МЭ в составе AstraLinux SE

user7f

New member
Сообщения
15
#21
операционная система не должна сертифицироваться по требованиям к межсетевым экранам, это в любом случае будет отдельный продукт, не важно, кто его делает
Астра сертифицирована по ИТ.ОС.А2.ПЗ. Вы пишите что межсетевого экрана "в коробке" нет, нужно искать сторонние решение.
Ок, тогда как вы реализовали в астре ФБО - фильтрация сетевого потока (FDP_IFC.2). Это требование является обязательным даже для ОС 4 класса, а у астры 2 класс.
У меня ощущение что изначально менеджеры и представители астры правильно говорили что МЭ входит в состав астры, т.к это обязательно требование к сертифицированной ОС.
В Руководcтве по КС3. Часть 1 есть раздел "Фильтр сетевых пакетов iptables".
Собственно я изначально и хотел уточнить что iptables является основным МЭ в составе Астры, и похоже реализовано это требование на базе iptables.
А вы вводите в заблуждение пользователей. Вопрос то не праздный, систему надо внедрять и аттестовывать, а приходиться загадки разгадывать. Напишите на вики статью по применению МЭ в Астре и эта категория вопросов будет закрыта.
 

kdewyz

New member
Сообщения
36
#22
Как мне представляется, МЭ в Астре есть, но он не сертифицирован в качестве СЗИ.
Посмотрите на сертификат того же Secret Net Studio - там и СВТ, и САВЗ, и СКН, и МЭ, и СОВ, и НДВ - всё указано.
Астра сертифицирована, как СЗИ от НСД (т.е. аналог по РД СВТ), не более, увы...
Если не секрет - аттестуете ГИС или ИСПДн?
 

user7f

New member
Сообщения
15
#23
Как мне представляется, МЭ в Астре есть, но он не сертифицирован в качестве СЗИ.
Посмотрите на сертификат того же Secret Net Studio - там и СВТ, и САВЗ, и СКН, и МЭ, и СОВ, и НДВ - всё указано.
Астра сертифицирована, как СЗИ от НСД (т.е. аналог по РД СВТ), не более, увы...
Если не секрет - аттестуете ГИС или ИСПДн?
ИСПДн в составе ГИС. Аттестуется по 17 приказу. Рассматривается простейший вариант отдел кадров 1 рабочее место, обработка ПДн файлы в папке, но должен быть выход в интернет. Вариант применения серт. ОС, со встроенным СЗИ выглядит простым и логичным.
Тем более во ФСТЭКовском профиле защиты ОС есть требования реализации ФБО - фильтрация сетевого потока.
Т.е получается абсурд, требование реализовать фильтрацию сетевого потока (МЭ) есть, а применять его как СЗИ нельзя. Или я чего то не допонимаю?
Но в такой же логике можно и к СКН подойти, в астре разграничение устройств реализовано, но сертификата на СКН нет, так что теперь искать СЗИ с сертификатом по СКН?
 

kdewyz

New member
Сообщения
36
#24
Думаю, это нестыковки в нормативной базе.
Например, РД СВТ и приказ 025 вообще расходятся в классификации СВТ...
В вашем случае, может, стоит запросить информацию не у РБТ, а во ФСТЭК обратиться?
К тому же Вам ведь ещё нужно ставить СКЗИ, нет? А оно есть для Астры?
 

Santi

New member
Сообщения
10
#28
Лучше искать в официальном источнике, а не в статье блоггера
https://fstec.ru/tekhnicheskaya-zas...v-zashchity-informatsii-n-ross-ru-0001-01bi00

и тем не менее программных сертифицированных МЭ под линукс я там не нашел
Насколько я понимаю, на данный момент по линии МО (не знаю как с ФСТЭК) вообще невозможно сертифицировать чисто программный МЭ. И поставлять в составе комплексов их с прошлого года уже нельзя. Только как программного-аппаратный комплекс в сборе. "Эшелон" недавно уведомлял всех счастливых владельцев МЭ "Рубикон" о том, что теперь он сертифицирован как ПАК и вся обвязка документации и сертификатов к нему поменялась.

Если не нужны мандатные метки и МО РФ, то мне очень понравилась линейка Altell NEO. Дают погонять на тест.