Дистрибутив Альт Линукс получил сертификат ФСТЭК

    Альт Линукс СПТ 6.0 ФСТЭК

    Компания «Альт Линукс» сертифицировала новый дистрибутив. 18 апреля 2011 года дистрибутив Альт Линукс СПТ 6.0 получил сертификат ФСТЭК № 2317.

    В отличии от других сертифицированных версий (Альт Линукс выпускает сертифицированные версии с 2002 года), Альт Линукс СПТ 6.0 может использоваться для систем защиты персональных данных всех типов, а также гостайны.

    Альт Линукс СПТ 6.0 имеет:
    • 4 класс защиты средств вычислительной техники от несанкционированного доступа
    • 3 уровень контроля отсутствия недекларированных возможностей.

    Может быть использован для разработки:
    • автоматизированных систем с классом защищенности по 1В включительно
    • систем защиты персональных данных по К1 включительно.

    Альт Линукс СПТ 6.0 — унифицированный дистрибутив для серверов и рабочих станций с встроенными программными средствами защиты информации.

    Рабочая станция основана на среде GNOME, содержит стандартный набор приложений (OpenOffice.org, Firefox, программы для работы с графикой и мультимедиа и драйвера для широкого спектра оборудования, в т.ч. периферийного и многое другое).

    Сервер сочетает в себе все возможности классического сервера и современные технологии управления ими через удобный веб-интерфейс. Ключевой особенностью является обеспечение мандатного принципа контроля доступа с помощью SELinux. Также в дистрибутив входит мощная система резервного копирования уровня предприятия Bacula. Несомненно важным для сертифицированной системы является совместимость с ведущими производителями криптосредств. Аутентификация и обновление рабочих станций осуществляются централизованно через веб-интерфейс.

    Версии сопутствующего ПО дистрибутива не устаревшие, но и не самые последние, но иначе и быть не может, так как сертификация — процесс не только дорогостоящий, но и довольно продолжительный (от 6 месяцев до 1 года), а окончательная версия образа сдается не позднее, чем за 4-5 месяцев до окончания сертификации.

    А вот версия ядра — самая актуальная, используется в данный момент во всех Enterprise версиях ведущих дистрибутивов Linux.

    Основные компоненты:
    Ядро 2.6.32
    Серверы базы данных PostgreSQL 8.4.4 и MySQL 5.1.52
    Прокси-сервер squid 3.1.9
    Web-сервер Apache 2.2.17
    Система резервного копирования Bacula 5.0.3
    Почтовый сервер Postfix 2.5.9
    Сервер антиспама Spamassassin 3.3.1
    Языки программирования: PHP 5.3.3, C/C++, Perl 5.12, Python 2.6.6, Ruby 1.9.2 gcc 4.5
    Рабочая среда GNOME 2.32
    Офисный пакет OpenOffice.org 3.2.1.6
    Браузер Firefox 3.6.12
    Почтовый клиент Evolution 2.32
    Виртуальная машина VirtualBox

    В сертифицированный комплект, помимо заверенной копии сертификата, бланка-формуляра, фстэковской наклейки и дисков (2 DVD для 32-бит и 64-бит) с уникальными номерами, входит купон технической поддержки, который нужен прежде всего для бесплатного получения регулярных сертифицированных обновлений, которые по условиям ФСТЭК пользователи обязаны применять в своей системе.

    Тема выбора сертифицированного ПО сейчас как никогда актуальна, в связи с окончательным вступлением в силу закона ФЗ № 152 «О персональных данных». В соответствии со статьей 25, информационные системы персональных данных, созданные до 1.01.2011, должны быть приведены в соответствие с требованиями Федерального закона №152-ФЗ не позднее 1.07.2011.

    Подробнее об Альт Линукс СПТ 6.0

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 88

      +3
      Молодцы!
        +5
        В том плане, что очень много работы скорее всего ушло, чтобы получить сертификацию.
          +10
          А уж сколько с бумажками пришлось повозиться…
            +5
            Наша бюрократия только лес губит.
            –1
            какая там работа, не смешите меня, бумажки и бабло, кому надо
          +5
          Было бы интересно поподробнее узнать про саму сертификацию, в чем она состоит, для чего она нужна, чем отличается от аналогов и тп. А за топик спасибо.
            +2
            Существуют сферы деятельности которые запрещают использовать не сертифицированное ПО. К примеру, любая гос структура. Для частных во многом она носит рекомендательный характер. Сейчас из-за закона о персональных данных эта штука встала особо остро. Т.к. компании работающие в этой сфере просто не успевают обрабатывать запросы. Лично мне кажется это сделано для:
            — Срубить денег не напрягаясь
            — Уйти от ответственности, ведь если за бугром не будешь защищать данные и их стащат, то отвечает контора их охранявшая, а у нас получится, она скажет: А у нас всё сертифицировано, так что в милицию полицию. А там если не найдут то пожмут плечами. Найдут, впилят условный сроки и попросят прощения.
            Плюс любая контора проводящая аудит, начнёт требовать сертификацию.
              +1
              Нужна она, как уже писалось выше (и по ссылкам) для всех кто обрабатывает персональные данные (тот самый ФЗ-152). Это и мед. учреждения, страховые конторы, банки, да почти все крупные предприятия! И это все до 1 июля нужно сделать. Отдельно это гос. конторы работающие с секреткой.
                +2
                Не почти, а все. А ещё все средние предприятия, мелкие предприятия и отдельные частники. Для мелких требования чуть поменьше.
                –1
                Про сертификацию можно у самих сертификаторщиков почитать www.npo-echelon.ru/index.php, замечу — это один из сертифицирующих центров. Он АстраЛинукс сертифицировал.
                  0
                  Но Альт Линукс сертифицирован не здесь.
                    0
                    А я этого и не утверждал…
                      0
                      Вот и замечательно.
                      0
                      а где? :)
                        +1
                        Версия платная? или бесплатная? Для коммерческого использования.
                          0
                          4.0 выходила как платная, в коробках и с «поддержкой». Чуть позже появилась сертифицированная (с сертификатом и специальной наклейкой), которая стоила б́ольших денег. Т.е. одновременно можно было купить просто коробку с сертификатом ФСТЭК. Так же был вариант скачать бесплатно. Думаю, что с шестой версией будет тоже самое. Но судя по странице продукта, пока всё не так.

                    +14
                    я правильно понимаю, что кроме сертифицированных обновлений на этот сервер накатывать ничего нельзя?
                      0
                      Смотря что накатывать. Там есть некоторые тонкости, лучше уточнить в вашем Аттестационном (сертификационном) центре. Самописный софт можно поставить, сторонний какой-нибудь (1С Предприятие, например), обновления.
                      Вообще, будут выходить сертифицированные обновления.
                      +3
                      Хм… ИМХО, но все это — еще одна посадка на баки.
                        +3
                        Вот меня вопрос мучает. Если я пере соберу ядро альт линукса, сертификат ФСТЭК на него уже не будет действовать?
                          +8
                          Насколько мне известно, даже если вы обновите калькулятор gcalctool до последней версии, придется получать новый сертификат.
                            0
                            Разве сертификат не дает право обновлять ПО с официальных репозиториев?
                              0
                              Смотря как и что сертифицировано. Если конкретный программный продукт, то не дает. Это как если бы вы создали матрешку и сертифицировали ее для детей до трех лет. А родители из вашей фирмы получили большой стальной тесак и прикрутили к матрешке…
                              +2
                              Вот и я о том же. Что за линукс, который нельзя тюнинговать?!
                              • UFO just landed and posted this here
                                  +1
                                  > Firefox 3.6.12

                                  Последняя версия с секьюрити-фиксами это 3.6.16. Так что гарантированно сертифицированный дистр с гарантированными дырами. Разве что разработчики дистра бекпортировали все патчи на 3.6.12 (в чём я сомневаюсь, дебиановцы от такого способа откалазись — говорят слишком сложно).

                                    0
                                    А какая разница сколько дыр в ПО если сертифицированные системы, как правило, имеют замкнутую программную среду без доступа в не сертифицированную сеть.
                                    • UFO just landed and posted this here
                                        +1
                                        ну как-то так
                                          0
                                          А по сути — угрозы безопасности пока нет. Еще раз повторюсь, что речь идет не о системе обработки данных, а об операционной системе. Нет данных — нет угрозы. если система состоит из 1 человека и 1 компьютера, запертого на глубине 10000м без возможности коммуникации, то можно хоть какие секреты в такой системе обрабатывать.
                                          +1
                                          А тогда зачем сертификация вообще?
                                            +1
                                            1. Маркетинговый ход
                                            2. При разработке АИС использующей в своем составе данную ОС (и ничего кроме нее), возможно не нужно будет проверять программное обеспечение.
                                            +1
                                            Да ладно без доступа. Сколько персональных данных хранится и обрабатывается на различных сайтах?
                                              0
                                              Различные сайты не являются сертифицированными автоматизированными системами.
                                                0
                                                Но должны таковыми являться.
                                                  +3
                                                  … А заодно зарегистрироваными как СМИ и освященными РПЦ.
                                                  Лучше, наверное, законами саму деятельность стандартизировать, а не субьекты.
                                                    0
                                                    Фразы про законы не понял…
                                              +1
                                              Вот как раз в замкнутой среде сертификация нужна реже.
                                          +3
                                          Тюнинговать его можно! Сертификат от этого не теряется. Понятно, что если вы Альт на BSD поменяете, то всё пропало :) Но если не менять базовую систему (ключевые компоненты, систему мандатного доступа), то на аттестацию это не влияет. Посмотрите на сайте ФСТЭКа документы, они большие, но не слишком замутные.
                                            +1
                                            Тюнинговать, только без изменеия исполняемых файлов — т.е «настраивать», ядро менять нельзя, софт обновлять нельзя. Можно установить обновления предоставляемые альтлинуксом, произведенные в рамках досертефикации — т.е инспекционный контроль.
                                          +2
                                          Да, при получении сертификата обновляться нельзя. При обнаружении дыры, запускается большая бюрократическая машина.
                                            0
                                            > Насколько мне известно, даже если вы обновите калькулятор gcalctool до последней версии, придется получать новый сертификат.

                                            Не придется! :) На сколько я понимаю, мелкий софт или там браузер можно обновить спокойно. Но лучше уточнить у тех, кто вас будет проверять и/или аттестовывать. Кстати, будут выходить сертифицированные обновления.
                                        +6
                                        Куда уж там RHEL и SLES до Альт Линукса и сертификатов ФСТЭК. Срочно переводим сервера на сертифицированный Linux дабы не нарушить закон «О персональных данных».
                                          0
                                          а RHEL SLES не могут быть использованы для хранения гос тайн?
                                        +4
                                        К сожалению, сертификация конкретной конфигурации операционной системы не избавляет от сертификации автоматизированной системы в целом — с этим проблем существенно больше. Хотя конечно приятно, что дистрибутив "может быть использован для разработки...".
                                          +3
                                          Без сертифицированной ОС вы вообще ничего не сертифицируете. Линукс же, в отличие от винды, содержит 99% нужного вам софта, которого — очень возможно — вам хватит.
                                            0
                                            >>Без сертифицированной ОС вы вообще ничего не сертифицируете
                                            неправда
                                          0
                                          Молодцы. Долго и усердно его пилят, с поддержкой тоже всё отлично. Давно пора.
                                            +1
                                            Цена впечатляет…
                                              +3
                                              Я тоже удивлен.
                                              Альт Линукс 5.0 Ковчег (Сервер + Десктоп) 1400руб
                                              Альт Линукс СПТ 6.0 Рабочая станция Сертификат ФСТЭК 7000руб. + Альт Линукс СПТ 6.0 Сервер Сертификат ФСТЭК 20000 руб.

                                              Итого 25600 руб. за бумажку с печатью…
                                              Что-то нужно менять в системе сертификации, раз столько денег на нее уходит…
                                                +3
                                                На самом деле проверить много гигабайт кода на «недекларированные возможности» это очень, очень дорого.
                                                  +6
                                                  Практика показывает, что эта проверка ничего не означает. В проверенных продуктах есть дырки. сертификация — формальность, чтобы все было по закону. А по жизни, по моему, последняя стабильная версия популярной во всем мире open source системы, за которой следят и тестируют миллионы людей более безопасна, нежили старая конкретная сборка, которую проверила узкая группа специалистов.
                                                    +27
                                                    Вы просто не понимаете цели сертификации, лицензирования и т.д.
                                                    Их цель — не пофиксить баги, не закрыть дырки, не решить какие-то технические проблемы и не обеспечить безопасность.
                                                    Любой сертификат — это такая бумажка, прикрывающая сразу целый ряд чиновничьих и манагерских задниц.
                                                    Случись чего — куча народа сможет заявить, что они не при чем, что у них сертификат, который дает им право не делать и не думать. Сертификат вроде как снимает с них ответственность. При этом на других — тех кто сертификат выдал — в большинстве случаев ничего не вешается, точнее вешается, но на деле они мастерски уворачиваются.
                                                    Сертификация — это такой ритуал, позволяющий сидеть ровными попами на теплых местах, пилить бюджеты, получать зарплаты и чем-то «управлять», но при этом ни за что не отвечать.
                                                    И пока кардинально не изменится система управления человечеством — ничего не изменится.
                                                      +1
                                                      Согласен с вами полностью. Просто обидно что все так…
                                                        +1
                                                        +100500
                                                        Но, имхо, просто не надо принимать законы, от которых ни какого толку, а только производство кучи макулатуры ну и обеспечения нескольких дополнительных ставок в гос. структурах — куда уж без этого…
                                                        Ах да! И быстрее, быстрее пилить бюджет, пока ни кто не очухался — хотя кто очухается? Сами пишем закон — сами пилим деньги с него… Россия, однако!
                                                          0
                                                          В рамках сегодняшней структуры власти (римское право, три ветви и все такое) одним законом ничего сделать невозможно. Сертификация на этапе подготовки к ней заставляет сделать хоть что-то, хотя бы прикрывать совсем уж явные косяки и не совершать совсем уж глупые ошибки. Вариант «подогнать проверяющему», правда, тоже имеется, но этот вариант несистемный=).
                                                            0
                                                            Хочется ошибаться, но, по-моему, шансы получить заветный сертификат куда больше, если отдать работы на аутсорс «правильной» фирме, независимо от того, что сделано будет реально. Поставят на рабочую станцию под линукс сертифицированный антивирус (положено!), а возможность логина под рутом не отключат.
                                                              0
                                                              Зачем под линукс антивирус? Где такое написано!? Там вроде такая фраза, что требуется установка антивируса бла-бла-бла, за исключением операционных систем, где установка антивируса не повышает защиту. Или как-то так.
                                                                0
                                                                Внимательно не вчитывался, может вы и правы и под линукс антивирус не нужен. Но вот если там действительно фраза «за исключением операционных систем, где установка антивируса не повышает защиту» то доказать бюрократам, что антивирус под линукс не повышает защту может быть сложно.
                                                          +1
                                                          вот не надо только про «смену системы управления человечеством» — лучше уж так как есть чем в «пластиковые гробы» (см. «Гробы для американцев»)
                                                        +1
                                                        Было бы классно, если при проверке они фиксили все баги.
                                                          +2
                                                          Хоть польза была бы от проверки.
                                                            0
                                                            Или говоришь, хочу сертифицированный Linux, они тебе его из сорцов собирают, снимают контрольные суммы и дают сертификат :)
                                                              +1
                                                              Это не цель проверки. Баги будет фиксить разработчик. На сайте обещают сертифицированные обновления.
                                                            0
                                                            Чет я тогда не понимаю — лицензия на сертифицированную винду стоит примерно столько же. Мне кажется, что с такими ценниками теряется основное конкурентное преимущество линукса.
                                                              +2
                                                              Ситуация 1. У вас был сайт на LAMP. Бац — ВНЕЗАПНО появился закон про персональные данные, который вас касается. У вас варианты — переезжать на винду или на альт линукс.
                                                              Ситуация 2. У вас свой сервер за несколько килобаксов, возможно не один. На нем крутится сайт, на разработку и доработку которого ушло несколько человеко-лет, по цене в десятки килобаксов за каждый человеко-год. Плюс-минус 20к руб за ОС в этом случае погоды не делает.
                                                              Собственно редхат и прочие там каноникал именно за счет ситуации 2 и живут.
                                                                +5
                                                                Windows сертифицирована на класс ниже — НСД только 5 (и, соответственно, 1Г и и персданные всего лишь до К2). Я лично по-любому Linux выберу сертифицированный, а не винду :) Потом сертифицированный windows server будет существенно дороже (там дополнительный ценник за ФСТЭК), да ещё за каждое подключение нужно заплатить. А тут нет ограничений по количеству пользователей на сервере.
                                                                  –5
                                                                  оох посмотрю я на вас, когда вам на тот же сервер будет необходимо ставить к примеру сертифицированный МЭ, IPS или випнет клиент…
                                                            0
                                                            А если найдут мегадыру в каком-нибудь приложении (через которую можно root доступ получить) то как тогда быть? =)
                                                            А если стоит сертифицированный Linux на сервере и этот сервер взломают через эту дыру? То кто крайний?
                                                              +2
                                                              Никто. В этом весь трюк х)
                                                              НУ в самом худшем случае разгонят один центр сертификации и из этих же людей откроют такой же, но под другой вывеской.
                                                                +4
                                                                А центры сертификации кто сертифицирует?
                                                              +4
                                                              Товарищи! Я тут начитал кучу комментариев на тему сертификации, и хочу внести свои пять копеек:
                                                              1. Зачем все нужно — как правильно заметил hoxnox, для создания «сертифицированных автоматизированных системах» и причем в государственных структурах — типа МинОбороны, т.е. без подобного рода сертификатов тебе скажут в 100% случаев — ты чего мальчик, у нас Венда есть, хотя ее тоже можно сертифицировать.
                                                              2. Я искренне рад за АльтЛинукс и то что им удалось пройти ОЧЕНЬ нелегкий и затратный путь сертификации, времени это должно было занять около 8-12 месяцев, денег — крайне неприличное количество, и ту цену, что оны выкатили за лицензию — это вполне по божески.
                                                              3. Фстек, это еще не самая жестокая сертификация, есть по проще — МВД, МинСвязи, и есть по серьезней ФСБ(8 управление), также все делится на уровни доступа — данный сертификат например не позволит работать с данными, представляющими гос тайну или СС, для этого нужен минимум 1 НДВ, и 2 НСД.
                                                              4. При сертификации у всех пакетов фиксируется контрольная сумма, и любое ее изменение влечет потерю лицензии, исключение только конфигурационные файлы и другие изменяемые файлы.
                                                              5. Ярким представителем «еще более сертифицированного» дистрибутива является ASTRA Linux.
                                                                0
                                                                У альта был сертифицирован еще очень старый альт-линукс 4, так что им невпервой.
                                                                Причем сертификат на альт4 заканчивался, если мне не изменяет мой склероз, осенью 2010, и получалась временная дыра, когда сертифицированного линукса не было. Астра все же очень специфический продукт.
                                                                  +1
                                                                  Астра по составу софта плюс минус, сопоставима с сабжем, по применяемости — вопрос, к РусБитеху, но я видел огромное количество инсталляций астры, и мое мнение АльтЛинукс хорошо, только не понятна ниша — для СС нужно по серьезнее, а для просто конфедициалки — Венда + НСД нахлобучка… типа SecureNet
                                                                    +1
                                                                    Самым первым в 2002 был сертифицирован ещё Альт Линукс Мастер 2.0 (под именем Утес-К). Продавался в таких увесистых черных чемоданчиках.

                                                                    На Альт Линукс 4.0 Сервер закончился в прошлом году, на Альт Линукс 4.0 Десктоп заканчивается в июле. И сертифицированы они были на меньший класс. Так что тут, можно сказать, существенный шаг вперед (а то и два).
                                                                      +1
                                                                      На сертифицированный ALT Linux Server 4.0 сертификат закончился осенью, а вот на Desktop действует до июня.
                                                                      0
                                                                      Спасибо! Действительно, это очень долго и очень-очень затратно. А уж моральные затраты вряд ли кто-то возьмется подсчитать.
                                                                      +1
                                                                      На VirtualBox ставлю любую ОС, файловую систему шифрую и тайком играю в косынку. *Ninja*
                                                                        0
                                                                        Я так понимаю, скачать и установить АльтЛинукс не прокатит?
                                                                        Нужно устанавливать с сертифицированного носителя?
                                                                        А установить с сертифицированного носителя в 2-3 фирмы можно?
                                                                          0
                                                                          Физический сертификат же будет только в одной. А вообще да, интересный вопрос — если в случае с виндой это будет нарушением EULA, то вот с GPL и т. п. не так всё просто.
                                                                            +1
                                                                            Со стороны лицензии никаких ограничений нет, так как лицензия свободная. Но сертификация не имеет отношения к лицензии. При эксплуатации безопасных систем нельзя не учитывать человеческий фактор, именно поэтому есть закон о персональных данных и именно поэтому он не имеет отношения к лецензии самого софта. Вы можете использовать его согласно лицензии, но соответствовать заявленным в сертификате классам он соответствовать не будет.
                                                                              0
                                                                              Соответствовать-то будет, наверное, всё же. Бумажки об этом не будет в ближайших окрестностях.
                                                                                0
                                                                                я имею ввиду, что формально не будет соответствовать.
                                                                            +1
                                                                            Со стороны Альт Линукс никаких ограничений нет, вы можете устанавливать скаченную версию на неограниченное кол-во компов. А со стороны ФСТЭКа есть ограничения. На несколько организаций с одного комплекта установить нельзя, так как нужно заполнять бланк-формуляр, вносить номера носителей, писать ответственного и т.д. Если у одной фирмы несколько подразделений, рекомендуется для каждого иметь отдельный сертифицированный комплект. А техподдержка на каждый компьютер нужна, именно для своевременного получения сертифицированных обновлений и поддержание системы в актуальном состоянии.
                                                                            0
                                                                            20 000 за серверную версию!
                                                                            Не так уж и много но неприятно.
                                                                            А что нить подешевле, сертифицированное есть?
                                                                              +1
                                                                              К сожалению, нет. Предыдущая версия была дешевле, но только потому что сертификация обошлась нам дешевле, так как сертифицирована она была на меньший класс.

                                                                            Only users with full accounts can post comments. Log in, please.