Astra Linux Special Edition - Форум по вопросам информационной безопасности

"Да только вот при "контроле эффективности защиты СЗИ" это нужно делать сторонними сертифицированными ФСТЭКом программами"

Ну с сертификатом, то как раз проблем нет, на Астру он же есть.

В ГОСТ РО 0043-004-2013 Приложение Б пункт Б.8.

"Ну с сертификатом, то как раз проблем нет, на Астру он же есть"

А есть у кого этот сертификат 2557 от 27.01.2012? Что в нем написано? Я его не смог найти в интернете. А производитель почему-то только по запросу их выдает

для Martian | 69085

"В ГОСТ РО 0043-004-2013 Приложение Б пункт Б.8."
Не увидел, где там написано, что "...при контроле эффективности защиты СЗИ это нужно делать сторонними сертифицированными ФСТЭКом программами""

Тем временем, программы контроля защищенности типа "Ревизор" и т.п. сертифицированы по ТУ и РД НДВ (например, по 2 уровню ).
И Астра в системе ФСТЭК сертифицирована по 3 классу СВТ и 2 уровню НДВ.
Так почему же нельзя использовать встроенные в сертифицированную сборку Астры специальные программы контроля защищенности. Ведь Астра сертифицирована по 2 уровню НДВ?.

*ворвался*
Коллеги! А в сертификате/ТУ написано ли, что в Астре есть встроенные средства контроля эффективности СЗИ? Задайте вопрос разработчику
З.Ы. Ждем, когда Астру отсертифицируют по новым требованиям БИ к ОС - там этот пункт обязателен.

"Не увидел, где там написано, что "...при контроле эффективности защиты СЗИ это нужно делать сторонними сертифицированными ФСТЭКом программами"

Т.е. Вы считаете, что можно использовать СЗИ для самотестирования? Это не логично

"И Астра в системе ФСТЭК сертифицирована по 3 классу СВТ и 2 уровню НДВ"

Она сертифицирована как СЗИ, но не как средство контроля эффективности применения СЗИ (Terrier, серт. 1193) или как средство контроля защищенности информации от НСД (Ревизор, серт. 989)

для Monkey | 69091
"Т.е. Вы считаете, что можно использовать СЗИ для самотестирования? Это не логично"
"Она сертифицирована как СЗИ, но не как средство контроля эффективности применения СЗИ (Terrier, серт. 1193) или как средство контроля защищенности информации от НСД (Ревизор, серт. 989)"

Согласен, что не логично. Но да, считаю. Вот почему:
В сертификатах на ревизор, терьер написано "средство контроля защищенности..." , но сертифицируются-то они по требованиям РД ФСТЭК, в частности, по уровню отсутствия НДВ, ну и ТУ. Никаких отдельных требований для средств контроля защищенности (как, например, требования к СДЗ и САВЗ) я не знаю. Если вы знаете, но подскажите, пожалуйста. А это значит, что так называемым средствам контроля защищенности достаточно быть сертифицированными по требованиям РД НДВ. И Астра вместе со своими встроенными утилитами тестирования сертифицирована по той же РД НДВ.
Если я где-то не прав, то поправьте. Я сам заинтересован познать истину, так сказать.

to Human
Правы. Во всем, включая согласие с отсутсвием логики... Но... так и живем (с)

для Martian.

Я ответа со ссылкой на ТРЕБОВАНИЯ не увидел!
Приложение Б пункт Б.8. не говорит что средства контроля должны быть отдельны от СЗИ НСД. Кроме того вы прочитали название приложения Б ... ниже в скобках!!! А еще последний абзац первое слово п. 5.5.3!
А еще 1 пункт прочитайте требования к ЧЕМУ! этот ГОСТ устанавливает.

"Вы считаете, что можно использовать СЗИ для самотестирования? Это не логично"
Это ваше ИМХО а не требования к средствам контроля.

"Она сертифицирована как СЗИ, но не как средство контроля эффективности применения СЗИ"
А вы ТУ читали на сертификацию? Вообще то это ОС с функциями СЗИ и функциями средств контроля и др.

Хотелось бы расспросить того кто аттестовал ОИ(АС) на базе ПЭВМ с ОС AstraLinux, есть такие?