to Aleks
Сдается мне, вы не до конца понимаете смысл роли "Админа ИБ". Если дать "Системному админу" полные права к системе (а кому-то из них двоих оные права нужно-таки дать), а "Админу ИБ" права только к консолям управления СЗИ, то "Сисадмин" сможет обойти ограничения СЗИ, совершить атаку любого типа и, что важнее всего, подчистить/модифицировать следы совершенной атаки. При этом на большинстве объектов вне зависимости от степени конфиденциальности обрабатываемой информации "Сисадмин" должен иметь меньший уровень доверия (в контексте обеспечения безопасности), чем "Админ ИБ", ага...
imho, в текущей реализации ALSE сложно полноценно разделить роли "Сисадмина" и "Админа ИБ". Разве что лицу, являющемуся админом ИБ дать в руки уч.запись, созданную при установке системы, а системному администратору создать нового юзера, не вводить его в группу astra-admin, но прописать кучу прав sudoers. И модифицировать утилиту passwd так, чтобы никто в системе не мог сменить пароль root (тем самым его "включив", ага). И логирование большинства операций реализовать так, чтобы уч.записи системного администратора оно было недоступно на редактирование...
Но это так, мысли вслух. Нужно смотреть на конкретику АС/ИС, в которой вы хотите разделить роли. И на целесообразность реализации подобного разделения на уровне ОС, а не организационными или иными мерами...