ASTRA LINUX SPECIAL EDITION: ЧТО УМЕЕТ ОС ДЛЯ ГОСТАЙНЫ

Главное

Astra Linux Special Edition релиза Смоленск — операционная система на базе ядра Linux, разработанная группой компаний «Астра». Она получила сертификат ФСТЭК России по классу защиты К1 — это максимальный уровень для информационных систем, обрабатывающих сведения, составляющие государственную тайну. Продукт зарегистрирован в едином реестре российского ПО Минцифры под номером 4305, что позволяет закупать его по 44-ФЗ и 223-ФЗ без обоснования невозможности использования отечественного ПО.

Как устроена защита

Ядро системы дополнено собственным модулем безопасности — мандатным механизмом управления доступом (МРД). Он работает поверх стандартного дискреционного контроля Linux и присваивает каждому объекту файловой системы, процессу и сетевому соединению метку уровня конфиденциальности. Пользователь с меткой «для служебного пользования» физически не может прочитать файл с меткой «совершенно секретно», даже если ему назначены права POSIX на чтение.

Параллельно работает мандатный контроль целостности (МКЦ). Он делит программную среду на уровни: установленное системное ПО получает высокий уровень целостности, пользовательские процессы — низкий. Процесс с низким уровнем не может модифицировать объект с высоким — это блокирует большинство сценариев эксплуатации привилегий даже при наличии уязвимости в прикладном ПО.

Дополнительно система включает:

• замкнутую программную среду — запуск только подписанных исполняемых файлов;
• ролевую модель управления администраторами — права суперпользователя разделены между несколькими ролями, ни одна из которых не получает полный контроль;
• аудит событий безопасности с записью в защищённый журнал;
• встроенный межсетевой экран на базе nftables с поддержкой меток безопасности;
• средства аутентификации через Kerberos, LDAP и смарт-карты отечественных производителей.

Сертификаты и регуляторный статус

Сертификат ФСТЭК по классу К1 означает, что систему можно применять в государственных информационных системах первого класса защищённости (ГИС К1), в информационных системах персональных данных с необходимостью обеспечения первого уровня защищённости (УЗ-1), а также в автоматизированных системах управления критической информационной инфраструктурой (КИИ) первой категории значимости.

Для организаций, работающих с гостайной, наличие такого сертификата — не опция, а обязательное требование законодательства. Эксплуатация несертифицированных средств защиты в подобных системах влечёт административную и уголовную ответственность по статьям 13.11 и 283 УК РФ соответственно.

Помимо сертификата ФСТЭК, продукт прошёл проверку ФСБ России в части криптографических компонентов, задействованных при шифровании дисков и защите сетевых соединений по алгоритмам ГОСТ.

Кому подходит система

Astra Linux Special Edition в первую очередь востребована в организациях с жёсткими требованиями регулятора:

• Федеральные и региональные органы исполнительной власти — обработка сведений под грифом «секретно» и «совершенно секретно».
• Силовые ведомства и оборонные предприятия — сертификат К1 закрывает требования для АС класса 1А/1Б по руководящим документам ФСТЭК.
• Субъекты КИИ первой категории значимости — энергетика, транспорт, телекоммуникации, финансовый сектор с обязательным применением сертифицированных СЗИ.
• Крупные корпоративные заказчики, которые унифицируют парк под единую защищённую платформу и хотят избежать рисков аудита при проверке ФСБ или ФСТЭК.

Для задач с более низкими классами защиты (ГИС К2, ИСПДн УЗ-2/УЗ-3) доступны релизы Орёл и Воронеж с облегчёнными требованиями к железу и более широкой совместимостью ПО. Смоленск выбирают тогда, когда компромисс с требованиями безопасности недопустим.

Совместимость и экосистема

Система поставляется в виде дистрибутива на базе Debian. Репозиторий включает более 15 000 пакетов, адаптированных под контроль целостности. Большинство серверных ролей — СУБД, веб-серверы, почта, каталоги LDAP — разворачиваются штатными средствами без модификации.

ГК «Астра» ведёт реестр совместимого оборудования и ПО. В нём зарегистрированы отечественные процессорные платформы («Эльбрус», «Байкал»), серверы отечественной сборки, а также прикладные системы крупных российских вендоров: СУБД Postgres Pro и «Ред База Данных», офисные пакеты «МойОфис» и «Р7-Офис», средства виртуализации zVirt и «Брест».

Для управления парком машин предусмотрен централизованный инструмент Astra Linux Directory (ALD Pro) — аналог групповых политик Active Directory с поддержкой мандатных меток. Он позволяет администрировать тысячи рабочих мест с единой консоли без выхода из защищённой среды.

Что проверить перед внедрением

• Убедиться, что текущая версия сертификата актуальна: сертификаты ФСТЭК имеют срок действия и проходят инспекционный контроль. Актуальный номер сертификата опубликован на сайте ФСТЭК.
• Провести инвентаризацию прикладного ПО на предмет совместимости с Debian-пакетами и мандатной моделью — часть коммерческих приложений требует доработки.
• Оценить аппаратный парк: минимальные требования Смоленска выше, чем у общераспространённых дистрибутивов, а на платформах «Эльбрус» потребуется отдельная сборка.
• Спланировать ролевую модель администрирования заранее: разделение прав суперпользователя — архитектурное решение, которое сложно менять после развёртывания.
• Предусмотреть обучение персонала: мандатная модель непривычна для администраторов с опытом только на Windows или стандартном Linux.

Связанные продукты

Astra Linux Special Edition (релиз Смоленск) доступна в каталоге СОФТЗАЩИТЫ. Продукт подходит для организаций, которым требуется сертифицированная ОС класса К1 под 44-ФЗ или 223-ФЗ без дополнительного обоснования. Менеджеры помогут подобрать редакцию, рассчитать стоимость лицензий и организовать пилотное развёртывание.

Источник

Официальная страница продукта · astralinux.ru