МЭ в составе AstraLinux SE

[user7f]

операционная система не должна сертифицироваться по требованиям к межсетевым экранам, это в любом случае будет отдельный продукт, не важно, кто его делает

Астра сертифицирована по ИТ.ОС.А2.ПЗ. Вы пишите что межсетевого экрана "в коробке" нет, нужно искать сторонние решение.
Ок, тогда как вы реализовали в астре ФБО - фильтрация сетевого потока (FDP_IFC.2). Это требование является обязательным даже для ОС 4 класса, а у астры 2 класс.
У меня ощущение что изначально менеджеры и представители астры правильно говорили что МЭ входит в состав астры, т.к это обязательно требование к сертифицированной ОС.
В Руководcтве по КС3. Часть 1 есть раздел "Фильтр сетевых пакетов iptables".
Собственно я изначально и хотел уточнить что iptables является основным МЭ в составе Астры, и похоже реализовано это требование на базе iptables.
А вы вводите в заблуждение пользователей. Вопрос то не праздный, систему надо внедрять и аттестовывать, а приходиться загадки разгадывать. Напишите на вики статью по применению МЭ в Астре и эта категория вопросов будет закрыта.

 

[kdewyz]

Как мне представляется, МЭ в Астре есть, но он не сертифицирован в качестве СЗИ.
Посмотрите на сертификат того же Secret Net Studio - там и СВТ, и САВЗ, и СКН, и МЭ, и СОВ, и НДВ - всё указано.
Астра сертифицирована, как СЗИ от НСД (т.е. аналог по РД СВТ), не более, увы...
Если не секрет - аттестуете ГИС или ИСПДн?

 

[user7f]

Как мне представляется, МЭ в Астре есть, но он не сертифицирован в качестве СЗИ.
Посмотрите на сертификат того же Secret Net Studio - там и СВТ, и САВЗ, и СКН, и МЭ, и СОВ, и НДВ - всё указано.
Астра сертифицирована, как СЗИ от НСД (т.е. аналог по РД СВТ), не более, увы...
Если не секрет - аттестуете ГИС или ИСПДн?

ИСПДн в составе ГИС. Аттестуется по 17 приказу. Рассматривается простейший вариант отдел кадров 1 рабочее место, обработка ПДн файлы в папке, но должен быть выход в интернет. Вариант применения серт. ОС, со встроенным СЗИ выглядит простым и логичным.
Тем более во ФСТЭКовском профиле защиты ОС есть требования реализации ФБО - фильтрация сетевого потока.
Т.е получается абсурд, требование реализовать фильтрацию сетевого потока (МЭ) есть, а применять его как СЗИ нельзя. Или я чего то не допонимаю?
Но в такой же логике можно и к СКН подойти, в астре разграничение устройств реализовано, но сертификата на СКН нет, так что теперь искать СЗИ с сертификатом по СКН?

 

[kdewyz]

Думаю, это нестыковки в нормативной базе.
Например, РД СВТ и приказ 025 вообще расходятся в классификации СВТ...
В вашем случае, может, стоит запросить информацию не у РБТ, а во ФСТЭК обратиться?
К тому же Вам ведь ещё нужно ставить СКЗИ, нет? А оно есть для Астры?

 

[cogniter]

Астра не сертифицирована как СКЗИ

 

[kdewyz]

Астра не сертифицирована как СКЗИ

И я о том же, а было бы неплохо...

 

[cogniter]

И я о том же, а было бы неплохо...

Этого не будет, так как это неудобно для эксплуатации

 

[Santi]

Лучше искать в официальном источнике, а не в статье блоггера
https://fstec.ru/tekhnicheskaya-zas...v-zashchity-informatsii-n-ross-ru-0001-01bi00

и тем не менее программных сертифицированных МЭ под линукс я там не нашел

Насколько я понимаю, на данный момент по линии МО (не знаю как с ФСТЭК) вообще невозможно сертифицировать чисто программный МЭ. И поставлять в составе комплексов их с прошлого года уже нельзя. Только как программного-аппаратный комплекс в сборе. "Эшелон" недавно уведомлял всех счастливых владельцев МЭ "Рубикон" о том, что теперь он сертифицирован как ПАК и вся обвязка документации и сертификатов к нему поменялась.

Если не нужны мандатные метки и МО РФ, то мне очень понравилась линейка Altell NEO. Дают погонять на тест.