ФСТЭК опубликовала методические документы о профилях защиты операционных систем устройств общего назначения

171

На сайте Федеральной службы по техническому и экспортному контролю опубликованы методические документы — профили защиты операционных систем типа «А» 4-6 классов.

Документы предназначены для разработчиков средств защиты информации, заявителей на осуществление сертификации продукции и для испытательных лабораторий и организаций, выполняющих работы по сертификации операционных систем на соответствие Требованиям безопасности информации к операционным системам (утверждены приказом ФСТЭК России от 19 августа 2016 г. № 119).

Как пояснил D-Russia.ru руководитель Центра компетенции АО «НПО РусБИТех» Роман Мылицын, документ развивает положения Информационного сообщения ФСТЭК России от 18.10.2016 года № 240/24/4893 «Об утверждении требований безопасности информации к операционным системам», согласно которому под операционными системами типа «А» подразумеваются операционные системы, предназначенные для функционирования на средствах вычислительной техники общего назначения (обычные рабочие места, серверы, смартфоны, планшеты, телефоны и т.д.).

При этом, отметил Мылицын, в последнем методическом документе очерчен ряд конкретных требований, выполнение которых обязательно для сертификации любой ОС, предназначенной для использования в государственных информационных системах и защиты персональных данных.

В числе таких требований одним из важнейших стало наличие в операционной системе монитора обращений (диспетчера доступа), с возможностью его исчерпывающего анализа и тестирования (что означает, как минимум, полное предоставление его исходного кода с соответствующей документацией).

Поскольку эти требования относятся именно к операционным системам, то применение в государственных информационных системах операционных систем, исходные коды которых (в частности, систем безопасности) не представлены для проверки, будет существенно осложнено, пояснил Мылицын, добавив, что наложенные средства защиты информации операционными системами не являются.

Профили защиты для операционных систем 1-3 класса защиты (применяемые для защиты государственной тайны) в настоящее время не опубликованы, сообщил эксперт.