МЭ в составе AstraLinux SE

user7f

New member
Сообщения
15
#1
В составе AstraLinux SE есть сетевой экран Gufw Firewall, как я понял в астре его можно применять как сертифицированный МЭ.
Вопрос такой, Gufw это единственный вариант сертифицированного МЭ в астре?
А если как альтернативу использовать iptables это будет считаться сертифицированным МЭ?
Например мне Gufw не удобен в работе и предпочитаю iptables, но я не уверен что при аттестации использование iptables будет признано как сертифицированное СЗИ МЭ.
 

Fd1501h

Moderator
Сообщения
671
#2
В составе AstraLinux SE есть сетевой экран Gufw Firewall, как я понял в астре его можно применять как сертифицированный МЭ.
Вопрос такой, Gufw это единственный вариант сертифицированного МЭ в астре?
А если как альтернативу использовать iptables это будет считаться сертифицированным МЭ?
Например мне Gufw не удобен в работе и предпочитаю iptables, но я не уверен что при аттестации использование iptables будет признано как сертифицированное СЗИ МЭ.
Астра не сертифицирована по классу МЭ.
gufw это просто gui для ufw, а ufw надстройка на iptables.
 

user7f

New member
Сообщения
15
#3
Астра не сертифицирована по классу МЭ.
gufw это просто gui для ufw, а ufw надстройка на iptables.
Вот это интересно уже. Я задавал вопрос представителям AstraLinux по применению МЭ в сертифицированной версии, мне сказали что сертификат ФСТЭКа распространяется на все пакеты, входящие в состав AstraLinux и применение встроенного МЭ как СЗИ допускается.
Вы говорите что МЭ экран gufw нельзя использовать как СЗИ при аттестациях, это ваше личное мнение или вы это у разработчиков узнали?
 

cogniter

Moderator
Team Astra Linux
Сообщения
392
#4
Вот это интересно уже. Я задавал вопрос представителям AstraLinux по применению МЭ в сертифицированной версии, мне сказали что сертификат ФСТЭКа распространяется на все пакеты, входящие в состав AstraLinux и применение встроенного МЭ как СЗИ допускается.
Вы говорите что МЭ экран gufw нельзя использовать как СЗИ при аттестациях, это ваше личное мнение или вы это у разработчиков узнали?
Сертификат получен на соответствие требованиям к операционным системам, а не на соответствие требованиям к межсетевым экранам.

Это разные требования и разные сертификаты
 

user7f

New member
Сообщения
15
#5
Сертификат получен на соответствие требованиям к операционным системам, а не на соответствие требованиям к межсетевым экранам.

Это разные требования и разные сертификаты
Дело в том что на всех доступных вебинарах/презентациях позиционировалось, что все СЗИ уже есть "в коробке" , только антивирус требуется докупать (СКЗИ не считаю). Если сетевой экран требуется докупать отдельно, как наложенное СЗИ, это уже усложняет ситуацию при аттестации. Я не видел каких то публикаций по поводу тестирования и совместимости сертифицированных МЭ с Астра Линукс, да и вообще это актуально для всех дистрибутивов линукс.
Тут еще возникает другой вопрос, насколько целесообразней приобретатать астру спешиал эдишн, если тогда можно купить недорогую коммон эдишн и закупить для нее наложенные СЗИ, т.к в более дорогой астре спешиал эдишн оказывается нужно докупать наложенные СЗИ.

Вы можете порекомендовать сертифицированные МЭ для рабочих станций совместимые с астрой?
 

cogniter

Moderator
Team Astra Linux
Сообщения
392
#6
Дело в том что на всех доступных вебинарах/презентациях позиционировалось, что все СЗИ уже есть "в коробке" , только антивирус требуется докупать (СКЗИ не считаю). Если сетевой экран требуется докупать отдельно, как наложенное СЗИ, это уже усложняет ситуацию при аттестации. Я не видел каких то публикаций по поводу тестирования и совместимости сертифицированных МЭ с Астра Линукс, да и вообще это актуально для всех дистрибутивов линукс.
Тут еще возникает другой вопрос, насколько целесообразней приобретатать астру спешиал эдишн, если тогда можно купить недорогую коммон эдишн и закупить для нее наложенные СЗИ, т.к в более дорогой астре спешиал эдишн оказывается нужно докупать наложенные СЗИ.

Вы можете порекомендовать сертифицированные МЭ для рабочих станций совместимые с астрой?
Совместимость МСЭ с Астрой актуальна в случае, если вам нужно пробрасывать мандатные метки в траффике через МСЭ. таким МСЭ, например является Рубикон от Эшелона.

Если мандатные метки не нужны, то какую совместимость с Астрой вы имеете виду?
 

user7f

New member
Сообщения
15
#7
Совместимость МСЭ с Астрой актуальна в случае, если вам нужно пробрасывать мандатные метки в траффике через МСЭ. таким МСЭ, например является Рубикон от Эшелона.

Если мандатные метки не нужны, то какую совместимость с Астрой вы имеете виду?
Мандатные метки не нужны.

При внедрении СЗИ на Windows персональный МЭ, как правило входит в состав СЗИ НСД. Наиболее популярные варианты: СЗИ НСД Dallas-Lock с модулем МЭ или CЗИ НСД Secret Net Studio с модулем МЭ, также если в системе используется Vipnet Client, то можно применить МЭ в его составе.
Т.е в среде Windows все уже давно придумано и работает, вопросов нет.

А в линуксе мне неизвестны недорогие сертифицированные решения по классу МЭ, которые еще к тоже работают не только в теории, но и в действительности.
Поэтому я и спрашиваю, можете ли вы привести пример сертифицированных МЭ по адекватной Windows-эквивалентам цене, которые могут использоваться в Astra Linux?
 

cogniter

Moderator
Team Astra Linux
Сообщения
392
#8
Мандатные метки не нужны.

При внедрении СЗИ на Windows персональный МЭ, как правило входит в состав СЗИ НСД. Наиболее популярные варианты: СЗИ НСД Dallas-Lock с модулем МЭ или CЗИ НСД Secret Net Studio с модулем МЭ, также если в системе используется Vipnet Client, то можно применить МЭ в его составе.
Т.е в среде Windows все уже давно придумано и работает, вопросов нет.

А в линуксе мне неизвестны недорогие сертифицированные решения по классу МЭ, которые еще к тоже работают не только в теории, но и в действительности.
Поэтому я и спрашиваю, можете ли вы привести пример сертифицированных МЭ по адекватной Windows-эквивалентам цене, которые могут использоваться в Astra Linux?
к сожалению, я не мониторю рынок МСЭ, тут надо обращаться к соответствующим производителям
 

kdewyz

New member
Сообщения
36
#9
Если не ошибаюсь, Астра сертифицирована по РД СВТ (3 класс) и РД НДВ (2 уровень). Посему Астра может использоваться в качестве СЗИ от НСД, и всё.
Она не сертифицирована на СОВ, САВЗ, МЭ, СДЗ и пр.
Либо разработчики Вам не всё рассказывают, либо слушатели не всё понимают...
 

cogniter

Moderator
Team Astra Linux
Сообщения
392
#10
Если не ошибаюсь, Астра сертифицирована по РД СВТ (3 класс) и РД НДВ (2 уровень). Посему Астра может использоваться в качестве СЗИ от НСД, и всё.
Она не сертифицирована на СОВ, САВЗ, МЭ, СДЗ и пр.
Либо разработчики Вам не всё рассказывают, либо слушатели не всё понимают...
Астра сертифицирована на соответствие требованиям ФСТЭК: Требования к ОС (А второго класса защиты. ИТ.ОС.А2.ПЗ)
 

kdewyz

New member
Сообщения
36
#12
Нам с Астрой прислали сертификат 2557 на соответствие НДВ и СВТ. Правда, срок действия на нём - до 27.01.2018
На сайте ФСТЭК по этому же сертификату, продленному до 2012 года, Астра соответствует 2 классу ОС.
Это одно и то же? РД АС и РД СВТ ещё никто не отменял.
 

cogniter

Moderator
Team Astra Linux
Сообщения
392
#13
Нам с Астрой прислали сертификат 2557 на соответствие НДВ и СВТ. Правда, срок действия на нём - до 27.01.2018
На сайте ФСТЭК по этому же сертификату, продленному до 2012 года, Астра соответствует 2 классу ОС.
Это одно и то же? РД АС и РД СВТ ещё никто не отменял.
В 2016 году ФСТЭК приказом 119 для ОС введены новые требования. То есть для всего остального есть СВТ и НДВ, а для ОС уже есть свои отдельные требования.

такие специальные требования давно есть и для МСЭ
 

user7f

New member
Сообщения
15
#14
Если не ошибаюсь, Астра сертифицирована по РД СВТ (3 класс) и РД НДВ (2 уровень). Посему Астра может использоваться в качестве СЗИ от НСД, и всё.
А вы используете Астру как автономное рабочее место? МЭ вам не требуется? Как мне кажется сертифицированную Астру приобретают для систем, которые обрабатывают защищаемую информацию, а если рабочее место имеет сетевой доступ, особенно в интернет, то ставить сертифицированный МЭ нужно обязательно. Этот вариант применения как то не описывается разработчиками Астры. Совет применять аппаратные железки за сотни тысяч рублей в моем случае не подходит.
 

cogniter

Moderator
Team Astra Linux
Сообщения
392
#15
А вы используете Астру как автономное рабочее место? МЭ вам не требуется? Как мне кажется сертифицированную Астру приобретают для систем, которые обрабатывают защищаемую информацию, а если рабочее место имеет сетевой доступ, особенно в интернет, то ставить сертифицированный МЭ нужно обязательно. Этот вариант применения как то не описывается разработчиками Астры. Совет применять аппаратные железки за сотни тысяч рублей в моем случае не подходит.
операционная система не должна сертифицироваться по требованиям к межсетевым экранам, это в любом случае будет отдельный продукт, не важно, кто его делает
 

kdewyz

New member
Сообщения
36
#16
Мы используем Астру на локальном АРМ. Класс 2А, категория вторая. Ни о каком доступе в открытые сети и быть не может...
 

user7f

New member
Сообщения
15
#18
операционная система не должна сертифицироваться по требованиям к межсетевым экранам, это в любом случае будет отдельный продукт, не важно, кто его делает
согласен, это конечно будет отдельный продукт. Но проблема ведь и заключается в том, что этого продукта просто не существует.
 

cogniter

Moderator
Team Astra Linux
Сообщения
392
#19

user7f

New member
Сообщения
15
#20
МЭ, сертифицированные по новым требованиям:
https://zlonov.ru/2018/06/new-fstec-fw/
Лучше искать в официальном источнике, а не в статье блоггера
https://fstec.ru/tekhnicheskaya-zas...v-zashchity-informatsii-n-ross-ru-0001-01bi00

и тем не менее программных сертифицированных МЭ под линукс я там не нашел