Аттестация объектов

kronin

New member
Сообщения
6
#1
Здравствуйте подскажите при аттестации объектов на Win используем Средство создания модели системы разграничения доступа "Ревизор 1 ХР", Средство контроля защищенности от НСД "Ревизор 2 ХР". В случаи использования заказчиком Astra Linux® Special Edition какими похожими программами порекомендуете пользоваться.
 

Денис

New member
Сообщения
11
#2
Если аттестация проводится в соответствии с требованиями ФСТЭК, то пока нет таких средств. В базе сертификатов на официальном сайте есть не понятный ревизор 1 и ревизор 2 заявитель КРАСМАШ они по 3 уровню НДВ и фикс юникс...
 
Сообщения
32
#3
А разве в SE что-то еще нужно дополнительно ставить для аттестации? Зачем тогда отдавать такие немерянные деньги за SE? Мы вот купили CE и хотим ставить на них Dallas Lock'и d в качестве средств от НСД для аттестации ИСПДн.
 

Montfer

New member
Сообщения
2 364
#4
Полистайте форум, бывали случаи, что аттестовывали астру se для гт с установленной офисной программой, не входящей в состав ОС. Для ПДн и подавно должны аттестовать без доп.программ. Ну, а АПМДЗ все таки надо будет поставить. Наверно. Крч, консультируйтесь с организацией, которая будет вас аттестовывать
 

Денис

New member
Сообщения
11
#5
Если говорим про гос. тайну (в соотв. с треб. ФСТЭК) на текущий момент:
1. Есть защищенная ОС это отлично...(есть сертификат ФСТЭК).
2. Нужен антивирус, который должен соответствовать требованиям ФСТЭК.., под 1.6. пока нет, но скоро будет(есть по 4 уровню НДВ можем аттестовать только конфу).
3. Нет ПО для контроля защищенности, всё что встроенное в ALSE не имеет сертификата как средства КЗИ...
4. Нет ПО КЗИ по ПЭМИН....
5. ПО для контроля Инспектор которое развивает Эшелон, так же по 4 уровню НДВ только под конфу....
По этому если пока аттестация ОИ под ГТ пока не возможна... Не судите за мое мнение может еще не все РД изучил, но думаю это главные вопросы на текущий момент.....
 

Денис

New member
Сообщения
11
#7
Она не является антивирусом, средством обнаружения вторжений, средством КЗИ, итд...
DALLAS на неё не нужно она сама является СЗИ... вы могли поставить любую Ubunty и на неё накатить Dallas...
 

Денис

New member
Сообщения
11
#8
Если есть дополнения или я в чем то ошибаюсь пишите сюда я считаю это глобальная тема.. кто стесняется моя почта REMNSD@YANDEX.RU
 

cogniter

Moderator
Team Astra Linux
Сообщения
538
#9
Если говорим про гос. тайну (в соотв. с треб. ФСТЭК) на текущий момент:
1. Есть защищенная ОС это отлично...(есть сертификат ФСТЭК).
2. Нужен антивирус, который должен соответствовать требованиям ФСТЭК.., под 1.6. пока нет, но скоро будет(есть по 4 уровню НДВ можем аттестовать только конфу).
3. Нет ПО для контроля защищенности, всё что встроенное в ALSE не имеет сертификата как средства КЗИ...
4. Нет ПО КЗИ по ПЭМИН....
5. ПО для контроля Инспектор которое развивает Эшелон, так же по 4 уровню НДВ только под конфу....
По этому если пока аттестация ОИ под ГТ пока не возможна... Не судите за мое мнение может еще не все РД изучил, но думаю это главные вопросы на текущий момент.....
Касперский 10 сертифицирован под Астру 1.6
 
Сообщения
1
#10
В итоге, не совсем понял. Если требуется провести атт.объекта двухбуквенную, мы всё же должны использовать СЗИ(сторонние) от НСД?
С антивирусом ситуация понятна,
 
Последнее редактирование:
Сообщения
1
#12
В теме, ИМХО правильно поднят вопрос дополнительного ПО для аттестации под ГТ.
В качестве сертифицированного антивируса, вроде можно использовать сертиф. Dr. Web и KES 11 (по поводу уровня НДВ не смотрел еще).
В качестве дов. загрузки должны подойти платы типа Соболь, Dallas Lock и др. (пока не пробывал, но в ближайшее время Соболь будем пробывать).
Далее идет ПО которое нужно ТОЛЬКО для лицензиатов ФСТЭК для аттестации (но от этого не менее нужное):
По поводу тестов ПЭМИН - есть тесты от "Профиль защиты" (тесно связана с "ЦБИ", г. Юбилейный). Цена вопроса - 50 тыщ. Либо измерять под виндой а потом накатывать АСТРУ с теми же параметрами работы устройств :rolleyes:, хотя вариант спорный..).
Программы контроля защиты информации: тут я видел только вышеупомянутый FIX Unix. Чем проверять разграничение ресурсов не ясно. Да и сами ресурсы на локальной машине как разграничить не ясно..
 

oko

New member
Сообщения
1 257
#13
Primo, по линии ФСТЭК НДВ теперь в прошлом - читайте соответствующий открытый приказ по ОУД. По-идее, до конца года все производители должны обновить сертификаты, в которых говорилось про НДВ, до "оценочного уровня доверия". Но касается это в первую голову СЗИ НСД, потому что ОС, СДЗ, АВЗ, МЭ и СОВ сертифицируются по соответствующим Профилям (пока, во всяком случае, их не обновили). Так что к Astra Linux это отношения особого не имеет...
Secundo, по линии МО РФ и ФСТЭК России достаточно Astra Linux + KES11 или DrWeb10(11) для прохождения аттестации вплоть до многопользовательских АС с 2 буквами. С СДЗ, кстати, есть нюансы - читайте закрытую нормативку. По линии ФСБ (ФСО) все еще веселее и не для обсуждения на форуме...
Tertio, тесты ПЭМИН написать не сложно. Если очень нужны - могу скомпилить под нужную версию Астры и сбросить (пишите в личку). Имеются на все основные интерфейсы, кроме, пожалуй, принтера (но там не сложно и без теста, ага). Естественно, сертификацию не проходили (хотя имеется свидетельство о гос.регистрации)...
Quatro, разграничение доступа проверяется встроенными средствами самотестирования parsec-tests. Уже много раз обсуждалось - это декларированный и оправданный путь проверки. А те же Ревизоры XP под Win - убожество, которому давно пора на свалку (как и всему софту от ЦБИ)...
 

Hokku San

New member
Сообщения
31
#14
В качестве дов. загрузки должны подойти платы типа Соболь, Dallas Lock и др. (пока не пробывал, но в ближайшее время Соболь будем пробывать).
Учтите, что офф. пакет sobol_3.0.m2-3-astra1.6_amd64.deb для платы версии 3.2 не будет работать в ЗПС.
Нужно обращаться к SecurityCode за предоставлением подписанной версии, официальный выход которой планируется весной 2020 года.

Про версию платы 4 ничего не могу сказать, ибо не используем. Но скорее всего ситуация такая же.
 

Денис

New member
Сообщения
11
#15
parsec-tests - проверяет работоспособность СЗИ (подсистем), а не права доступа навешанные на информационные ресурсы. Так же средства контроля защищенности должны иметь сертификат как средства контроля....
 

oko

New member
Сообщения
1 257
#16
to Денис
parsec-test включает в себя комплекс проверок. Настройку мандатной подсистемы в примитиве тоже (создание файла, присвоение метки, чтение/запись из-под различных сеансов). Другой вопрос, что де факто это очковтирательство, потому что АС бывают разными. Но никто не мешает тестировать работоспособность вручную - орган по аттестации один черт всегда в ответе за каждое свое движение и каждую букву протокола/заключения...
ФСТЭК до сих пор не утвердила Профиль защиты по АНЗ. Поэтому подобные средства до сих пор сертифицируются только по НДВ (читай, теперь по ОУД), чтобы их было возможно применять в АС той или иной категории. Иных требований сертификации к ним не предъявляется за исключением ТУ, которые никто (из простых смертных) никогда не видел...
По линии МО РФ аналогичная схема потому что ноги растут из одного и того же места...
 

Денис

New member
Сообщения
11
#17
to Денис
parsec-test включает в себя комплекс проверок. Настройку мандатной подсистемы в примитиве тоже (создание файла, присвоение метки, чтение/запись из-под различных сеансов). Другой вопрос, что де факто это очковтирательство, потому что АС бывают разными. Но никто не мешает тестировать работоспособность вручную - орган по аттестации один черт всегда в ответе за каждое свое движение и каждую букву протокола/заключения...
ФСТЭК до сих пор не утвердила Профиль защиты по АНЗ. Поэтому подобные средства до сих пор сертифицируются только по НДВ (читай, теперь по ОУД), чтобы их было возможно применять в АС той или иной категории. Иных требований сертификации к ним не предъявляется за исключением ТУ, которые никто (из простых смертных) никогда не видел...
По линии МО РФ аналогичная схема потому что ноги растут из одного и того же места...[/QU
 

Денис

New member
Сообщения
11
#18
to Денис
parsec-test включает в себя комплекс проверок. Настройку мандатной подсистемы в примитиве тоже (создание файла, присвоение метки, чтение/запись из-под различных сеансов). Другой вопрос, что де факто это очковтирательство, потому что АС бывают разными. Но никто не мешает тестировать работоспособность вручную - орган по аттестации один черт всегда в ответе за каждое свое движение и каждую букву протокола/заключения...
ФСТЭК до сих пор не утвердила Профиль защиты по АНЗ. Поэтому подобные средства до сих пор сертифицируются только по НДВ (читай, теперь по ОУД), чтобы их было возможно применять в АС той или иной категории. Иных требований сертификации к ним не предъявляется за исключением ТУ, которые никто (из простых смертных) никогда не видел...
По линии МО РФ аналогичная схема потому что ноги растут из одного и того же места...


Прочитал... НДВ поменялось на ОУД только и всего... В Сертификате на Астру не написано что там есть средства контроля, как в том же FixUnix и др. средствах, да и как она сама себя будет проверять имея ндв, логичнее подразумевать что средства контроля должны быть сторонними...[/QUOTE]
 

oko

New member
Сообщения
1 257
#19
to Денис
В сертификате указано, на что сертифицирована Astra Linux SE. Поглядите Профиль защиты ИТ.ОС.А2.ПЗ (или А1.ПЗ, но вряд ли его найдете). Документ с буквой, поэтому комментировать не буду. Но ответ про средства самоконтроля найдете именно там...
И, вне зависимости от фактического состояния дел, заявлять об НДВ в ОС, сертифицированной до категории "особой важности", imho, не следует. Уязвимости, да, возможны. Но что устаревшие РД НДВ, что текущие с ОУД подразумевают несколько иное...

ЗЫ С другой стороны, разработчиком Astra Linux не являюсь. Нехай администрация форума сама ищет аргументы на скользкие вопросы :)