1 Общие сведения

1.1 Назначение и область применения

МСВСфера 9 АРМ (АРМ — автоматизированное рабочее место) — клиентская операционная система на основе ядра Linux с набором интегрированных пользовательских приложений, включающим пакет офисных программ, браузер, почтовую программу, редакторы текстов и графики, проигрыватели аудио и видео, менеджеры файлов и архивов, программу сканирования документов, множество других программ, а также средства администрирования и защиты информации. МСВСфера 9 АРМ представляет собой комплекс решений, предназначенных для организации и оптимизации работы, обладает высокой степенью гибкости и адаптивности.

В данном руководстве приведён перечень подготовительных процедур, направленных на обеспечение безопасности при внедрении и использовании операционной системы МСВСфера 9 АРМ, дано краткое описание порядка её установки и настойки, а также описание интерфейсов основных средств администрирования и их функциональных возможностей.

МСВСфера 9 АРМ включена в Реестр отечественного ПО, запись №16242 от 30.12.2022.

1.2 Обеспечение безопасности

Внедрению и использованию операционной системы должны предшествовать подготовительные процедуры, направленные на обеспечение безопасности при приемке установочного дистрибутива операционной системы от поставщика, на обеспечение безопасной установки, настройки и запуска операционной системы и на создание безопасной среды её функционирования. Реализация подготовительных процедур должна обеспечиваться необходимыми ресурсами и сопровождаться назначением ответственных за их выполнение должностных лиц.

Процедуры безопасной приемки должны предусматривать меры подтверждения подлинности установочного дистрибутива операционной системы, исключающие возможности преднамеренного или непреднамеренного внесения изменений в поставляемую версию, т.е. замены её фальсифицированной или неработоспособной версией. К таким мерам в общем случае относятся:

  • проверка подлинности источника поставки путем визуального контроля наличия и целостности специальных защитных стикеров (наклеек, знаков) на упаковке комплекта

  • поставки, а также целостности самой упаковки;

  • проверка комплектности поставки в соответствии с заявкой, договорными материалами и спецификацией, сверка маркировки и номера версии;

  • проверка целостности установочного дистрибутива с помощью программного средства контроля целостности путем сравнения с эталонным значением контрольной суммы или с помощью средств электронной подписи.

Процедуры безопасной установки, настройки, запуска операционной системы и создания безопасной среды её функционирования в общем случае должны предусматривать меры, обеспечивающие:

  • совместимость операционной системы со средствами вычислительной техники, на которых планируется её установка и использование;

  • установку, конфигурирование, настройку, запуск и управления операционной системой в соответствии с эксплуатационной документацией и принятой политикой безопасности;

  • защиту от действий, направленных на нарушение физической целостности средств вычислительной техники, на которых она функционирует;

  • доверенную загрузку операционной системы, контроль доступа к процессу загрузки, блокирование попыток несанкционированной загрузки, контроль целостности компонентов загружаемой операционной среды;

  • наличие ресурсов для выполнения функциональных возможностей безопасности операционной системы, хранения создаваемых резервных копий, а также защищенное хранение данных операционной системы и защищаемой информации;

  • ограничение на установку программного обеспечения и его компонентов, не задействованных в технологическом процессе обработки информации;

  • доверенный маршрут между операционной системой и пользователями;

  • доверенный канал передачи данных между операционной системой и средствами вычислительной техники, на которых происходит обработка информации, а также с которых происходит их администрирование;

  • невозможность отключения или обхода компонентов операционной системы и средств защиты информации.

  • препятствие несанкционированному копированию информации, содержащейся в операционной системе, на съемные носители информации, в том числе контроль вноса (выноса) в (из) контролируемую зону съемных носителей информации;

  • проверку целостности получаемых от поставщика внешних модулей уровня ядра перед их установкой в операционную систему;

  • выделение вычислительных ресурсов для процессов в соответствии с их приоритетами;

  • профессиональную компетентность и надежность персонала, ответственного за администрирование системы, его способность выполнять свои обязанности в точном соответствии с принятой политикой безопасности и эксплуатационной документацией;

  • возможность генерации аутентификационной информации, соответствующей заданной метрике качества;

  • недоступность аутентификационной информации для лиц, не уполномоченных на ее использование;

  • разделение полномочий пользователей и администраторов с назначением им минимально необходимых прав и привилегий;

  • исключение в процессе использования системы доступа пользователей к приложениям, выполняющимся с более высокими правами доступа, чем права,

  • предоставленные им согласно матрице доступа;

  • завершение администраторами приложений, запущенных ими с административными правами после окончания работы с ними;

  • запрет пользователям на передачу посторонним лицам своей личной идентификационной и аутентификационной информации, а также на регистрацию кого-либо в системе под своим именем и паролем