1 Общие сведения
1.1 Назначение и область применения
МСВСфера 9 АРМ (АРМ — автоматизированное рабочее место) — клиентская операционная система на основе ядра Linux с набором интегрированных пользовательских приложений, включающим пакет офисных программ, браузер, почтовую программу, редакторы текстов и графики, проигрыватели аудио и видео, менеджеры файлов и архивов, программу сканирования документов, множество других программ, а также средства администрирования и защиты информации. МСВСфера 9 АРМ представляет собой комплекс решений, предназначенных для организации и оптимизации работы, обладает высокой степенью гибкости и адаптивности.
В данном руководстве приведён перечень подготовительных процедур, направленных на обеспечение безопасности при внедрении и использовании операционной системы МСВСфера 9 АРМ, дано краткое описание порядка её установки и настойки, а также описание интерфейсов основных средств администрирования и их функциональных возможностей.
МСВСфера 9 АРМ включена в Реестр отечественного ПО, запись №16242 от 30.12.2022.
1.2 Обеспечение безопасности
Внедрению и использованию операционной системы должны предшествовать подготовительные процедуры, направленные на обеспечение безопасности при приемке установочного дистрибутива операционной системы от поставщика, на обеспечение безопасной установки, настройки и запуска операционной системы и на создание безопасной среды её функционирования. Реализация подготовительных процедур должна обеспечиваться необходимыми ресурсами и сопровождаться назначением ответственных за их выполнение должностных лиц.
Процедуры безопасной приемки должны предусматривать меры подтверждения подлинности установочного дистрибутива операционной системы, исключающие возможности преднамеренного или непреднамеренного внесения изменений в поставляемую версию, т.е. замены её фальсифицированной или неработоспособной версией. К таким мерам в общем случае относятся:
проверка подлинности источника поставки путем визуального контроля наличия и целостности специальных защитных стикеров (наклеек, знаков) на упаковке комплекта
поставки, а также целостности самой упаковки;
проверка комплектности поставки в соответствии с заявкой, договорными материалами и спецификацией, сверка маркировки и номера версии;
проверка целостности установочного дистрибутива с помощью программного средства контроля целостности путем сравнения с эталонным значением контрольной суммы или с помощью средств электронной подписи.
Процедуры безопасной установки, настройки, запуска операционной системы и создания безопасной среды её функционирования в общем случае должны предусматривать меры, обеспечивающие:
совместимость операционной системы со средствами вычислительной техники, на которых планируется её установка и использование;
установку, конфигурирование, настройку, запуск и управления операционной системой в соответствии с эксплуатационной документацией и принятой политикой безопасности;
защиту от действий, направленных на нарушение физической целостности средств вычислительной техники, на которых она функционирует;
доверенную загрузку операционной системы, контроль доступа к процессу загрузки, блокирование попыток несанкционированной загрузки, контроль целостности компонентов загружаемой операционной среды;
наличие ресурсов для выполнения функциональных возможностей безопасности операционной системы, хранения создаваемых резервных копий, а также защищенное хранение данных операционной системы и защищаемой информации;
ограничение на установку программного обеспечения и его компонентов, не задействованных в технологическом процессе обработки информации;
доверенный маршрут между операционной системой и пользователями;
доверенный канал передачи данных между операционной системой и средствами вычислительной техники, на которых происходит обработка информации, а также с которых происходит их администрирование;
невозможность отключения или обхода компонентов операционной системы и средств защиты информации.
препятствие несанкционированному копированию информации, содержащейся в операционной системе, на съемные носители информации, в том числе контроль вноса (выноса) в (из) контролируемую зону съемных носителей информации;
проверку целостности получаемых от поставщика внешних модулей уровня ядра перед их установкой в операционную систему;
выделение вычислительных ресурсов для процессов в соответствии с их приоритетами;
профессиональную компетентность и надежность персонала, ответственного за администрирование системы, его способность выполнять свои обязанности в точном соответствии с принятой политикой безопасности и эксплуатационной документацией;
возможность генерации аутентификационной информации, соответствующей заданной метрике качества;
недоступность аутентификационной информации для лиц, не уполномоченных на ее использование;
разделение полномочий пользователей и администраторов с назначением им минимально необходимых прав и привилегий;
исключение в процессе использования системы доступа пользователей к приложениям, выполняющимся с более высокими правами доступа, чем права,
предоставленные им согласно матрице доступа;
завершение администраторами приложений, запущенных ими с административными правами после окончания работы с ними;
запрет пользователям на передачу посторонним лицам своей личной идентификационной и аутентификационной информации, а также на регистрацию кого-либо в системе под своим именем и паролем