СПРАВОЧНЫЙ МАТЕРИАЛ

Настоящие технические условия (ТУ) распространяются на операционную систему (ОС) общего назначения (ОН) «Стрелец» ФЛИР.90001-01 (далее по тексту – изделие), предназначенную для построения защищенных автоматизированных систем (АС) обрабатывающих информацию ограниченного доступа, функционирует на отечественных аппаратных платформах и совместима с средствами защиты информации (СЗИ) существующих в ведомственных органах ОС.

1. ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ

1.1. Общие требования

1.1.1. Изделие должно соответствовать требованиям настоящих ТУ и комплекта эксплуатационной документации согласно ФЛИР.90001-01 20 01 «ОС ОН «Стрелец». Ведомость эксплуатационных документов».
1.1.2. Эксплуатационная документация должна быть изготовлена в соответствии с требованиями ЕСПД. Качество эксплуатационной документации должно соответствовать ГОСТ В 20.57.301-76.

1.2. Технические характеристики

Изделие обеспечивает:

- функционирование на аппаратной платформе с процессорной архитектурой x86-64;
- поддержку новейшего периферийного оборудования;
- поддержку основных сетевых протоколов;
- наличие средств автоматизации повседневной деятельности (офисные средства, работа с электронной почтой, гипертекстовыми данными, словари, работа с графикой, мультимедиа и т.д.);

В состав изделия входят:

- средства установки ОС;
- базовые средства ОС (ядро и графическое окружение);
- средства установки и удаления приложений;
- СЗИ;
- средства разработки;
- программное обеспечение (ПО) работы с мультимедиа;
- средства работы с офисными документами;
- средства виртуализации;
- система управления базами данных (СУБД);
- средства работы с интернетом (браузеры, почтовые клиенты, месенджеры);
- средства резервного копирования и восстановления.

Изделие разработано, как ОС семейства Debian Linux, функционирующее на аппаратной платформе с процессорной архитектурой x86-64.

1.2.1. Технические средства

Изделие функционирует на отечественных аппаратных платформах и совместима с СЗИ существующих в ведомственных органах ОС.

Базовыми техническими средствами для функционирования изделия являются технические средства изделия КИ8603 ЦАВМ.461263.152.

1.2.2. Программные средства

Средства установки изделия:

- реализованы в виде загрузочного DVD диска, обеспечивающего загрузку в режиме Live;
- обеспечивают возможность установки ОС на компьютеры с архитектурой х86_64, с объемом оперативной памяти 2 Гб и более, объемом жесткого диска 16 Гб и более;
- поддерживают установку как в режиме BIOS, так и в режиме UEFI;
- поддерживают установку на диски с разбиением MBR и GPT;
- позволяют проводить первоначальные настройки компьютера необходимые для инсталляции, разбиение жесткого диска,
- позволяют проводить установку даты и времени, конфигурирование сетевых интерфейсов, создание пользовательского аккаунта.

1.2.2.1. Базовые средства изделия

- Базовые средства изделия:

- обеспечивают загрузку ОС;
- включают стандартные для Linux компоненты графического окружения такие как xorg, lxqt, xfce, предоставляющие пользователю графический рабочий стол, содержащие файловый менеджер, эмулятор терминала, редактор текста, панель задач, средство просмотра изображений, индикаторы раскладки клавиатуры, монитор системных ресурсов (памяти, процессора, жесткого диска, процессов), программные средства (ПС) с открытым исходным кодом для записи, создания и копирования CD/DVD дисков с данными, CDDA, работы с образами дисков;
- включают средства интеграции с доменом Windows (SMB/CIFS), сервер службы каталогов и средства доступа к серверу по протоколу LDAP;
- включают средства, осуществляющие контроль и фильтрацию сетевого трафика в соответствии с заданными правилами (iptables);
- обеспечивают базовые сетевые сервисы - DNS, DHCP, SSH, FTP, NTP, NFS, SNMP.

1.2.2.2. Средства установки и удаления приложений

Средства установки и удаления приложений обеспечивают:

- установку и удаление программ из состава, поставляемых на установочном диске;
- обновление программ, поставляемых на диске с обновлениями;
- установку и удаление дополнительных программ из он-лайн репозиториев Debian stretch.

1.2.2.3. Средства разработки

- Средства разработки включают в себя комплекс ПС, необходимых для создания прикладного и системного ПО:

- компиляторы и интерпретаторы для наиболее популярных языков (С++, Java, PHP, Python);
- интегрированные среды разработки (Qt Creator), отладчики (gdb);
- средства сборки deb пакетов (debhelper).

1.2.2.4. СЗИ

СЗИ ОС обеспечивает соответствие изделия требованиям руководящего документа (РД) «Требования безопасности информации к операционным системам», утвержденного приказом ФСТЭК России от 19 августа 2016 г. № 119, к операционным системам общего назначения (тип «А») по 2 классу защиты (РД ОС).

Функции СЗИ:

- дискреционное, мандатное и ролевое разграничение доступа;
- интеграция средств защиты информации в системные службы;
- поддержка двухфакторной идентификации и аутентификации пользователей;
- защита ввода-вывода на отчуждаемые учтенные носители информации;
- совместимость на уровне СЗИ с ОС МСВС и Astra Linux;
- маркировка документов, выводимых на печать;
- предотвращение эксплуатации уязвимостей;
- очистка оперативной и внешней памяти;
- создание замкнутой программной среды;
- контроль целостности и восстановления;
- разграничение доступа к внешним устройствам;
- регистрация событий;
- регулярный выпуск обновлений безопасности.

1.2.2.5. ПО работы с мультимедиа

ПО работы мультимедиа состоит из:

- средств воспроизведения видео файлов в наиболее популярных форматах таких как MPEG-4, AVC, H.265/HEVC и т.д. (SMPl
- средств создания и воспроизведения аудио файлов в форматах FLAC, mp3, WAV, и т. п. (Audacious Media Player).

1.2.2.6. Средства работы с офисными документами

Средства работы с офисными документами реализованы на основе офисного пакета (LibreOffice) с открытым исходным кодом, содержащего следующие компоненты:

- текстовый редактор (Writer);
- табличный процессор (Calc);
- программу для подготовки и просмотра презентаций (Impress);
- векторный графический редактор (Draw);
- система управления базами данных (Base);
- редактор формул (Math).

Основным поддерживаемым форматом файлов является открытый международный формат OpenDocument(ODF), с поддержкой форматов Office Open XML,DOC,XLS, PPT,CDR.

Средства работы с устройствами сканирования изображений обеспечивают поддержку режима пакетного сканирования и графический интерфейс пользователя (SANE, XSane).

ПС для работы с растровой и векторной графикой реализованы на основе ПО с открытым исходным кодом (GIMP).

1.2.2.7. ПС виртуализации и управления

ПС виртуализации и управления реализованы на основе ПО с открытым исходным кодом (libvirt, qemu/kvm, virt-manager) и обеспечивают функционал, необходимый для создания и управления виртуальной средой.

1.2.2.9. Средства работы с интернетом

Средства работы с интернетом содержат:

- веб-сервер, обеспечивающий поддержку работы веб-протоколов;
- прокси-сервер, обеспечивающий кэширование и сжатие данных;
- почтовый сервер, почтовый клиент;
- веб-браузеры Mozilla Firefox и Chromium.

1.2.2.10. Средства, обеспечивающие вывод информации на печать

Средства, обеспечивающие вывод информации на печать реализованы на основе ПО с открытым исходным кодом и обеспечивать поддержку сетевой печати и управление заданиями печати (CUPS).

Защищенный сервер печати и средства маркировки обеспечивают в соответствии с требованиями РД:

- мандатное разграничение доступа при выводе документов на печать;
- управление мандатными атрибутами устройств печати;
- идентификацию и аутентификацию пользователей при попытках вывода документов на печать и управления атрибутами устройств печати;
- автоматическую маркировку документов при выводе на печать;
- управление параметрами автоматической маркировки документов при выводе на печать;
- регистрацию событий безопасности при выводе документов на печать.

1.2.2.11. Средства резервного копирования и восстановления данных

Средства резервного копирования и восстановления данных обеспечивают возможность создания и хранения резервных копий (в том числе, сетевых) (Bacula).

4.2. Выпуск планового обновления

Плановый выпуск обновления (внесения изменений в комплект РКД) ПИ осуществляется один раз в год. При этом решаются следующие задачи:

- обеспечение поддержки современного оборудования;
- реализация новых функциональных возможностей программного обеспечения, входящего в состав изделия;
- устранение ошибок и повышение уровня защищенности изделия;
- повышение удобства использования и управления компонентами изделия.

При этом внесение изменений в РКД ПИ осуществляется в соответствии с требованиями ГОСТ 2.503, ГОСТ 2.902, ГОСТ 15.307 и сопровождается выпуском предварительного извещения, изготовлением образцов ПИ с внесенными предлагаемыми изменениями, проведением типовых испытаний в соответствии с техническими условиями и, в случае успешного проведения типовых испытаний, внесением предварительных изменений в РКД. Окончательно изменения в комплект РКД вносятся по результатам инспекционного контроля, проводимого испытательной лабораторией в соответствии с действующим регламентом Федерального органа по сертификации средств защиты информации. По результатам внесения изменений все лицензиаты (потребители) оповещаются о возможности получения и использования доработанного (обновленного) ПИ на условиях заключенного лицензионного договора (дополнения к лицензионному договору).

Порядок информирования потребителей о выпуске и порядок получения ими планового обновления изложен в п. 6 настоящей инструкции.

Верификация потребителями планового обновления ПИ (входной контроль) осуществляется посредством подсчета контрольных сумм CD/DVD-дисков. Значения контрольных сумм и порядок их вычисления определены в формуляре на ПИ.

Дополнительная верификация файлов, входящих в состав планового обновления ПИ, осуществляется в соответствии с документацией на ПИ.

4.1 Выпуск обновлений безопасности

При подготовке обновлений безопасности ПИ решается задача устранения ошибки в программном обеспечении, которая может быть использована для нарушения установленных правил разграничения доступа к обрабатываемой, хранимой и передаваемой информации в автоматизированной системе и не может быть устранена путем организационно-технических мероприятий на объекте эксплуатации. При этом подготовка обновления безопасности ПИ предусматривает следующие работы:

1) При получении уведомления о наличии уязвимости изделия разработчиком описывается порядок проверки наличия уязвимости в ПИ в условиях наличия установленных правил разграничения доступа к условной тестовой информации. Факт наличия уязвимости в изделии подтверждается при наступлении любого из перечисленных событий:

- получение доступа к тестовой информации в нарушение установленных правил разграничения доступа;
- нарушение целостности тестовой информации или компонентов изделия в нарушение установленных правил разграничения доступа;
- получение пользователем полномочий администратора в изделии в нарушение установленных правил предоставления прав доступа и выполнение произвольных действий в отношении тестовой информации и ПИ.

2) Разработчик формулирует предложения по проведению организационно- технических мероприятий, устраняющих выявленную уязвимость изделия на объектах эксплуатации или исключающих риск ее использования при проведении компьютерных атак. Такие изменения являются обновлениями безопасности, в РКД не вносятся, а доводятся до потребителя в виде инструкций, содержащих сведения об обязательных к проведению при эксплуатации ПИ организационно-технических мероприятиях.

3) В случае невозможности сформулировать предложения по проведению организационно-технических мероприятий, устраняющие выявленную уязвимость изделия на объектах эксплуатации или исключающие риск ее использования при проведении компьютерных атак, либо в случае неэффективности таких предложений, разработчик подготавливает изменения в РКД ПИ. Такие изменения являются обновлениями безопасности, в РКД не вносятся, а в виде отдельных файлов, отдельных пакетов программ или совокупности (комплекта) пакетов программ доводятся до потребителя. Внесение в РКД таких изменений, аккумулированных в течение периода между выпуском плановых обновлений (новых версий), осуществляется разработчиком один раз в год в порядке, предусмотренном п. 4.2 настоящей инструкции.

4) После подготовки обновлений безопасности проводится его тестирование в соответствии с документацией на ПИ в условиях наличия установленных правил разграничения доступа к условной тестовой информации с целью контроля обеспечения выполнения всех предусмотренных конструкторской и эксплуатационной документацией ПИ функций, а также с целью подтверждения невозможности использования выявленной уязвимости при проведении компьютерных атак.

5) Дальнейший порядок информирования потребителей о выпуске и порядок получения ими обновления безопасности изложен в п. 6 настоящей инструкции.

6) Верификация потребителями файлов обновлений безопасности ПИ осуществляется с помощью подсчета контрольных сумм. Алгоритм подсчета контрольных сумм указан в Формуляре на ПИ.

3.3.6. Жизненный цикл ОС

Жизненный цикл ОС представлен на рис. 1.