Окружение
Astra Linux
Вопрос
Какой нормативный документ (реквизиты) устанавливает доверие к официальным репозиториям ОС Astra Linux, доступным из сети Интернет (с явным перечнем адресов репозиториев и указанием их назначения)?
Ответ
В соответствии с документом «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утвержденным приказом ФСТЭК России от 2 июня 2020 г.№ 76 (пункт 23.2):
- в случае получения обновления средства по сетям связи средство должно получать такие обновления с информационного ресурса заявителя;
- при доведении обновлений средства до потребителей должны обеспечиваться подлинность и целостность обновлений за счет применения электронной цифровой подписи.
Для ОС Astra Linux выполняются оба условия.
Подлинность и неизменность ПО, распространяемого по сетям связи, подтверждаются путем проверки усиленной квалифицированной электронной подписи изготовителя.
Подлинность и неизменность ПО изделия, установленного на средство вычислительной техники, подтверждаются средствами контроля целостности (средствами контроля соответствия дистрибутиву) путем вычисления и сравнения контрольных сумм исполняемых файлов и библиотек с эталонными значениями, хранящимися в файле gostsums.txt, размещенном на установочном диске и обновлениях изделия.
Таким образом, подтверждением доверия к источнику получении обновлений является:
- наличие усиленной квалифицированной электронной подписи у ПО репозитория;
- размещение репозиториев в личном кабинете пользователя, доступ к которому есть только у пользователя и изготовителя.