Бюллетени безопасности и аттестация

Saniaib

New member
Сообщения
23
#1
1. На чистую SE есть сертификат соответствия и документация. Аттестовал АРМпо ГТ. Можно ли ставить обновления, ведь с каждым обновлением меняются контрольные суммы файлов (в сравнении с чистой сертифицированной SE), бывает обновляется ядро ОС, а также более свежие пакеты влияющие на НСД встроенное в SE. Соответственно, нужно ли проходить после каждого обновления переаттестацию, с учётом вышеописанных особенностей коммулятативных обновлений? Есть ли сертификат соответствия на обновлёния или рекомендациионных письма от ФСТЭК, что после таких обновлений SE переаттестация лабораторией не требуется?
2. Стоит чистая SE. Но для работы плоттера HP требуется более свежий пакет hplip (которого нет в шестом обновлении, но который индивидуально предоставил Русбиттех). Соответственно, плоттер заработал только с новым пакетом этих драйверов, но теперь SE не может пройти встроенный контроль целостности. Можно ли и на каком основании аттестовать такие АРМ?
 

Montfer

New member
Сообщения
2 364
#2
Мне кажется, что вам нужно писать не сюда, подавать запрос в ваш аттестационный орган.
 

Saniaib

New member
Сообщения
23
#3
Как раз таки на эти вопросы может ответить Русбиттех, думаю они очень популярны при аттестации. Вопросы связаны именно с обновлениями Астры!
 

oko

New member
Сообщения
1 257
#4
to Saniaib
Начинать такие посты надо с ответа на минимум два вопроса: какие сведения обрабатываются в АС и линия регулятора какая: АС в МО РФ, АС в органах ФСБ, АС "гражданского назначения" (читай, приоритет ФСТЭК)?
Поэтому ответы будут в большинстве своем "векторными":
  1. Вас не смущает, что сертификат той же ФСТЭК выдан на все версии Astra Linux? И, что любопытно, формального запрета юзать, например, ALSE 1.3 нет, хотя ее поддержка давно прекращена. О более древних версиях и говорить не приходится...
  2. По линии ФСТЭК см. относительно новое положение по сертификации, доступное у них на сайте (Приказ 55). Там все сказано и на тему "зачем производитель устраняет уязвимости и доводит их до потребителей ДО проведения инспекционного контроля", и на тему "что станет с сертификатом, если уязвимости не устранять", и т.д., и т.п.
  3. Обновления подписаны ЭП с ключом МО РФ (что, в целом, не противоречит Положению сертификации ФСТЭК), включая ядро и ППО...
  4. Та же ФСТЭК много раз грозилась, что распишет правила обновления СЗИ, устранения в них уязвимостей и доставки всего этого до эксплуатантов. Потом вроде переложила все на плечи производителей, но... короче, пока что это правовая дыра, которая, в целом, должна волновать не аттестаторов и тем более не эксплуатантов...
  5. Проходят ли эти обновления инспекционный контроль и какова задержка между их публикацией и получением результатов контроля - это спрашивайте у РусБИТех напрямую. Рекомендую официальным письмом за подписью "серьезного человека", чтобы повысить шансы...
Последнее. Добавление ППО, драйверов и проч. из каких-либо источников кроме стандартного репозитория ALSE - это больше вопрос установленной у вас политики безопасности. И, если при аттестации тупо ставят галочки по принципу "(не)проходит контроль", а не анализируют влияние установленного софта на защищенность АС, - рекомендую менять орган по аттестации, ага...
 

Saniaib

New member
Сообщения
23
#5
to Saniaib
Начинать такие посты надо с ответа на минимум два вопроса: какие сведения обрабатываются в АС и линия регулятора какая: АС в МО РФ, АС в органах ФСБ, АС "гражданского назначения" (читай, приоритет ФСТЭК)?
Поэтому ответы будут в большинстве своем "векторными":
  1. Вас не смущает, что сертификат той же ФСТЭК выдан на все версии Astra Linux? И, что любопытно, формального запрета юзать, например, ALSE 1.3 нет, хотя ее поддержка давно прекращена. О более древних версиях и говорить не приходится...
  2. По линии ФСТЭК см. относительно новое положение по сертификации, доступное у них на сайте (Приказ 55). Там все сказано и на тему "зачем производитель устраняет уязвимости и доводит их до потребителей ДО проведения инспекционного контроля", и на тему "что станет с сертификатом, если уязвимости не устранять", и т.д., и т.п.
  3. Обновления подписаны ЭП с ключом МО РФ (что, в целом, не противоречит Положению сертификации ФСТЭК), включая ядро и ППО...
  4. Та же ФСТЭК много раз грозилась, что распишет правила обновления СЗИ, устранения в них уязвимостей и доставки всего этого до эксплуатантов. Потом вроде переложила все на плечи производителей, но... короче, пока что это правовая дыра, которая, в целом, должна волновать не аттестаторов и тем более не эксплуатантов...
  5. Проходят ли эти обновления инспекционный контроль и какова задержка между их публикацией и получением результатов контроля - это спрашивайте у РусБИТех напрямую. Рекомендую официальным письмом за подписью "серьезного человека", чтобы повысить шансы...
Последнее. Добавление ППО, драйверов и проч. из каких-либо источников кроме стандартного репозитория ALSE - это больше вопрос установленной у вас политики безопасности. И, если при аттестации тупо ставят галочки по принципу "(не)проходит контроль", а не анализируют влияние установленного софта на защищенность АС, - рекомендую менять орган по аттестации, ага...
1. Все АС по ГТ до СС
2. Мы и есть аттестующий орган одной из структур, аттестуем свои же объекты. С Астрой без обновлений всё понятно, есть все документы к Астре, но вот по её коммутативным обновлениям нет никакой информации. Да на сайте Русбиттех пишет, что закрыты такие-то уязвимости, но нет нигде информации об отсутствии влияний их на средства встроенной защиты от НСД. При каждом коммутативном обновлении меняются контрольные суммы пакетов, которые прописаны в формуляре/паспорте на Astra Linux SE 1.6. Таким образом получается несоответствие паспорта/формуляра с АРМ после к примеру 6-го обновления. Как нам аттестовать такие АРМ не понятно. Нигде поясняющих писем на эту тему от ФСТЭК и Русбиттеха не нашли.
3. Да Русбиттех обязан клипать обновления, устраняющие уязвимости к Астре, но где инспекционный контроль этих обновлений?
 

Montfer

New member
Сообщения
2 364
#6
Представители РБТ писали, что после обновления контрольные суммы брать новые, которые поставляются с обновлениями. А в формуляре нельзя прописать новые кс или делать пометки о проведенном обновлении?
 

Saniaib

New member
Сообщения
23
#7
Можно, но встаёт вопрос законности обновления того, что не прошло инспекционный контроль в ФСТЭК. Т.е. я так понимаю, процедура такая: разработчик выпускает (не публикуя обновления), передаёт их на инспекционный контроль в ФСТЭК, где ФСТЭКовская лаборатория оценивает эти обновления и выдаёт заключения по этим обновлениям, что обновы не только устраняют уязвимости, но и не нарушают встроенные средства от НСД в самой ОС. После Русбиттех публикует обновления. Предпологаю, что именно так это должно происходить. Тогда где же эта документация на обновления, ибо если её нет, то и аттестация АРМ (с предварительно установленными обновлениями или даже после аттестации) с такими обновлениями не возможна (лаборатория, аттестующая объект не знает, что же засунул в обновление разработчик).
 

Saniaib

New member
Сообщения
23
#8
С другой стороны, был прецедент: https://fstec.ru/normotvorcheskaya/...fstek-rossii-ot-12-aprelya-2016-g-240-24-1649
Где написано в конце документа: "Дополнительно обращаем внимание на то, что обновление средств защиты информации не является основанием для повторной аттестации информационных систем. Все работы по обновлению средств защиты информации проводятся в рамках действующих аттестатов соответствия на информационные системы". А на основании чего это написано? Видимо есть какой-то предшествующий документ? Или это только относилось к Secret Net, ведь письмо о нём.
 

oko

New member
Сообщения
1 257
#9
to Saniaib
Если вы являетесь органом по аттестации и вас реально напрягает данная ситуация, то почему бы официально не запросить разъяснений:
  • по части наличия результатов инспекционного контроля на обновления безопасности у РусБИТеха;
  • по части установленного регламента обновлений, согласованного со ФСТЭК России, у РусБИТеха;
  • по части правомочности применения обновлений в ЦА ФСТЭК России.
Что касается ситуации с SN6/SN7, да и с другими СЗИ - и тогда, и сейчас, насколько я знаю, ФСТЭК "закрыла глаза" на публикацию обновлений, устраняющих критические уязвимости, ДО проведения инспекционного контроля. Контроль позже, разумеется, был проведен. И появилась новая сборка SN, в которой уязвимости уже отсутствовали, и которую Кот-в-Безопасности продавал эксплуатантам в дальнейшем. НО! Формально, сертификат соответствия распространялся и на старые сборки. Однако, при аттестации, явным нарушением было юзать старые сборки СЗИ без наличия указанных патчей-заплаток - на основании инфосообщения ФСТЭК России и переработанного формуляра на СЗИ от производителя...
Предлагаю вам действовать аналогично. В сущности, важно реальное отсутствие известных уязвимостей, чем формальное несоответствие предыдущим правилам эксплуатации. Повторюсь, на основании Приказа 55 неустранение уязвимостей не позволяет продлить срок действия сертификата соответствия (а то можно и вообще получить его отзыв... что в случае с ALSE маловероятно, конечно, но не исключено)...

ЗЫ Ждем заверенный и универсальный порядок обновлений/устранения уязвимостей от ФСТЭК. И профили защиты виртуализации. И новый НМД по НСД в ГТ. И... короче, ждем...