Список linux сертифицированные фстэк

Вы используете устаревшую версию браузера.
Обновите Ваш браузер для надежной и безопасной работы.

Впервые в истории российского ИТ-рынка отечественная операционная система получила сертификат, подтверждающий соответствие требованиям регулятора по обеспечению безопасности информации для обработки сведений высшего уровня секретности – «особой важности».

Группа компаний Astra Linux сообщает об успешном завершении работ по сертификации операционной системы специального назначения Astra Linux Special Edition (релиз «Смоленск», версия 1.6) по требованиям безопасности информации к операционным системам типа «А» 1-го класса защиты в системе сертификации СЗИ ФСТЭК России. Теперь Astra Linux Special Edition, единственная в России, может применяться в информационных системах тех организаций, которые работают с государственной тайной самой высокой степени секретности — «особой важности» включительно.

Помимо сертификата ФСТЭК России по 1-ому классу защиты релиз «Смоленск» получил сертификат соответствия требованиям ФСБ России к средствам защиты информации, содержащей государственную тайну. Данные сертификаты подтверждают, что разработанная доверенная аппаратно-программная платформа на основе операционной системы специального назначения Astra Linux Special Edition может использоваться в информационных системах органов государственного и военного управления, включая высшие органы госвласти, для обработки любой информации ограниченного доступа.

Разработчиками Astra Linux проделана огромная многолетняя работа, результатом которой стало официальное признание регуляторами наличия на российском рынке программного продукта, который может удовлетворить требованиям по защите информации любого уровня. Для обеспечения высокого доверия к безопасности операционной системы наши специалисты постоянно проводят широкий спектр проверок и тестирования с целью выявление ошибок, уязвимостей, нарушений логики функционирования механизмов защиты ОС. Для контроля качества применяются уникальные научно-технологические решения и инструментальные средства как собственной разработки, так и полученные в результате партнерства с ИСП РАН. Безусловно, защищенность операционной системы – одно из основных преимуществ Astra Linux, но это не значит, что наш продукт может применяться только в тех организациях, которые ориентированы на сверхсекретность. Мы продолжаем расширять функционал операционной системы, делаем ее более простой и удобной для конечного пользователя

Источник

Сертифицированные версии — грабли, которые нам выбирают

Как известно — использование сертифицированных версий программного обеспечения прописано в самых разных документах регуляторов. И (к сожалению) эта данность, с которой всем жить. В данной статье не будет перечисления положений документов, согласно которым необходимо использовать сертифицированные (или иначе «прошедшие процедуру проверки соответствия») продукты или размеров штрафов за неиспользование. Вместо этого будут рассмотрены типичные проблемы, с которыми клиенты, вынужденные использовать сертифицированное ПО, обращаются в техническую поддержку.

Если кто-то недавно был вынужден перейти на сертифицированные версии и еще не прошел по всем граблям — просим под кат.

В качестве вступления. Подборка типичных проблем была сформирована в ходе подготовки к одной из конференций на основе обращений в нашу техподдержку. Поэтому сразу предупреждаю, что хотя процедура сертификации одинакова для всех участников рынка, в примерах будет указано, для какой компании они действуют. А нюансы имеют место быть. Скажем у Доктор Веб дистрибутивы для сертифицированных по требованиям ФСТЭК/ФСБ продуктов разные (так как по тем же требованиям должны различаться зоны обновлений), а у Лаборатории Касперского — единый дистрибутив, видимо зоны обновлений разделяются иными способами.

Вступление закончено, перейдем к проблемам.

Проблема №1. А вы работаете на… (название конкретной ОС или продукта)

Тут сразу несколько проблем. Разберем на примерах.

Начнем с того, что данная подборка ответов делалась в преддверии конференции «Практика реализации программы на базе решений Astra Linux», поэтому тут вместо троеточия должно было быть Astra Linux Speсial Edition «Смоленск» версией 1.6. И сертифицированная версия (и естественно несертифицированная тоже) работают на данной версии. Но вот пользователи использовать ее не имеют права. Дело в том, что правила сертификации требуют, чтобы подаваемые на сертификацию продукты были протестированы на поддержку определенных ОС. И в формуляре, прилагающемся к сертифицированному дистрибутиву, перечисляются все эти операционные системы. И если в формуляре не указана Astra Linux версии 1.6 — использовать ее нельзя, хотя продукт (системные требования которого «glibc 2.12 и выше») вполне работает на этой версии.

Поддержка операционных систем, соответствующих описанным требованиям, по мере их выхода включается в список поддерживаемых в формуляре, но просто так сделать это производитель не может. Нужно пройти процедуру инспекционного контроля. А она не быстрая — ну никак не менее четырех месяцев.

Нам задают вопрос — а нельзя заранее синхронизировать выпуск новых ОС и прохождение ИК? Увы, но не получится. Так как кроме упомянутой Astra Linux от нас требуется поддержка AltLinux, Windows и так далее. А их даты релиза, увы, приходятся на разное время.

Соответственно рекомендация — заранее проверьте, что выбранную вами ОС поддерживают все необходимые вам сертифицированные продукты.

Все это неудобно и пользователям и производителям (поддержки -то требуют пользователи от них), но, увы, такова действующая процедура.

А иногда бывает так, что на вопрос пользователя мы отвечаем, что сертифицированная версия такую-то ОС или продукт не поддерживает. И тут зачастую тоже проблема в действующей процедуре. Так всем известно, что количество дистрибутивов того же Linux — громадно, при этом использование сертифицированного дистрибутива Linux не всегда обязательно. И пользователь может легко прийти с запросом на поддержку с редким дистрибутивом. А с производителя за включение каждой версии ОС или продукта требуют деньги. И немалые. В сумме сравнимые с доходом от продаж сертифицированных версий. Поэтому при подготовке к сертификации в список поддерживаемых включаются только очень востребованные ОС. Хотя работать будет сертифицированная версия на гораздо большем числе продуктов.

Немного отличается ситуация с сертификацией под требования Министерства Обороны. Здесь список ОС и продуктов, которые нужно поддержать, спускается из МО. Поэтому в ответ на просьбу пользователя о поддержке некой ОС — ему вполне могут ответить, что данная ОС не включена в список требуемых МО.

А совершенно обратная ситуация с тем же Windows 10. Билды этой ОС по факту — совершенно разные ОС. И хотя формально в формуляре стоит Windows 10 — поддержка нового билда будет только после очередного ИК. Да, минимум через месяца четыре, а то и позже.

Многие уверены, что сертифицированные версии выгодны производителям. Может кому и выгодны, но на уровне защитного ПО это редкостный геморрой и для производителя и для пользователей. Причем геморрой очень и очень дорогой.

Проблема №2. «Я обновился!»

Как известно, согласно текущей процедуре производитель должен в случае обнаружения уязвимостей обновлять свое ПО. Засада есть и тут. Обновление возможно только через процедуру ИК. Ага. Месяца четыре и платите деньги. А если не выпустите сертифицированное обновление — ваш продукт нельзя использовать.

Ну ладно, то плач Ярославны от вендора. Выпустили мы обновление, пользователь должен его поставить. Думаете все просто?

Свободно для скачивания сертифицированные дистрибутивы размещать нельзя. Нужно или купить медиа-пакет или обратиться в техническую поддержку — а потом все равно купить медиапакет. Разберемся, почему так.

Как уже было сказано, если сертифицированный дистрибутив нужен срочно и ждать поставки медиапакета невозможно, то клиент может обратиться в службу поддержки и запросить ссылки для скачивания сертифицированных версий и формуляра. Которые ему и будут предоставлены. К запросу надо приложить документы об оплате ранее купленного сертифицированного медиа-пакета. Зачем документы? Чтобы вендор убедился, что ссылки запрашивает именно клиент, а не абы кто.

Кроме ссылок на дистрибутивы техническая поддержка пришлет ссылки на формуляр и рекомендацию примерно следующего типа.

Формуляр следует распечатать, в разделе «Особые отметки» следует сделать пометки о замене формуляра RU.72110450.00300-10 30 02 с голографической наклейкой (знаком соответствия системы сертификации) на обновленный формуляр RU.72110450.00300-10 30 02 изм.4.

На замененном формуляре RU.72110450.00300-10 30 02 можно добавить — «Формуляр аннулирован. Знак соответствия системы сертификации (голографическая наклейка) действителен. Замененный формуляр следует хранить вместе с обновленным для сохранения знака соответствия системы сертификации.

Сделать это надо обязательно!

После этого нужно купить упомянутый медиа-пакет, так как сертифицированное ПО это не просто полученный вами дистрибутив. Сертифицированным считается ПО:

• прошедшее проверку соответствия в Системе сертификации средств защиты информации в соответствии с требованиями государственных стандартов и нормативных документов по защите информации;
• сертифицируемое на соответствие требованиям с параметрами, указанными в этих требованиях. Наиболее известными, но не единственными, сертификатами являются сертификаты ФСТЭК России и ФСБ России;
• дистрибутив которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре), и специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
• установленное и настроенное в соответствие с сертифицированными параметрами;
• контролируемое в процессе эксплуатации;
• каждый сертифицированный экземпляр, которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ должностных лиц органов, осуществляющих контроль за сертифицированными средствами защиты к учетной информации.

Что в медиа-пакет входит? Опять же в качестве примера медиапакет для сертифицированных ФСТЭК России версий Dr.Web 11:

• Фирменная коробка (как средство распространения);
• Лицензионный сертификат;
• 3 DVD-диска в фирменных конвертах с сертифицироваными дистрибутивами Dr.Web и документацией;
• Формуляр с голографической наклейкой, в котором содержатся;
• эталонные значения контрольных сумм сертифицированных продуктов.

Да, голографическая наклейка, которую раньше полагалось клеить на CD — до сих пор жива.

А вот ключ/серийный номер при обновлении покупать не нужно. Ключ (за всех вендоров не скажу, а у Доктор Веб так) одинаков и для сертифицированных и для несертифицированных версий. Таким образом, если вы переходите с обычных версий на сертифицированные — ключ менять не нужно.

Сколько нужно медиапакетов?

• 1 юридическое лицо = 1 медиакомплект;
• Если у клиента несколько удаленных филиалов, нужно столько медиакомплектов, сколько филиалов. При проверке со стороны регулятора удобнее иметь сертифицированный медиапакет на месте.

Переустанавливать уже установленное ПО после получения медиапакета с DVD не нужно.

Проблема № 3. Хочу потестировать!

Как было сказано выше — в свободном доступе дистрибутивов сертифицированных версий быть не может. Ключ может (как было сказано выше) использоваться от несертифицированной версии, а вот сами дистрибутивы нужно запросить. Опять за всех не скажу, но у Доктор Веб указать, что требуется именно сертифицированная версия можно при заказе демо-ключа. Если есть ключ, то дистрибутивы можно запросить или у компании, через которую вы осуществляете закупки или через техподдержку вендора.

При заказе нужно указать тип сертификации. Наиболее распространены МО, ФСТЭК, ФСБ.

Проблема № 4. Как получить обновления для замкнутой сети?

Не нужно использовать дополнительный сервер, ставить его снаружи сети и переносить обновления внутрь! Распространенная кстати ошибка. Как правило у вендоров есть возможность скачать обновления с помощью специальной утилиты. Опять же у Доктор Веб таковая есть и в составе ES и можно отдельно запросить эту утилиту (drwreploader) у техподдержки.

Зачем нужна утилита? При копировании вручную могут накопиться лишние файлы, которые надо удалять.

Проблема № 5. О подписи.

Это специфичная проблема AstraLinux. Дело в том, что в определенных режимах ее работы проверяется наличие у пакетов цифровой подписи «НПО РусБИТех».

Не нужно подписывать сертифицированные пакеты еще раз! Они уже подписаны, если в формуляре указана поддержка AstraLinux. После подписи контрольные суммы изменяются и уже не будут соответствовать указанным в формуляре.

Если есть вопросы спрашивайте, постараюсь ответить.

Источник

Информатизация здравоохранения Смоленской области

Информатизация здравоохранения Смоленской области

ОС Linux сертифицированные ФСТЭК РФ

ОС Linux сертифицированные ФСТЭК РФ

Сообщение bim2010 » 26 сен 2012, 14:40

Red Hat Enterprise Linux
ALT Linux
Trustverse Linux XP Desktop
Novell SUSE Linux Enterprise Server
Oracle Enterprise Linux
Astra Linux Special Edition
ОС МСВС
МСВСфера Server
ROSA 2011 (Mandriva)

Из документа «ЭЛЕКТРОННАЯ РЕГИСТРАТУРА ТЕХНИЧЕСКИЙ ПРОЕКТ НА СИСТЕМУ В ЦЕЛОМ.»:

Re: ОС Linux сертифицированные ФСТЭК РФ

Сообщение Щеголев Вадим » 17 ноя 2012, 23:30

Версия 1.2 релиза «Смоленск» операционной системы Astra Linux Special Edition
http://astra-linux.com/index.php?option . &Itemid=66

Сертифицированный ФСТЭК Mandriva Corporate Server 4.0 Update 3
http://shop.mandriva.ru/mandriva_corpor . tif_fstek/

Re: ОС Linux сертифицированные ФСТЭК РФ

Сообщение Щеголев Вадим » 18 ноя 2012, 17:18

Проверил сертифицированный релиз АльтЛинукса от 31.05.2012, есть недостатки, а именно отсутствие обязательных пакетов для работы с САМСОН-Виста:
— libqt4-sql-mysql
— python-module-PyQt4
— python-module-zsi

Желательных:
— Xrdp
— Ejabberd или OpenFire

Есть в наличии:
libqt4-gui (libqt4-gui-4.7.4-alt3.M60P.1.x86_64.rpm)
libqt4-core (libqt4-core-4.7.4-alt3.M60P.1.x86_64.rpm)
libqt4-sql (libqt4-sql-4.7.4-alt3.M60P.1.x86_64.rpm)
libqt4-svg (libqt4-svg-4.7.4-alt3.M60P.1.x86_64.rpm)
libqt4-xml (libqt4-xml-4.7.4-alt3.M60P.1.x86_64.rpm)

Как видим, АльтЛинукс не подходит для учреждений здравоохранения. Получается, всем учреждениям здравоохранения России придется сделать выбор: или ставить сертифицированный АльтЛинукс без САМСОН-Висты (зато соблюдаем ФЗ №152), или работать с несертифицированными ОС и САМСОН-Вистой, третьего не дано.

Хочу протестировать другие сертифицированные дистрибутивы Линукса.

Re: ОС Linux сертифицированные ФСТЭК РФ

Сообщение bim2010 » 19 ноя 2012, 15:39

Дано: не ставить перечисленные пакеты. Использовать Альт Линукс только как сервер баз данных. На сервере только Mysql (как в инструкции с установкой под Centos). Работать в 2 сервера.

Re: ОС Linux сертифицированные ФСТЭК РФ

Сообщение Щеголев Вадим » 19 ноя 2012, 17:48

Re: ОС Linux сертифицированные ФСТЭК РФ

Сообщение bim2010 » 20 ноя 2012, 13:52

Re: ОС Linux сертифицированные ФСТЭК РФ

Сообщение dino7545 » 16 янв 2013, 00:03

Я почти уверен, что к настоящему моменту времени многое уже стало известным и без меня, но всё же отмечу, что все нужные пакеты есть, но они могут находиться на дополнительных репозиториях АльтЛинукс, подключаемых в Synaptic. Эти репозитории являются репозиториями с сертифицированным ПО для сертифицированного дистрибутива AltLinux 6 spt. На это указывает в Synaptic-Параметры-Репозитории столбец Поставщик со значением cert6 (сертифицировано, для версии 6) и столбец URI с указанием адресов официальных ftp серверов компании АльтЛинукс.

Приходится обращать внимание на тот дистрибутив, с которым работаешь, и его постигать. А то изучаешь, работаешь, настраиваешь, а приходишь на работу, а там установлен не твой любимый дистрибутив.
Но если изучать что-либо для души, или для развития, то я бы обратил внимание (именно в таком порядке) на: 1. Novell SUSE Linux Enterprise Server (платный, но очень удобный и стабильный с его KDE и Yast2) и его свободного брата OpenSUSE (отличная рабочая станция) 2. Red Hat Enterprise Linux (платный) и его свободного брата CentOS (отличный серверный вариант), 3. на АльтЛинукс (его наряду с Ubuntu в первых рядах даже для своих серверов использует Wine@Etersoft, а это многого стоит!), и 4. ROSA 2011 (Mandriva) — но только лишь потому, что здесь есть слово Мандрива.

Есть ещё неплохой вариант Mandriva 2008 PowerPack на 2х DVD с включенным в него лицензией Wine@Etersoft. Но. 2008 год — это уже было давно, и хотя там использовали KDE 3.5, но стабильность и радость для глаза там невысокие. И обновления у них распространяются на дисках(!), в отличие от АльтЛинукса, который имеет онлайн репозитории.

А вообще в начале я кривился немного от АльтЛинукса и его «особенностей», но наличие нужного для работы и дома софта, красота шрифтов и стабильность меня порадовали. Кривизна есть в любом дистрибутиве — там или сям. Но так как по моему мнению серверный дистрибутив должен как можно ближе соответствовать мейнстриму (например иметь такую структуру папок, которая отвечает настройкам установки общераспространённого и нужного стороннего софта и позволит установить даже те пакеты, которых нет в репозиториях, но которые есть на сайте производителя в виде исходных текстов или бинарных файлов под нужную архитектуру, но не под конкретный дистрибутив, а также иметь стандартные настройки для таких важных серверов как DHCP, DNS или Samba), а именно в этом АльтЛинукс отклоняется в свою специфику настолько, что это становится его заметным мешающим и препятствующим минусом при установке и настройке необходимого мне софта, то я бы предпочёл ему другой дистрибутив, а именно RedHat или SUSE.

Но мастерство специалиста проявляется именно тогда, когда он способен гибко лавировать даже среди «неудобных» «особенностей» оборудования или ПО. У меня был знакомый кмс по настольному теннису. Так он из всех предложенных ему ракеток всегда выбирал самую «лысую» и «деревянную». И почти всегда выигрывал именно этой ракеткой (ну несколько раз всё же проиграл). Мастеру ничто не помеха, одним словом.

Источник