Окружение

Astra Linux Special Edition 1.6

Вопрос

Со слов представителя ФСТЭК, установленная ОС Astra Linux Special Edition 1.7 Update 1 (№ 2021-1126SE17) не обеспечивает должным образом защиту от НСД. Для полной защиты необходимо установить программный продукт Secret Net LSP, который сможет контролировать незадействованные порты на АРМ, способствующие утечке информации. Справедливо ли это утверждение?

Ответ

Операционные системы в соответствии с «Требованиями безопасности информации к операционным системам», утвержденными приказом ФСТЭК России №119, являются элементами системы защиты информации и применяются для защиты информации от несанкционированного доступа. Сертификаты соответствия ФСТЭК России и Минобороны России подтверждают соответствие «Операционной системы специального назначения «Astra Linux Special Edition» вариантов исполнения РУСБ.10015-01, РУСБ.10265-01, РУСБ.10152-02 (далее — ОС Astra Linux) требованиям по безопасности информации, предъявляемым к операционным системам.

Состав сертифицированных функций безопасности ОС Astra Linux соответствует требованиям документов (в зависимости от варианта исполнения ОС Astra Linux) «Профиль защиты операционных систем типа «А» первого класса защиты ИТ.ОС.А1.ПЗ» (ФСТЭК России, 2017 г.) или «Профиль защиты операционных систем типа «А» второго класса защиты ИТ.ОС.А2.ПЗ» (ФСТЭК России, 2017 г.) и обеспечивает реализацию средствами встроенного комплекса средств защиты следующих функций:

  • идентификация и аутентификация;
  • управление доступом;
  • регистрация событий безопасности;
  • ограничение программной среды;
  • изоляция процессов;
  • защита памяти;
  • контроль целостности;
  • обеспечение надежного функционирования;
  • фильтрация сетевого потока;
  • маркирование документов.

Указанные функции безопасности реализованы встроенным комплексом средств защиты информации ОС Astra Linux, что подтверждено в рамках сертификационных испытаний, и не предполагают применения «наложенных» (внешних) средств защиты для реализации аналогичных (дублирующих) функций в информационных (автоматизированных) системах, функционирующих под управлением ОС Astra Linux, за исключением мер защиты, требующих применения специализированных профильных средств защиты: средств криптографической защиты информации, средств доверенной загрузки и т. п.

Эксплуатационной документацией на ОС Astra Linux («Руководство по КСЗ. Часть 1», раздел 17.3) установлены условия и ограничения, соблюдение которых обязательно для обеспечения корректной работоспособности сертифицированного встроенного комплекса средств защиты информации.

В том числе, установлены условия для программного обеспечения, функционирующего в среде ОС Astra Linux и образующее совместно с ней доверенную программную среду, предполагающие запрет изменений механизмов и параметров аутентификации пользователей, алгоритмов управления доступом, установки собственных модулей аутентификации и других механизмов, обеспечивающих реализацию сертифицированных функций безопасности.

Применение «наложенных» средств защиты информации от несанкционированного доступа, которые имеют собственные механизмы аутентификации и идентификации, управления доступом и прочие, — нарушает условия применения ОС Astra Linux. При этом, необходимость соблюдения условий и ограничений, изложенных в эксплуатационной документации, является обязательным условием эксплуатации любых сертифицированных средств защиты информации, в том числе и ОС Astra Linux.

Таким образом, применение «наложенных» средств защиты информации от несанкционированного доступа совместно с ОС Astra Linux для реализации аналогичных (дублирующих) функций в составе одной информационной (автоматизированной) системы, подлежащей аттестации на соответствие требованиям по безопасности информации, является избыточным и нарушает условия действия сертификатов соответствия на ОС Astra Linux.

В части контроля незадействованных портов на АРМ, управление доступом к устройствам и портам может быть реализовано средствами ОС Astra Linux.

Детально ознакомиться с возможностями по ограничению доступа к устройствам средствами ОС можно в статье Справочного центра Блокировка устройств и ограничение доступа к устройствам.