Сравнение операционных Unix-систем, наиболее перспективных для импортозамещения с точки зрения ИБ

Сейчас организации, выполняющие требования регуляторов и законодательства по информационной безопасности, размышляют над вопросом, чем заменить зарубежные операционные системы, действия сертификатов которых было досрочно прекращено, чтобы обеспечить соответствие мерам защиты информации.

В этой статье в блоге ЛАНИТ я пытаюсь частично ответить на данный вопрос для тех, кто готов будет изменить и, возможно, перестроить свою информационную инфраструктуру. Пост поможет ИБ-специалистам определиться с заменой операционных систем и значительно сэкономит их время по поиску нужной информации.

48a55ee5a9eb2e01522e4091ad08daf7.jpeg

Для начала предоставим список операционных систем сертификаты которых больше не являются действительными:

  • Microsoft Windows Server 2016,

  • Microsoft Windows 10,

  • Red Hat Enterprise Linux 8,

  • Red Hat Enterprise Linux 7,

  • SUSE Linux Enterprise Server 12 SP3,

  • SUSE Linux Enterprise Server for SAP Applications 15 SP3,

  • Стрелец. (Об этом случае будет отдельно упомянуто далее.)

Обращаю ваше внимание, что таким образом на данный момент нет ни одной операционной системы семейства Windows имеющей действующий сертификат ФСТЭК России. При этом, конечно, всё ещё есть сертификаты с действующим сроком поддержки до 2023 года:

  • Microsoft Windows Server Datacenter 2012 R2,

  • Microsoft Windows Server Standard 2012 R2,

  • Windows 8.1,

  • Microsoft Windows Server Standard 2012,

  • Microsoft Windows Server Datacenter 2012.

Ещё раз подчеркну, что в этой статье преимущественно описан взгляд со стороны обеспечения информационной безопасности, поэтому рассматривались следующие параметры.

  1. Первичным и главным критерием отбора операционных систем для составления сравнительной характеристики являлся факт присутствия в них функциональности средства защиты информации, который подтверждается наличием действующего сертификата ФСТЭК России.

  2. Вторым критерием по важности признаются возможности обеспечения безопасности с помощью встроенного функционала и с помощью интеграции сторонних средств защиты информации. Причём, учитывалось только следующее.

    1. Официально подтверждённые факты совместимости со стороны разработчиков (сертификаты совместимости, заявления производителей и поставщиков ПО, документация на ПО и т.п.). Это делается для того, чтобы исключить их некорректную работу (хотя, конечно, полностью этого делать нельзя), а как следствие — возникновение ряда угроз безопасности информации (например, УБИ.037 или УБИ.205).

    2. Сертифицированные средства защиты информации (ФСТЭК России или ФСБ России).

  3. Третьим фактором являлось наличие общесистемного функционала и совместимость с распространённым прикладным программным обеспечением. Не учитывать это для формирования рейтинга операционных систем нельзя. Однако этому аспекту было уделено меньше внимания, чем остальным.

В итоге для сравнения были выбраны следующие операционные системы:

Далее представлен небольшой список кандидатов для анализа, которые были рассмотрены, но по тем или иным причинам не вошли в вышеуказанный список.

  • ОС Topaz Linux: имеет действующий до 06.05.2027 сертификат ФСТЭК России (№4541), однако она предназначена для встраивания в промышленные контроллеры от одноимённой фирмы. Не рассмотрена из-за своей специфичности.

  • ОС «Циркон 37К»: имеет действующий до 23.09.2026 сертификат ФСТЭК России (№4444). Не рассмотрена ввиду крайне малого количества необходимой для сравнения информации.  

  • ОС GosLinux: имеет действующий до 14.03.2024 сертификат ФСТЭК России (№4072). Разработчик «РЕД СОФТ» (в актуальном списке есть их система ОС «РЕД»), однако сама система по всей видимости используется только для нужд ФССП России. Не рассмотрена из-за своей специфичности.  

  • ОС «Стрелец». Разработчик НППКТ (в актуальном списке есть их система ЗОС «ОСнова»), однако действие сертификата ФСТЭК было досрочно прекращено. К сожалению не было найдено информации о причинах такого решения, но данный факт удивителен, ведь до недавнего времени это был один из допустимых кандидатов.

  • ОС «МСВСфера» Разработчик НППКТ, однако не имеет действующего сертификата ФСТЭК. Также специфична тем, что разрабатывалась для нужд Вооружённых сил РФ.

Сравнительная характеристика

dfb7c325c33de769547241f1ca1dafab.jpeg

Таблицы расположены в порядке значимости критериев оценки (от наиболее важного к наименее существенному). По возможности указаны версии программного обеспечения и предоставлены ссылки на подтверждающие материалы.

Если в подтверждении используется сертификат совместимости, в котором не указана версия ПО, то это значит, что стороны заключили договор о сотрудничестве (партнёрстве) и до сих пор придерживаются его.

Информация о сертификатах ФСТЭК России и ФСБ России представлена в таблице 1.

Таблица 1. Сертификаты

AlterOS

(версия 7.5)

«Альт 8 СП»

«СинтезМ»

(версия 7.5)

«ОСнова»

(версия 2.5.1)

РОСА «КОБАЛЬТ»

(версия 7.9)

«РЕД»

(версия 7.3

«МУРОМ»)

Astra Linux Special Edition

(версия 1.7 «Смоленск»)

Сертификат ФСТЭК России


(№4393, действует до 26.04.2026)


(№ 3866, действует до 10.08.2023)


(№ 4399, действует до 30.04.2026)


(№4381, действует до 31.03.2026)


(№ 4039, действует до 07.12.2023)


(№ 4060, действует до 12.01.2024)


(№ 2557, действует до 27.01.2026)

Уровень доверия

4

4

4

4

4

4

2 и 1

Сертификат ФСБ России


(№ СФ / СЗИ-0283, действует до 08.08.2024)


(№ СФ / СЗИ-0216, действует до 31.10.2022)


(№ СФ / СЗИ-0342, действует до 04.04.2024)

и

(№ СФ / СЗИ-0343, действует до 04.04.2024)

Сертифицированная серверная реализация

Встроенные функции обеспечения информационной безопасности в таблице 2.

Таблица 2. Функции обеспечения ИБ

ОС / Функция

AlterOS

(версия 7.5)

«Альт 8 СП»

«СинтезМ»

(версия 7.5)

«ОСнова»

(версия 2.5.1)

РОСА «КОБАЛЬТ»

(версия 7.9)

«РЕД»

(версия 7.3

«МУРОМ»)

Astra Linux Special Edition

(версия 1.7 «Смоленск»)

Защита виртуальной инфраструктуры

Межсетевое экранирование

Поддержка двухфакторной идентификации и аутентификации пользователей

Аудит и журналирование событий безопасности

Контроль целостности и резервное копирование

Организация доступа через SSH

Дискреционное разграничение доступа

Мандатное разграничение доступа

Ролевое разграничение доступа

Разграничение доступа к внешним устройствам

Гарантированное стирание данных с помощью полной их перезаписи

Гарантированное стирание данных с невозможностью их восстановления

Совместимые средства криптографической защиты информации (СКЗИ) представлены в таблице 3.

Таблица 3. СКЗИ

Совместимые средства защиты информации (СЗИ) представлены в таблице 4.

Таблица 4. СЗИ

Доменная реализация представлена в таблице 5.

Таблица 5. Доменная реализация ОС

ОС / Реализация

AlterOS

(версия 7.5)

«Альт 8 СП»

«СинтезМ»

(версия 7.5)

«ОСнова»

(версия 2.5.1)

РОСА «КОБАЛЬТ»

(версия 7.9)

«РЕД»

(версия 7.3

«МУРОМ»)

Astra Linux Special Edition

(версия 1.7 «Смоленск»)

FreeIPA

Samba DC

Своя разработка 

Поддержка систем управления баз данных (СУБД) представлена в таблице 6.

Таблица 6. СУБД

Здесь стоит упомянуть, что некоторые из перечисленных выше СУБД являются средствами защиты информации (таблица 7).

Таблица 7. СУБД-СЗИ

Совместимость с программным обеспечением общего назначения представлена в таблице 8.

Таблица 8. Общее ПО

Результаты анализа

adcd3a7cf472e4ecfa39c6416ee41a64.jpeg

В результате проведённого анализа можно резюмировать следующее.

  • Большинство сертификатов ФСТЭК России рассмотренных операционных систем подтверждают, что они соответствуют четвертому уровню доверия. Следовательно, они могут применяться:

    • на объектах критической информационной инфраструктуры (КИИ)
      первой категории и ниже;

    • в государственных информационных системах (ГИС) первого класса защищённости и ниже;

    • в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) первого класса защищённости и ниже;

    • в информационных системах персональных данных (ИСПДн) при необходимости обеспечения первого уровня защищённости персональных данных и ниже.

  • Ожидаемым лидером по всем параметрам отбора является ОС Astra Linux Special Edition, который имеет сертификат ФСТЭК России, подтверждающий соответствие второму и первому уровням доверия и позволяющий применять систему при обработке информации, содержащей сведения, составляющие государственную тайну. Это также подтверждается сертификатами ФСБ России.

Итоговый список операционных систем в соответствии с выбранными критериями оценки выстроился следующим образом:

  • ОС Astra Linux Special Edition,

  • ОС «РЕД»,

  • ОС «Альт 8 СП»,

  • ОС РОСА «КОБАЛЬТ»,

  • ОС «AlterOS»,

  • ЗОС «СинтезМ»,

  • ЗОС «ОСнова».

Безусловно, необходимо дать некоторые пояснения, почему рейтинг получился именно таким. 

ОС «РЕД» по параметрам сопоставима с ОС Astra Linux Special Edition, однако её уровень доверия ниже и не имеет сертификатов ФСБ России. Расположение защищённых операционных систем (ЗОС) на последних местах обосновывается их ограниченной совместимостью со средствами защиты информации. ЗОС «СинтезМ» превосходит ЗОС «ОСнова» из-за возможности обрабатывать информацию, содержащую сведения, составляющие государственную тайну. Учитывая это в некоторых особых условиях ЗОС «СинтезМ» может подойти больше, чем даже решения, находящиеся выше в списке, однако специфичность самой системы (она применяется в качестве гостевой операционной системы для виртуальных машин) не позволяет рекомендовать её на данные позиции в подавляющем числе случаев. В остальном места распределены относительно анализируемых параметров. 

Этот рейтинг может быть пересмотрен в случае появления новой информации от разработчиков операционных систем или программных продуктов.

Спасибо за прочтение. Надеюсь, собранная информация будет полезна. Если вы не согласны со сформированным рейтингом, то напишите в комментариях свой вариант с обоснованием вашей позиции. Также будет крайне ценным ваш личный опыт внедрения и эксплуатации этих систем, поделитесь по возможности.

© Habrahabr.ru