К Астре не предъявляются требования к 1Б. 1Б - это класс автоматизированной системы, которую строят с использованием различных средств вычислительной техники (СВТ). К Астре предъявляются требования к СВТ. И сертификат был получен именно на это.
С использованием каких средств и механизмов закрывать требования к АС решает конструктор оной.
Требования предъявляются к СЗИ НСД, которые являются частью ОС Astra-Linux, или вы предлагается в АС использовать еще и дополнительные средства защиты информации поверх СЗИ Астры?
Я не с целью критики любопытствую, я как раз и являюсь тем конструктором, который пытается собрать АС удовлетворяющую требованиям 1Б не формально, а на практике. И, честно говоря, получается это с трудом. Очень много не доработок куда ни ткни. Ну вот к примеру.
целостность ядра и основных модулей из Астры проверяют в СДЗ (средстве доверенной загрузки)
Это АПМДЗ Максим-М1. На бумаге гладко. По факту, с аппаратного RAID массива загрузить ОС не может (с этим хоть вывернулись переключив BIOS в UEFI и переинсталлировав операционку), проверить контрольные суммы на аппаратном RAID-e тоже не может. В документации об этом ни слова.
Про проверку подписи исполняемых файлов я написал выше. Это не защищает от подмены файлов. AFICK да, может быть решением, но тут спорный вопрос с "динамичностью".
РУК_КСЗ2 описана вся процедура
Это про периодическое тестирование функций СЗИ. Прекрасно что это есть, плохо что в описании "всей процедуры" не написано вот это
pdp-flbl 255:0:-1:CCNRALL /
и что нужно и как вернуть обратно мандатную метку на корень ФС тоже не написано. Не описано в документации, что после проведения тестов в корне ФС остается пайп testfifo (а может и еще где-то? где?). Не описано, что после проведения процедуры тестирования СЗИ afick даст срабатывание на изменение каталога. (Да можно исключить проверку mtime, но опять же в документации не говориться про это).
# max_checksum_size:=10000000
# dbm:=GDBM_File
# last run on 2018/06/04 16:47:59 with afick version 2.11-1
changed directory : /etc/security
# detailed changes
changed directory : /etc/security
mtime : Mon Jun 4 16:00:36 2018 Mon Jun 4 16:49:05 2018
И вообще-то это должно приводить к блокировке СВТ.
В общем, при более менее строгом подходе к выполнению требований, возникает масса вопросов. А заказчик сейчас грамотный, на руководящие должности назначаются 30 летние офицеры, для которых Linux и компьютер это не черный ящик. Они знают куда и на что смотреть. Формальными отговорками не обойтись.
Вот знаете, очень полезно было бы составить список файлов, относящихся именно к системе СЗИ НСД. И сделать для afick профиль тестирования соответствующий.