Содержание:
Рекомендации ФСТЭК по использованию Linux
Федеральная служба по техническому и экспортному контролю (ФСТЭК) опубликовала рекомендации по настройке операционных систем (ОС) на базе Linux. Документ предназначен для использования в государственных информационных системах и на объектах критической информационной инфраструктуры (КИИ), построенных на базе систем Linux, несертифицированных по требованиям безопасности информации.
Рекомендации следует исполнять до перехода указанных субъектов на дистрибутивы Lunix, имеющие сертификаты ФСТЭК и ФСБ (Astra Linux, «Альт СП», «Роса кобальт» и др.). В документе описаны такие вопросы как настойка авторизации в операционной системе, ограничение механизмов получения привилегий, настройка прав доступа к объектам файловой системы, настройка механизмов защиты ядра Linux, уменьшение периметра атаки ядра Linux и настройка средств защиты пользовательского пространства со стороны ядра Linux.
«Выход «Рекомендаций по безопасной настройке операционных систем Linux» своевременен и актуален для рынка, — заверил CNews научный руководитель группы компаний «Астра» (разработчик AstraLinux) Павел Девянин. — Регулятор уделяет большое внимание ОС семейства Linux, их безопасному использованию и повышению защищенности. При этом он делает акцент на том, что данные рекомендации относятся к несертифицированным ОС и являются временной мерой до момента их замены на сертифицированные решения».
Фото: © laupri / Фотобанк Фотодженика ФСТЭК рассказала, как настроить Linux
Советник гендиректора «Базальт СПО» (разработчик ОС «Альт») Алексей Новодворский также считает рекомендации ФСТЭК полезными, однако в разговоре с CNews он добавил, что уровень системных администраторов и привычки пользователей создают серьезное препятствие для их внедрения.
Программа для автоматизированной проверки уязвимостей в Linux
Кроме того, ФСТЭК разместила программу ScanOVAL, предназначенную для автоматизированных проверок наличия уязвимостей ПО на рабочих станциях и серверах, функционирующих под управлением ОС семейства Linux. Разработчиком программы является подведомственное ФСТЭК предприятие ГНИИ ПЗТИ (Государственный научно-исследовательский испытательный институт проблем технической защиты информации).
Технический центр исследования безопасности ядра Linux
Параллельно Технологический центр исследования безопасности ядра Linux (ТЦИ Linux) разработал рекомендации по безопасному использованию ядра Linux и по настройке его доверенной загрузки.ТЦИ Linux создан на базе Института системного программирования Российской академии наук (ИСП РАН) под эгидой ФСТЭК.
Центр разрабатывает методики применения «лучших практик» разработки безопасного ПО к ядру Linux, поддерживает ветки ядра Linux, к которой систематически применяются эти методики, дорабатывает ядро Linux с целью повышения его безопасности, разрабатывает патчи по устранению уязвимостей в ядре Linux, наполняет базу данных уязвимостей ФСТЭК сведениями об уязвимостей ядра Linux, формирует рекомендации по безопасному использованию ядра и готовит отечественных специалистов, участвующих в разработке ядра Linux.
Тендер на создание ТЦИ Linux ИСП РАН выиграл в 2021 г., сумма контракта составила 300 млн руб. Создание центра предусмотрено федеральным проектом «Информационная безопасность» национальной программы «Цифровая экономика», сумма затрат федерального бюджета на соответствующие мероприятия составляет 400 млн руб.
Согласно упомянутому федпроекту, предполагается разработать и экспериментально обосновать требования к организационным, методическим и научно-методическим основам функционирования технологического центра исследования безопасности ОС базе Linux; создать технологический центр исследования безопасности ОС на базе ядра Linux, в том числе с участием разработчиков данных операционных систем, провести опытную эксплуатацию технологического центра исследования безопасности ОС на базе ядра Linux, организовать наполнение банка данных угроз безопасности информации ФСТЭК сведениями об уязвимостях в ОС на базе ядра Linux, получить результаты исследований безопасности ОС на базе ядра Linux, разработать рекомендации по реализации мер безопасной разработки ОС на базе ядра Linux.
Переход сертифицированных ОС Linuxна «проверенное» ядро
Летом 2022 г. начальник второго управления ВСТЭ Дмитрий Шевцов сообщал, что три сертифицированные ОС перешли на базу ядра Lunux 5.1, поддерживаемого ТЦИ Linux. Это были «Альт 8 СП, «Ред ОС» и «Основа». Ожидалось, что до конца 2023 г. на базу указанного ядра перейдут также Astra Linux Specal Edition, «Роса кобальт», «Синтез М», «Циркон 37», EMIASOS и Alter OS.
Руководитель отдела научных исследований группы «Астра» Владимир Тележников в разговоре с CNews положительно оценил деятельность Центра исследования безопасности ядра Linux. «Мы принимаем активное участие в его работе, входим в состав экспертной группы по проработке организационных и технических вопросов и непосредственно участвуем в анализе безопасности подсистем ядра Linux и устранении выявляемых проблем, — говорит Тележников. — Центр выступает площадкой сосредоточения усилий и обмена опытом отечественных разработчиков программных и аппаратных систем защиты информации по тестированию и повышению безопасности ядра Linux, являющегося основой большинства решений. Совместная работа в рамках центра способствует повышению эффективности тестирования столь объемного программного кода, совершенствованию и распространению лучших практик разработки безопасного ПО, которые также могут быть применимы при исследовании безопасности собственных разработок».