Требования (безопасности информации) ФСТЭК России к операционным системам вступили в силу почти 7 лет назад (с 01 июня 2017 года) и с тех пор (по состоянию на сегодня) в Государственный реестр сертифицированных средств защиты информации было включено 18 средств, у 15 из которых схема сертификации - серия.
Было установлено три типа операционных систем (ОС) и шесть классов защищённости (самый низкий класс – шестой, самый высокий – первый).
Типы операционных систем (ОС):
- ОС типа А: операционная система общего назначения – операционная система, предназначенная для функционирования на средствах вычислительной техники общего назначения (автоматизированные рабочие места, серверы, смартфоны, планшеты, телефоны и иные);
- ОС типа Б: встраиваемая операционная система – операционная система, встроенная (прошитая) в специализированные технические устройства, предназначенные для решения заранее определенного набора задач;
- ОС типа В: операционная система реального времени – операционная система, предназначенная для обеспечения реагирования на события в рамках заданных временных ограничений при заданном уровне функциональности.
Классы защищённости операционных систем (ОС):
- ОС 6 класса защиты применяются
- в государственных информационных системах 3 и 4 классов защищенности
- в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности
- в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровней защищенности персональных данных.
- ОС 5 класса защиты применяются
- в государственных информационных системах 2 класса защищенности
- в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности
- в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных
- ОС 4 класса защиты применяются
- в государственных информационных системах 1 класса защищенности
- в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности
- в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных
- в информационных системах общего пользования II класса
- ОС 1, 2 и 3 классов защиты применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
В дополнение к Требованиям были утверждены Профили защиты операционных систем.
Идентификаторы Профилей защиты имеют формат ИТ.ОС.{тип = А,Б,В}.{класс = 1..6}.ПЗ. Полный перечнь - в таблице ниже, ссылки ведут на тексты Профилей на сайте ФСТЭК России (Профили 1-3 класса защиты не публикуются).
| Тип операционной системы \ Класс защиты | 6 | 5 | 4 | 3 | 2 | 1 |
|---|---|---|---|---|---|---|
| ОС типа А: операционная система общего назначения | ИТ.ОС.А6.ПЗ | ИТ.ОС.А5.ПЗ | ИТ.ОС.А4.ПЗ | ИТ.ОС.А3.ПЗ | ИТ.ОС.А2.ПЗ | ИТ.ОС.А1.ПЗ |
| ОС типа Б: встраиваемая операционная система | ИТ.ОС.Б6.ПЗ | ИТ.ОС.Б5.ПЗ | ИТ.ОС.Б4.ПЗ | ИТ.ОС.Б3.ПЗ | ИТ.ОС.Б2.ПЗ | ИТ.ОС.Б1.ПЗ |
| ОС типа В: операционная система реального времени | ИТ.ОС.В6.ПЗ | ИТ.ОС.В5.ПЗ | ИТ.ОС.В4.ПЗ | ИТ.ОС.В3.ПЗ | ИТ.ОС.В2.ПЗ | ИТ.ОС.В1.ПЗ |
Для удобства свёл все имеющиеся в реестре сертифицированные ОС в единую таблицу:
| Класс \ Тип | А (общего назначения) | Б (встраиваемая) | В (реального времени) |
|---|---|---|---|
| 1 | • Astra Linux Special Edition | отсутствуют | отсутствуют |
| 2 | • Нейтрино • Общесистемное ПО для супер-ЭВМ (50 шт.) • ОС Арамид (50 шт.) • Системное ПО Супер-ЭВМ (50 шт.) • Стрелец • Astra Linux Special Edition |
отсутствуют | • Нейтрино |
| 3 | отсутствуют | отсутствуют | отсутствуют |
| 4 | • Аврора • Альт 8 СП • ОСнова • ОС АИС ФССП России • РЕД ОС • РОСА КОБАЛЬТ • СинтезМ • Циркон 37К • AlterOS |
• ПО устройства серии БЭМП • Topaz Linux |
отсутствуют |
| 5 | отсутствуют | отсутствуют | отсутствуют |
| 6 | отсутствуют | отсутствуют | отсутствуют |
Важно!
Информация в приведённой таблице актуальна на дату публикации. Текущие действующие сертификаты ФСТЭК можно посмотреть в соответствующем Реестре ФСТЭК России. Также по возможности актуализируется информация в Каталоге средств защиты информации.
Как видно из таблицы, для большинства профилей защиты соответствующих ОС в реестре нет. Самый популярный профиль - ИТ.ОС.А4.ПЗ (суммарно 9 сертификатов). Встраиваемых ОС всего две. Операционная система реального времени - только одна. Наивысший (первый) класс защищённости - только у одной ОС, второй класс - у семи (включая варианты сертификации не как серия).
В общем, если не брать в расчёт отдельные выпадающие случаи (использование Супер-ЭВМ, потребность в очень высоком классе защиты или, например, необходимость работы в режиме реального времени), для корпоративного использования при желании выбрать есть из чего.
Комментарии из Telegram
Комментарии ВКонтакте