующих обеспечения мандатного управления доступом к ним; 17.2.2. При использовании механизма гарантированного удаления данных должны дополнительно быть выполнены следующие условия: 1) при использовании разделов подкачки в ОС необходимо активировать в файле /etc/parsec/swap_wiper.conf их очистку согласно 8.1. 17.2.3. При использовании мандатного контроля целостности должны дополнительно быть выполнены следующие условия: 1) при использовании инструмента qemu-ga (из состава пакета qemu-guest-agent) значения параметров -p (в том числе при использовании опции -m unix-listen) и -t должны указывать на сокеты и файлы, уровни целостности которых совпадают с уровнем целостности запускаемого процесса. 17.2.4. При использовании мандатного управления доступом
2) в случае необходимости использования мандатного управления доступом на сетевых дисках, их монтирование в файловую систему ОС должно осуществляться только с использованием файловой системы CIFS, поддерживающей расширенные (в т.ч. мандатные) атрибуты пользователей; 3) в конфигурационном файле защищенного сервера печати из состава изделия /etc/cups/cupsd.conf не допускается установка значения None параметра DefaultAuthType (отключение аутентификации) и внесение изменений в параметры политики PARSEC, не соответствующих эксплуатационной документации; 4) при использовании защищенного сервера СУБД из состава ОС в режиме мандатного управления доступом необходимо в конфигурационном файле кластера postgresql.conf для параметра enable_bitmapscan установить значение off и для параметра ac_ignore_socket_maclabel установить значение false; 5) при использовании защищенного сервера СУБД из состава ОС в режиме мандатного управления доступом не допускается отключать аутентификацию субъектов доступа установкой в конфигурационном файле кластера pg_hba.conf режима trust (без аутентификации); 6) при использовании защищенного комплекса программ электронной почты из состава ОС в режиме мандатного управления доступом конфигурационные параметры агента передачи электронной почты Exim и агента доставки электронной почты Dovecot не должны допускать отправку и прием сообщений электронной почты без аутентификации; 7) для штатной работы ОС не допускается отключение администратором системы расширения XPARSEC у Х-сервера (использование отладочной опции XPARSEC=Disable в конфигурационных файлах Х-сервера, см. документ РУСБ.10015-01 31 01). "Руководство по КСЗ. Часть 1" РУСБ.10015-01 97 01-1 п. 17.3:
"Описание применения" РУСБ.10015-01 31 01: см. Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7). Эксплуатационная и дополнительная документация.
|
Предупреждение | ||||
---|---|---|---|---|
Требования к сертификации стороннего ПО, функционирующего подуправлением ОС1. ФСТЭК РоссииВ отношении стороннего программного обеспечения, не Требования по защите информации при аттестации ИС1. ФСТЭК РоссииВ отношении стороннего программного обеспечения, нереализующего функции безопасности и не используемого для обеспечения мер защиты информации в информационных системах, обязательная сертификация не требуется. Наличие у такого ПО сертификата соответствия не является необходимым условием для аттестации информационных систем. Обязательная сертификация на соответствие требованиям безопасности информации такого программного обеспечения ФСТЭК России – не предусмотрена. 2. Минобороны РоссииПрикладное программное обеспечение (вне зависимости от реализации функций безопасности) подлежит обязательной сертификации в системе МО РФ при выполнении хотя бы одного из следующих условий:
В случае выполнения любого из указанных условий стороннее программное обеспечение должно быть сертифицировано на соответствие требованиям по безопасности информации в составе разрабатываемого прикладного программного обеспечения. При применении стороннего программного обеспечения, образующего совместно с ОС доверенную программную среду, необходимо выполнять требования раздела 17.3 эксплуатационного документа «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1» РУСБ.10015-01 97 01-1 (см. Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7). Эксплуатационная и дополнительная документация). 3. ФСБ РоссииВсе применяемое в составе автоматизированных систем в защищенном исполнении ФСБ России стороннее программное обеспечение должно пройти испытания на соответствие требованиям безопасности информации ФСБ России. Требования устанавливаются индивидуально в специальных технических заданиях, которые подлежат согласованию с ФСБ России и испытательной лабораторией, проводящей работы. Применение ОС , а также применение стороннего программного обеспечения, функционирующего в среде ОС
, должно осуществляться в соответствии с ограничениями по эксплуатации, приведенными в разделе 17.3 эксплуатационного документа «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1» РУСБ.10015-17 97 01-1 (см. Astra Linux Special Edition РУСБ.10015-17 - эксплуатационная и дополнительная документация). 4. ОАЦ РБВ отношении стороннего программного обеспечения, не реализующего функции безопасности и не используемого для обеспечения мер защиты информации в информационных системах, обязательная сертификация не требуется. Наличие у такого ПО сертификата соответствия не является необходимым условием для аттестации информационных систем (согласно Положению о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, и Положению о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации, утвержденных приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66).
Указанные ограничения размещены на сайте astralinux.ru. |
Якорь | ||||
---|---|---|---|---|
|
При внесении изменений в файлы, входящие в программные пакеты, перечисленные в таблицах ниже, корректная работа механизмов безопасности ОС не гарантируется, что означает несоответствие требованиям безопасности информации, указанным в сертификатах.
Предупреждение | ||
---|---|---|
| ||
Версии программных пакетов могут отличаться в зависимости от варианта исполнения ОС Astra Linux и ее очередных и оперативных обновлений. Конкретные версии программных пакетов и их контрольные суммы приведены в файле gostsums.txt, расположенном в составе установочных дисков (основных репозиториев (main)) всех очередных и оперативных обновлений ОС Astra Linux. |
Перечень программных пакетов, реализующих выполнение функций безопасности
Раскрыть | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Символом "*" обозначается любая последовательность символов в названии пакета.
|
Перечень программных пакетов, поддерживающих выполнение функций безопасности
Раскрыть | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Символом "*" обозначается любая последовательность символов в названии пакета.
|