Легитимность пакетов обновления безопасности: нужно ли их сертифицировать или можно поставить и спокойно себе работать, потому что ни на НДВ, ни на НСД это не влияет?
2 ответа
Ответ поддержки производителя.
«Оперативные обновления (бюллетени) безопасности выпускаются разработчиком операционной системы в соответствии с требованиями ФСТЭК России по устранению уязвимостей в государственных информационных системах и информационных системах персональных данных, изложенными в приказах № 17 (с учетом приказа № 27) и № 21.
Регламент выпуска и доведения бюллетеней безопасности зафиксирован в формуляре и описании применения, согласован начальником 2 управления ФСТЭК России и предусматривает опубликование обновлений одновременно с их направлением на инспекционный (внешний) контроль в испытательную лабораторию.
ГИСы, использующие сертифицированные ФСТЭК России СЗИ, обязаны в рамках мероприятий по анализу и устранению уязвимостей применять выпускаемые разработчиками (производителями) обновления безопасности.
В случае необходимости получения разъяснений касательно установленного регламента просим Вас обратиться в 2 управление ФСТЭК России установленным порядком
Отказ разработчика (производителя) средств защиты информации от выпуска таких обновлений безопасности рассматривается ФСТЭК России как нарушение требований безопасности информации, влекущее за собой отзыв сертификата соответствия.
Выпуск обновлений безопасности является обязательным требованием, а их установка не влечет ни к приостановке сертификата на средство защиты информации, ни к отзыву аттестата на ГИС.
В отношении операционной системы обновления намеренно в состав установочного диска и исходных текстов текущей версии не вносятся, а размещаются в составе РКД изделия на отдельных носителях и представляют собой кумулятивный (последовательно накапливающийся) набор программных средств с устраненными уязвимостями.
Таким образом, в течение всего жизненного цикла версии Вы получаете продукт с одними и теми же контрольными характеристиками с неизменным формуляром, не содержащим никаких изменений и не требующим никаких дополнительных записей, а после установки операционной системы на ЭВМ проводите процедуру получения и установки последнего по времени бюллетеня безопасности, что позволяет Вам за один раз установить все ранее выпущенные обновления.
В состав обновления, представляющего собой iso-образ с указанной на сайте контрольной суммой, входит файл gostsum.txt аналогичный тому, что размещен на установочном диске операционной системы, но с уточненными контрольными суммами компонент
Таким образом, используя утилиту контроля целостности согласно эксплуатационной документации, Вы всегда можете убедиться в корректности установленного ПО. Кроме такого регламентного контроля целостности обязательно используйте динамический контроль целостности, реализованный в ядре операционной системы, используя режим замкнутой программной среды. В этом случае ядро при запуске исполняемых файлов и библиотек, а также при загрузке модулей ядра, предварительно вычисляет и проверяет значение их цифровой подписи.
Подмена указанных файлов приведет к запрету их запуска. Обращаем внимание, что указанные бюллетени безопасности выпускаются только по требованию ФСТЭК России и не могут использоваться в информационных системах, аттестацию которых осуществляют другие системы сертификации. В этой ситуации Вам необходимо принимать технические меры защиты, исключающие возможность использования нарушителем имеющихся уязвимостей
Однако, с учетом того, что большинство известных уязвимостей эксплуатируются путем перехвата управления и запуска вредоносного кода из сегмента данных, в состав операционной системы включено ядро с изменениями PaX. Рекомендуем Вам, при возможности, использовать именно этот режим работы, что усложнит задачу исследования работы программ (рандомизация выделяемых адресов памяти) и исключит запуск вредоносного ПО (запрет исполнения из области данных).
В планах, после выхода версии 1.6, продолжить выпуск бюллетеней безопасности для версии 1.5.