Захищена Ubuntu*Pack з висновком від ДССЗЗІ України

Комплекс засобів захисту програмного забезпечення «Операційна система «Ubuntu*Pack 18.04/20.04» (далі «Ubuntu Secured*Pack») має позитивний Експертний висновок зареєстрований в Державній службі спеціального зв’язку та захисту інформації за №985 від 27/06/19 та №1133 від 09/07/20 та внесено в "Перелік засобів технічного захисту інформації, дозволених для забезпечення технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом", що дозволяє його використання у системах, де циркулює інформація з обмеженим доступом та персональні дані.

ДССЗЗІ продовжило термін дії експертного висновку №1133 від 09.07.2020 на «Ubuntu*Pack 20.04» до кінця дії воєнного стану в Україні та протягом шести місяців після його закінчення. Детальніше.

«Ubuntu Secured*Pack»

є сукупністю функцій та механізмів безпеки в складі програмного забезпечення ОС призначених для реалізації захисту інформації з обмеженим доступом (ІзОД) (у тому числі інформації, що становить державну таємницю; конфіденційної інформації, яка є власністю держави; конфіденційної інформації про особу (персональні дані); інформації, що становить комерційну таємницю, і т.п.), оброблюваної в автоматизованих системах (АС) класу 1, АС класу 2 та АС класу 3, що побудовані на базі ПЕОМ/Сервері (окремих та/або об’єднаних в локальну обчислювальну мережу), які функціонують під управлінням «Ubuntu Secured*Pack».

Сукупність послуг безпеки, які реалізуються функціональним складом «Ubuntu Secured*Pack» становлять такий профіль захищеності: 3.КЦД."Ubuntu*Pack"={КД-2, КА-1, КА-2, КО-1, КВ-2, ЦД-1, ЦА-1, ЦА-2, ЦВ-2, ДР-1, ДЗ-1, ДС-1, ДВ-1, НР-3, НИ-3, НК-1, НО-3, НЦ-2, НТ-3, НВ-2}.

Розробником забезпечуються гарантії реалізації послуг безпеки, процесу розробки, постачання та супроводження «Ubuntu Secured*Pack» згідно з умовами гарантій рівня Г-3.

«Ubuntu Secured*Pack» дозволяє забезпечити реалізацію політики адміністративного та довірчого управління доступом до об’єктів та процесів ОС, забезпечує захист інформації, яка представлена у вигляді файлів даних довільного типу (електронних документів, електронних таблиць, конструкторських креслень, даних геоінформаційних систем, об’єктів баз даних і т.п), інтерфейсів взаємодії та інформаційних потоків ініційованих процесами ОС.

Особливостями «Ubuntu Secured*Pack» є:

  • комплекс засобів захисту в повному обсязі відповідає чинній нормативно-правовій базі України та відкритим міжнародним стандартам
  • висока стійкість до різних типів/класів кіберзагроз та хакерських атак
  • повний імунітет до вірусних загроз (в тому числі до вірусного транзиту)
  • система з відкритим вихідним кодом - відсутність закладок та прихованих шпигунських програм
  • низькі вимоги до апаратного забезпечення дозволяють встановити ОС на застаріле обладнання без модернізації наявного парку комп'ютерів
  • можливість використання як на серверах так і на робочих місцях
  • повна інфраструктурна сумісність з більшістю наявних програмних екосистем
  • контроль дій користувачів і процесів, при використанні інформаційних об'єктів відповідно до обраної політикою безпеки
  • вітчизняна підтримка продукту його розробником
  • зниження загальної вартості продукту внаслідок включення у його склад широкого спектра додаткового програмного забезпечення, у тому числі офісного (тексти, таблиці, презентації)

У «Ubuntu Secured*Pack» реалізуються наступні сервіси (функції) безпеки:

  • Аудит (Audit – AU) – функціональність КЗЗ, призначена для реєстрації подій безпеки в системі та надання можливості користувачам ОС з адміністративними повноваженнями контролювати процеси та дії користувачів, слідкувати за тим, як використовується комплекс, а також правильно його конфігурувати;
  • Системний моніторинг (System Monitoring – SM) – функціональність КЗЗ, призначена для отримання інформації щодо перебігу процесу завантаження, актуального стану безпеки та працездатності компонентів ОС, прикладних процесів, які запущено в рамках середовища користувача ОС та аналізу результатів аудиту;
  • Ідентифікація та автентифікація користувачів (Identification and authentication – I&A) – функціональність КЗЗ, яка базується на обчисленні та використанні суб’єктами доступу (користувачі) унікальних атрибутів доступу (ім’я користувача, пароль, сеансовий ідентифікатор, електронний сертифікат, ідентифікатор доступу тощо) для здійснення процедур авторизації їх під час доступу до об’єктів ОС);
  • Авторизація користувачів в системі (Authorization – AU) – функціональність КЗЗ, яка забезпечує реалізацію політики розмежування доступу до об’єктів (обраних каталогів та файлів, що містяться у них), на основі визначених атрибутів користувачів та об’єктів в системі та надає функціональні можливості для адміністраторів ОС керувати цим доступом, що дозволяє організувати спільну роботу декількох користувачів, які мають різні службові обов’язки та права по доступу до захищеної інформації.
  • Керування користувачами та ролями (User and role management – URM) – функціональність КЗЗ, яка визначає рольову модель керування користувачами та доступом до об’єктів ОС.
  • Керування процесами в ОС (Process Management – PM) – функціональність КЗЗ, яка призначена для
    • керування доступом процесів до об’єктів ОС та політикою їх ініціювання;
    • управління потоками інформації та блокування потоків інформації, що можуть призвести до зниження її рівня конфіденційності;
    • розмежування доступу прикладних програм до обраних каталогів та файлів, що містяться у них, що дозволяє забезпечити захист інформації від випадкового видалення або пошкодження, а також забезпечити дотримання технології її оброблення.
  • Встановлення обмежень (Quota – QU) – функціональність ОЕ, призначена для керування обмеженнями щодо використання обчислювальних ресурсів апаратної платформи розгортання ОС та системних ресурсів ядра ОС, в рамках виконання прикладних застосувань користувачів.
  • Доступність системи (High availability – HA) – функціональність КЗЗ, призначена для забезпечення відповідного рівня стійкості процесів та модулів ОС до відмов та помилок виконання, а також підтримки механізмів відновлення функціональності ОС та об’єктів захисту.
  • Ізоляція процесів та захист від несанкціонованого повторного використання об’єктів (Process isolation – PI) – функціональність КЗЗ, яка забезпечує захист процесів користувача від несанкціонованого ініціювання та перевищення повноважень, контроль цілісності процесів в ході їх виконання та розділення віртуального простору пам’яті, який використовується процесами.
  • Безпека зберігання даних в ОС (Data Storage Security – DSS) – функціональність КЗЗ, яка забезпечує:
    • захист об’єктів ОС, які зберігаються в файловій системі;
    • контроль за імпортом інформації зі знімних носіїв;
    • контроль за експортом інформації на знімні носії із забезпеченням можливості реєстрації змінних носіїв та обмеження (для певних користувачів) переліку використовуваних знімних носіїв тільки зареєстрованими;
    • гарантоване знищення інформації з обмеженим доступом при видаленні відповідних файлів;
    • контроль цілісності прикладного програмного забезпечення (ПЗ) та ПЗ комплексу, а також блокування завантаження програм, цілісність яких порушено, що дозволяє забезпечити захист від вірусів та дотримання технології оброблення захищеної інформації;
    • контроль за використанням дискового простору користувачами, що виключає можливість блокування одним із користувачів можливості роботи інших користувачів;
    • можливість блокування пристроїв інтерфейсу користувача (клавіатури, миші, монітора) на час його відсутності;
    • контроль цілісності та самотестування комплексу при старті та за запитом адміністратора;
  • Менеджер оновлення системи та встановлення ПЗ (update manager – UM) – функціональність КЗЗ, яка реалізує завантаження та встановлення пакетів оновлень для ОС та пакети додаткового програмного забезпечення із достовірних джерел.
  • Підтримка протоколів захищеної передачі даних (Network and Communication Security – NCS) – функціональність КЗЗ, яка реалізує механізми шифрування даних з використанням поширених бібліотек криптографічного захисту, сертифікованих в сфері КЗІ.
  • Захист зовнішніх підключень до інтерфейсів хоста – функціональність КЗЗ, призначена для забезпечення захисту логічних інтерфейсів взаємодії, які забезпечуються ОС в процесі обробки отримуваних а транзитних інформаційних потоків.
  • SELinux/AppArmor – реалізація механізмів мандатного управління доступом користувачів та процесів (MAC), багаторівневої безпеки (MLS) та безпеки мультикатегорій (MCS) в ядрі Linux.
    • Мета політики доступу, реалізована SELinux полягає в тому щоб забезпечити можливість керування привілеями на основі ролей, які може виконувати той чи інший користувач, а потім – обмежити область впливу, в яку може входити роль, шляхом визначення допустимих поєднань ролей і доменів.
    • AppArmor – програмний інструмент попереджувального захисту, заснований на політиках безпеки, які визначають, до яких системних ресурсів і з якими привілеями може отримати доступ той чи інший додаток, запущений в систем. AppArmor дозволяє системному адміністратору обмежувати можливості програм за допомогою профілів програми. Профілі можуть дозволити такі можливості, як доступ до мережі, доступ до необроблених сокетів і дозвіл на читання, запис або виконання файлів на відповідних шляхах. AppArmor доповнює традиційну в Unix вибіркову систему контролю доступу (DAC), забезпечуючи обов'язковий контроль доступу (MAC).

Захищена операційна система "Ubuntu Secured*Pack" максимально вдовольнить вимоги щодо надійності роботи, відповідності міжнародним відкритим та державним стандартам і безпеки інформації.

«Ubuntu Secured*Pack» може використовуватись на робочих станціях та серверах розподілених обчислювальних мереж. Склад інсталяційних пакетів дозволяє забезпечувати необхідну функціональність ОС в рамках розгортання:

  • підприємства та організації державного сектора, в діяльності яких передбачається використання спеціалізованого захищеного програмного середовища для обробки інформації з будь-якими грифами секретності, у тому числі вищими, в автоматизованих системах AC-1, AC-2, AC-3 (наприклад АРМ класу АС-1 для РСО)
  • підприємства та організації недержавного сектора, що мають потребу у використанні АРМ або Серверу з підвищеним захистом як від локального злому так і від можливого впровадження зловмисних програмних агентів
  • забезпечення безпеки інформаційно-телекомунікаційних систем (ІТС)
  • захищених автоматизованих робочих місць користувачів (як локалізованих, так і в складі ІТС)
  • захищених віртуальних машин
  • захищених функціональних серверів в складі локальних та розподілених ІТС (баз даних, електронної пошти, файлові сервери, веб-сервери (хостинг сайтів) тощо)
  • спеціалізованих серверів забезпечення інфраструктури локальних та розподілених ІТС (мережевого маршрутизатора, захищених мережевих шлюзів та фільтрів, IPS / IDS системи, DNS, DHCP, NTP-сервери, SYSlog-сервери та сенсори SIEM-систем (систем управління подіями кібербезпеки, сервери каталогів (SAMBA, Kerberos, LDAP, Radius) тощо).

та багато інших сфер застосування...


Більш детальна інформація наведена в документі: «Ubuntu Secured*Pack». Функціональні специфікації». Також ви можете


«Ubuntu Secured*Pack» розроблений на базі Ubuntu*Pack. Ви можете (не є захищеною версією).


Поточні клієнти можуть завантажити актуальні версії ISO-образів «Ubuntu Secured*Pack» із закритого репозиторію: «20.04» «22.04»

Звертаємо Вашу увагу ! Що версія для завантаження і тестування не означає те, що ви використовуєте захищену операційну систему «Ubuntu Secured*Pack».

Експертний висновок поширюється тільки за умови придбання «Ubuntu Secured*Pack» у офіційних верифікованих джерел ТОВ «УАЛІНУКС» або його партнерів, та забезпечення повного спектра технічної підтримки (інструкції, профілі безпеки, опис функціональних специфікацій, доступ до закритого сховища для оновлення системи відповідно до вимог Г-3 тощо).


«Ubuntu Secured*Pack» вже використовується в таких організаціях:

Міністерство охорони здоров'я України

Міністерство охорони здоров'я України

Державна служба спеціального зв'язку та захисту інформації України

Державна служба спеціального зв'язку та захисту інформації України

Служба безпеки України

Служба безпеки України

Державна служба України з надзвичайних ситуацій

Державна служба України з надзвичайних ситуацій

Рада національної безпеки і оборони України

Рада національної безпеки і оборони України

та інших.

  

ТОВ "УАЛІНУКС"

Телефон: +380 (97) 33-55-1-88 (пн ... пт   09.00 - 18.00)

Viber, WhatsApp, Telegram: +380 (97) 33-55-1-88 (24/365)

E-Mail: [email protected] (Головний офіс)

© 2020 UALinux