Программный комплекс терминального доступа «Циркон 36КТ»

Программный комплекс терминального доступа  «Циркон 36КТ» (в составе: операционная система «Циркон 36К» и программное обеспечение терминального доступа «Циркон 36Т») является программным средством защиты от несанкционированного доступа к информации, не содержащей сведений, составляющих государственную тайну.

ПКТД «Циркон 36КТ» предназначен для защиты от несанкционированного доступа к информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, хранимой и обрабатываемой на серверах и разграничения доступа пользователей к ресурсам локальной вычислительной сети, в состав которой входят терминальные сервера, функционирующие на базе операционной системы «Циркон 36К», и терминальные станции,  функционирующие на базе программного обеспечения терминального доступа «Циркон 36Т».

ПКТД «Циркон 36КТ» предназначен для разграничения доступа пользователей к ресурсам разной степени конфиденциальности локальной вычислительной сети, включая ресурсы сетей общего пользования, реализуемого предоставлением им возможности безопасной работы только с ресурсами того терминального сервера, смарт-карта с идентификационными данными которого  установлена в картридер терминальной станции, функционирующей под управлением ПО ТД «Циркон 36Т».

ОС «Циркон 36К» из состава ПКТД «Циркон 36КТ» разработана на базе ОС CentOS GNU/Linux 6.5 и предназначена для установки на однопроцессорных и многопроцессорных серверах и рабочих станциях архитектуры AMD64 и Intel 64 (64-битная версия ОС «Циркон 36К»).

ПО ТД «Циркон 36Т» из состава ПКТД «Циркон 36КТ» разработано на базе ядра ОС CentOS GNU/Linux 6.5 с файловой системой RootFS (проект LFS – Linux from Scratch), терминального клиента  ThinLinc (TL) и ПО OpenBIOS, включающего iPXE клиент. ПО ТД «Циркон 36Т» состоит из следующих двух частей:

серверной – TL-сервер, устанавливаемый на ОС «Циркон 36К» и обеспечивающий взаимодействие с терминальной частью по протоколам OpenSSH и TigerVNC;

терминальной – ядро ОС CentOS GNU/Linux 6.5, файловая система RootFS, включающая терминальный клиент TL, и ПО OpenBIOS, включающее  iPXE клиент.

Ядро и файловая система RootFS, включающая терминальный клиент TL, хранятся на сервере и загружаются в оперативную память терминальной станции только после проверки с помощью  iPXE клиента из состава ПО OpenBIOS целостности загружаемого ПО.

ПО OpenBIOS, включающее iPXE клиент, является прошивкой терминальной станции и защищено от перезаписи путем аппаратной доработки терминальной станции.

ПО ТД «Циркон 36Т» предназначено для установки на терминальных станциях архитектуры AMD64 и Intel 64 (64-битная версия) со следующей аппаратной доработкой:

1) выполнена защита микросхемы BIOS от перезаписи прошивки терминальной станции – программного обеспечения OpenBIOS, включающего iPXE клиент;

2) реализовано отключение питания терминальной станции при извлечении смарт-карты из   картридера.

ПО OpenBIOS, включающее iPXE клиент, поставляется только предустановленным на терминальную станцию и записывается разработчиком во внутреннюю микросхему BIOS. Хранение других данных в микросхеме BIOS не предусмотрено.

 ПКТД «Циркон 36КТ» предназначен для реализации мер защиты информации согласно «Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждённым приказом ФСТЭК России № 17 от 11.02.2013) и «Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждённым приказом ФСТЭК России № 21 от 18.02.2013).

Сопоставление мер защиты, для реализации которых предназначен ПКТД «Циркон 36КТ», и требований к функционалу ПКТД «Циркон 36КТ» приведено в таблице.

Сопоставление мер защиты, для реализации которых предназначен ПКТД «Циркон 36КТ», и требований к функционалу ПКТД «Циркон 36КТ»

ПКТД «Циркон 36КТ» может использоваться для создания:

Автоматизированных систем (АС) до  класса защищенности 1Г включительно в соответствии с требованиями руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (Гостехкомиссия России, 1992)»;

Государственных информационных систем (ГИС) до 1 класса защищенности включительно в соответствии с документом «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденным приказом ФСТЭК России от 11 февраля 2013 года № 17;

Информационных систем персональных данных (ИСПДн) до 1 уровня защищенности включительно в соответствии с документом «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным приказом ФСТЭК России от 18 февраля 2013 года № 21. 

Требования к функциональным характеристикам

В части защиты информации от НСД к информации ПКТД «Циркон 36КТ» удовлетворяет следующим требованиям:

Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)

ПКТД «Циркон 36КТ» обеспечивает идентификацию и аутентификацию пользователей информационной системы.

ПКТД «Циркон 36КТ» обеспечивает идентификацию и аутентификацию внешних пользователей информационной системы.

ПКТД «Циркон 36КТ» обеспечивает двухфакторную аутентификация для локального доступа в информационную систему с правами непривилегированных учетных записей (пользователей).

ПКТД «Циркон 36КТ» требует от пользователей идентифицировать себя при доступе к терминальному серверу путем использования смарт-карты со специальным форматом, идентификатора и открытого ключа терминального сервера. ПКТД «Циркон 36КТ» препятствует доступу к терминальному серверу неидентифицированных пользователей.

ПКТД «Циркон 36КТ» требует от пользователей идентифицировать себя при запросах на доступ к ресурсам терминальных серверов. Подвергается проверке подлинность идентификации - осуществляется аутентификация пользователей. Аутентификация пользователя осуществляется с использованием паролей. ПКТД «Циркон 36КТ» препятствует доступу к ресурсам терминальных серверов неидентифицированных пользователей и пользователей, подлинность идентификации которых при аутентификации не подтвердилась.

ПКТД «Циркон 36КТ» однозначно идентифицирует и аутентифицирует пользователей для всех видов доступа в информационную систему. Аутентификация пользователя осуществляется с использованием паролей.

ПКТД «Циркон 36КТ» обеспечивает возможность однозначного сопоставления идентификатора пользователя с запускаемыми от его имени процессами. (ИАФ.1).

ПКТД «Циркон 36КТ» обеспечивает:

- формирование идентификатора, который однозначно идентифицирует пользователя и (или) устройство;

- присвоение идентификатора пользователю и устройству (ИАФ.3).

ПКТД «Циркон 36КТ» обеспечивает установление характеристик пароля, используемого при использовании механизмов аутентификации:

а) задание минимальной сложности пароля с определяемыми оператором требованиями к регистру, количеству символов, сочетанию букв верхнего и нижнего регистра, цифр и специальных символов;

б) задание максимального времени действия пароля;

в) задание минимального времени действия пароля;

г) запрет на использование пользователями определенного оператором числа последних использованных паролей при создании новых паролей.

ПКТД «Циркон 36КТ» обеспечивает блокирование (прекращение действия) и замену утерянных или скомпрометированных паролей.

ПКТД «Циркон 36КТ» обеспечивает назначение необходимых характеристик пароля.

ПКТД «Циркон 36КТ» обеспечивает обновление аутентификационной информации с установленной периодичностью.

ПКТД «Циркон 36КТ» обеспечивает защиту аутентификационной информации от неправомерных доступа к ней и модифицирования.

ПКТД «Циркон 36КТ» обеспечивает следующие характеристики пароля:

- длина пароля не менее восьми символов;

- алфавит пароля не менее 70 символов;

- максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 4 попыток;

- блокировка учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 15 до 60 минут;

- смена паролей не более чем через 60 дней. (ИАФ.4).

ПКТД «Циркон 36КТ» осуществляет защиту аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий. Защита обратной связи "система - субъект доступа" в процессе аутентификации обеспечивается исключением отображения для пользователя действительного значения аутентификационной информации и количества вводимых пользователем символов аутентификационной информации. (ИАФ.5).

Управление доступом субъектов доступа к объектам доступа (УПД)

ПКТД «Циркон 36КТ» обеспечивает управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей. (УПД.1).

ПКТД «Циркон 36КТ» реализует метод дискреционного разграничения доступа.

Дискреционный метод разграничения доступа ПКТД «Циркон 36КТ» контролирует доступ наименованных пользователей к наименованным файлам.

Для каждой пары (пользователь - файл) в ПКТД «Циркон 36КТ» задается явное и недвусмысленное перечисление допустимых типов доступа (читать, писать, выполнять), т.е. тех типов доступа, которые являются санкционированными для данного пользователя, либо группы пользователей к данному ресурсу ПКТД «Циркон 36КТ» (файлу).

ПКТД «Циркон 36КТ» содержит механизм, претворяющий в жизнь дискреционные правила разграничения доступа (ПРД).

Контроль доступа применим к каждому файлу и каждому пользователю (группе пользователей).

Механизм, реализующий дискреционный принцип контроля доступа, предусматривает возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей ПКТД «Циркон 36КТ» и списка защищаемых файлов.

Права изменять ПРД предоставляются выделенным пользователям (администраторам).

Предусмотрены средства управления, ограничивающие распространение прав на доступ. (УПД.2).

ПКТД «Циркон 36КТ» обеспечивает блокирование сеанса доступа пользователя после установленного времени его бездействия (неактивности) в системе или по запросу пользователя. Блокирование сеанса доступа пользователя в систему обеспечивает временное приостановление работы пользователя со средством вычислительной техники, с которого осуществляется доступ к системе (без выхода из системы). Для заблокированного сеанса осуществляется блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса. Блокирование сеанса доступа пользователя в систему сохраняется до прохождения им повторной идентификации и аутентификации.

ПКТД «Циркон 36КТ» обеспечивает блокирование сеанса доступа пользователя после времени бездействия (неактивности) пользователя до 5 минут.

ПКТД «Циркон 36КТ» обеспечивает, чтобы на мониторе пользователя после блокировки сеанса не отображалась информация сеанса пользователя (в том числе использование "хранителя экрана", гашение экрана или иные способы). (УПД.10).

ПКТД «Циркон 36КТ» обеспечивает поддержку (обновление, назначение, изменение) и сохранение атрибутов безопасности (меток безопасности), установленных оператором, связанных с информацией в процессе ее хранения и обработки.

ПКТД «Циркон 36КТ» допускает изменение атрибутов безопасности только авторизованными пользователям или процессами.

ПКТД «Циркон 36КТ» обеспечивает автоматизированный контроль связи атрибутов безопасности с информацией.

ПКТД «Циркон 36КТ» обеспечивает возможность отображения пользователям в удобочитаемом виде атрибутов безопасности (меток безопасности) для каждого из объектов доступа (отображение атрибутов безопасности на экране монитора). (УПД.12).

ПКТД «Циркон 36КТ» обеспечивает управление взаимодействием с внешними информационными системами, включающее:

- предоставление доступа к системе только авторизованным (уполномоченным) пользователям. (УПД.16).

ПКТД «Циркон 36КТ» обеспечивает исключение несанкционированного доступа к программным ресурсам терминальной станции на этапе загрузки ПО ТД «Циркон 36Т».

Доверенная загрузка обеспечивает:

- блокирование попыток несанкционированной загрузки нештатного программного обеспечения;

- контроль доступа пользователей к процессу загрузки ПО ТД «Циркон 36Т»;

- контроль целостности ПО ТД «Циркон 36Т». (УПД.17).

Регистрация событий безопасности (РСБ)

ПКТД «Циркон 36КТ» обеспечивает возможность регистрации следующих событий:

- вход (выход), а также попытки входа субъектов доступа в ОС «Циркон 36К» и загрузки (останова) операционной системы;

- запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации;

- попытки доступа программных средств к определяемым оператором защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, файлам, записям, полям записей) и иным объектам доступа;

- попытки удаленного доступа;

- события, связанные с действиями от имени привилегированных учетных записей (администраторов);

- события, связанные с изменением привилегий учетных записей.

ПКТД «Циркон 36КТ» обеспечивает возможность хранения информации о зарегистрированных событиях безопасности. (РСБ.1)

ПКТД «Циркон 36КТ» обеспечивает включение в записи регистрации о событиях безопасности следующей информации:

- идентификатора типа события безопасности;

- даты и времени события безопасности;

- идентификатора источника события безопасности;

- результат события безопасности (успешно или неуспешно);

- субъект доступа (пользователь и (или) процесс), связанный с данным событием безопасности.

При регистрации входа (выхода) субъектов доступа в информационную систему и загрузки (останова) операционной системы ПКТД «Циркон 36КТ» обеспечивает включение в записи регистрации о событиях безопасности следующей информации:

- дату и время входа (выхода) в систему (из системы) или загрузки (останова) операционной системы;

- результат попытки входа (успешная или неуспешная);

- результат попытки загрузки (останова) операционной системы (успешная или неуспешная);

- идентификатор, предъявленный при попытке доступа.

При регистрации запуска (завершения) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации, ПКТД «Циркон 36КТ» обеспечивает включение в записи регистрации о событиях безопасности следующей информации:

- дату и время запуска;

- имя (идентификатор) программы (процесса, задания);

- идентификатор субъекта доступа (устройства), запросившего программу (процесс, задание);

- результат запуска (успешный, неуспешный).

При регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам ПКТД «Циркон 36КТ» обеспечивает включение в записи регистрации о событиях безопасности следующей информации:

- дату и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная);

- идентификатор субъекта доступа (устройства);

- спецификацию защищаемого файла (логическое имя, тип).

При регистрации попыток доступа программных средств к защищаемым объектам доступа (техническим средствам, узлам сети, линиям (каналам) связи, внешним устройствам, программам, томам, каталогам, записям, полям записей) ПКТД «Циркон 36КТ» обеспечивает включение в записи регистрации о событиях безопасности следующей информации:

- дату и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная);

- идентификатор субъекта доступа (устройства);

- спецификацию защищаемого объекта доступа (логическое имя (номер).

При регистрации попыток удаленного доступа к информационной системе ПКТД «Циркон 36КТ» обеспечивает включение в записи регистрации о событиях безопасности следующей информации:

- дату и время попытки удаленного доступа с указанием ее результата (успешная, неуспешная);

- идентификатор субъекта доступа (устройства);

- используемый протокол доступа;

- используемый интерфейс доступа и (или) иную информацию о попытках удаленного доступа к информационной системе.

При регистрации информации, связанной с доступом к объектам доступа (в частности к файлам), ПКТД «Циркон 36КТ» обеспечивает включение в записи регистрации о событиях безопасности следующей информации:

-   тип доступа (в том числе чтение, исполнение, запись и (или) иные типы);

- изменение атрибутов объектов доступа (права доступа, контрольные суммы, размер, содержание, путь, тип и (или) иные атрибуты);

- продолжительность доступа. (РСБ.2).

ПКТД «Циркон 36КТ» обеспечивает сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения и предусматривать:

- возможность выбора администратором безопасности событий безопасности, подлежащих регистрации в текущий момент времени из перечня определенных для регистрации событий безопасности;

- генерацию (сбор, запись) записей регистрации (аудита) для событий безопасности, подлежащих регистрации (аудиту);

-  хранение информации о событиях безопасности в течение установленного времени. (РСБ.3).

ПКТД «Циркон 36КТ» обеспечивает возможность мониторинга (просмотра, анализа) результатов регистрации событий безопасности и реагирование на них.

ПКТД «Циркон 36КТ» обеспечивает возможность мониторинга (просмотра и анализа) записей регистрации (аудита) для всех событий, подлежащих регистрации, и с установленной периодичностью. (РСБ.5).

ПКТД «Циркон 36КТ» обеспечивает защиту информации о событиях безопасности (записях регистрации (аудита)), включающую:

- защиту информации от неправомерного доступа;

- защиту информации от уничтожения или модифицирования;

- защиту средств ведения регистрации (аудита);

- защиту настроек механизмов регистрации событий.

ПКТД «Циркон 36КТ» обеспечивает возможность предоставления доступа к записям аудита и функциям управления механизмами регистрации (аудита) только уполномоченным должностным лицам. (РСБ.7).

ПКТД «Циркон 36КТ» обеспечивает возможность просмотра и анализа информации о действиях отдельных пользователей в информационной системе.

ПКТД «Циркон 36КТ» обеспечивает возможность предоставления сведений о действиях отдельных пользователей в информационной системе уполномоченным должностным лицам.

 ПКТД «Циркон 36КТ» обеспечивает возможность автоматизированной обработки записей регистрации (аудита) событий безопасности на основе критериев избирательности. (РСБ.8).

ПКТД «Циркон 36КТ» в состоянии осуществлять регистрацию следующих событий:

- использование идентификационного и аутентификационного механизма;

- запрос на доступ к защищаемым объектам (открытие файлов, запуск программ и т.д.);

- создание и уничтожение защищаемых объектов;

- действия по изменению правил разграничения доступа.

Для каждого из этих событий регистрируется следующая информация:

- дата и время наступления события;

- субъект, осуществляющий регистрируемое действие;

- тип события;

- успешно ли осуществилось событие.

ПКТД «Циркон 36КТ» содержит средства выборочного ознакомления с регистрационной информацией.

Обеспечение целостности программ и информации (ОЦЛ)

ПКТД «Циркон 36КТ» обеспечивает контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации, предусматривающий:

- контроль целостности программного обеспечения средств защиты информации, включая их обновления, по наличию имен (идентификаторов) и по контрольным суммам компонентов средств защиты информации динамически в процессе работы информационной системы;

- контроль целостности компонентов программного обеспечения (за исключением средств защиты информации) по наличию имен (идентификаторов) компонентов программного обеспечения и по контрольным суммам динамически в процессе работы информационной системы. (ОЦЛ.1);

- блокировку запуска ПО ТД «Циркон 36Т» в случае обнаружения фактов нарушения ее целостности (ОЦЛ.1).

Защита средств виртуализации (ЗСВ)

ПКТД «Циркон 36КТ» обеспечивает:

-  идентификацию и аутентификацию администраторов управления средствами виртуализации;

- идентификацию и аутентификацию субъектов доступа при их локальном и удаленном обращении к объектам доступа в виртуальной инфраструктуре;

- защиту аутентификационной информации в процессе ее ввода для аутентификации в виртуальной инфраструктуре от возможного использования лицами, не имеющими на это полномочий;

ПКТД «Циркон 36КТ» обеспечивает взаимную идентификацию и аутентификацию пользователей и виртуальных машин при удаленном доступе. (ЗВС.1).

ПКТД «Циркон 36КТ» обеспечивает:

- контроль доступа субъектов доступа к средствам управления компонентами виртуальной инфраструктуры;

- управление доступом к виртуальному аппаратному обеспечению информационной системы, являющимся объектом доступа.

ПКТД «Циркон 36КТ» обеспечивает доступ к операциям, выполняемым с помощью средств управления виртуальными машинами, в том числе к операциям создания, запуска, останова, создания копий, удаления виртуальных машин, только администраторам виртуальной инфраструктуры.

ПКТД «Циркон 36КТ» обеспечивает доступ к конфигурации виртуальных машин только администраторам виртуальной инфраструктуры. (ЗВС.2).

При изменении правил разграничения доступа к компонентам виртуальной инфраструктуры ПКТД «Циркон 36КТ» обеспечивает включение в записи регистрации о событиях безопасности следующей информации:

- результата попытки изменения правил разграничения доступа к указанным компонентам виртуальной инфраструктуры (успешная или неуспешная);

- идентификатора пользователя, предъявленного при попытке изменения правил разграничения доступа к указанным компонентам виртуальной инфраструктуры. (ЗВС.3).

Очистка памяти

При первоначальном назначении или при перераспределении внешней памяти ПКТД «Циркон 36КТ» предотвращает доступ пользователей к остаточной информации.

При первоначальном выделении или при перераспределении оперативной памяти, выделяемой на терминальной станции, ПКТД «Циркон 36КТ» осуществляет ее очистку.

Разграничение доступа к ресурсам локальной вычислительной сети на уровне терминальных серверов

Реализуемый в ПКТД «Циркон 36КТ» алгоритм установления соединения между терминальной станцией и терминальным сервером обеспечивает разграничение доступа пользователей к ресурсам локальной вычислительной на уровне терминальных серверов, обрабатывающих информацию разной степени конфиденциальности, включая информации сетей общего пользования, посредством двухфакторной аутентификации пользователей и установления постоянного маскированного SSH канала между терминальной станцией и терминальным сервером.

В ПКТД «Циркон 36КТ» реализован следующий алгоритм работы, обеспечивающий  разграничение доступа пользователей к ресурсам локальной вычислительной сети путем предоставления им возможности работать только с ресурсами того терминального сервера, смарт-карта с идентификационными данными которого в данный момент установлена в картридер терминальной станции:

1) в картридер терминальной станции устанавливается смарт-карта, которая форматирована по определенным правилам и на которую записаны идентификатор терминального сервера и его открытый ключ («Open_key»);

2) запускается ПО OpenBIOS терминальной станции, которое инициализирует оборудование и запускает iPXE клиент;

3) iPXE клиент рассылает широковещательный DHCP запрос на получение IP адреса для данной терминальной станции и IP адреса сервера, на котором хранится терминальная часть ПО ТД «Циркон 36Т»;

4) после получения IP адресов, iPXE клиент скачивает терминальную часть ПО ТД «Циркон 36Т» с соответствующего сервера;

5) загрузив  терминальную часть ПО ТД «Циркон 36Т», iPXE клиент проверяет ее цифровую подпись, сравнивая с данными, которые хранятся в составе прошивки на терминальной станции;

6) если цифровая подпись валидна, то iPXE клиент запускает терминальную часть ПО ТД «Циркон 36Т» на терминальной станции. В противном случае загрузка терминальной части ПО ТД «Циркон 36Т» блокируется и на экран монитора терминальной станции выводится сообщение «Ошибка цифровой подписи»;

7) после загрузки терминальная часть ПО ТД «Циркон 36Т» проверяет наличие смарт-карты, осуществляет ее инициализацию и считывает идентификатор терминального сервера, записанный на смарт-карте;

8) терминальная часть ПО ТД «Циркон 36Т» посылает широковещательный DHCP запрос на получение IP адреса терминального сервера, идентификатор которого записан на смарт-карте;

9) терминальная часть ПО ТД «Циркон 36Т» запускает TL-клиент, который запрашивает  login/password пользователя (на экран монитора терминальной станции выводится соответствующее сообщение), считывает «Open_key» со смарт-карты и пытается установить SSH сессию с компонентом TL-сервера, установленным на терминальном сервере;

10) ОС «Циркон 36К», установленная на терминальном сервере, создает SSH сессию между терминальной станцией и терминальным серверов только в том случае, если открытый ключ («Open_key») терминальной станции будет соответствовать  закрытому ключу («Private_key») терминального сервера. После установки SSH сессии вся информация между терминальной станцией и терминальным серверов передается по SSH каналу;

11) терминальная часть ПО ТД «Циркон 36Т» осуществляет считывание и передачу на терминальный сервер логина и пароля (login/password), введенных пользователем;

12) если логин и пароль (login/password) введены правильно, то для пользователя создается рабочая сессия на терминальном сервере.

Серверы и терминальные станции, на которые устанавливается  ПКТД «Циркон 36КТ», должны удовлетворять тем же требованиям к вычислительной платформе, которые  предъявляются к 64-битной версии ОС CentOS GNU/Linux 6.5.

В эксплуатации  ПКТД «Циркон 36КТ» должен поддерживаться администратором безопасности. Настройка  ПКТД «Циркон 36КТ» должна соответствовать требованиям нормативных документов по безопасности информации и эксплуатационной документации.

Комплектность поставки

Комплектность поставки

Примечание: *- программное обеспечениеOpenBIOS, включающая iPXE клиент, из состава терминальной части ПО ТД «Циркон 36Т» поставляется только предустановленным на терминальную станцию;

**-количество смарт-карт определяется условиями заказа. Смарт-карты должны быть отформатированы с целью возможности их использования в составе ПКТД «Циркон 36КТ». Порядок поставки и форматирования смарт-карт определяются условиями заказа.

Указания по эксплуатации

В эксплуатации ПКТД «Циркон 36КТ» должен поддерживаться администратором безопасности. Настройка ПКТД «Циркон 36КТ» должна соответствовать требованиям нормативных документов по безопасности информации и эксплуатационной документации.

ПКТД «Циркон 36КТ» обеспечивает выполнение заявленных функций по защите информации от НСД при реализации организацией, предприятием (фирмой) следующих мер:

- обеспечение сохранности оборудования и физической целостности СВТ;

- ведение журнала учета работы СВТ, проведения регламентных мероприятий и внесения изменений в конфигурацию технических и программных средств;

- назначение администратора (создание административной группы или подразделения), обеспечивающего установку, настройку и сопровождение ПКТД «Циркон 36КТ» и средств виртуализации ОС «Циркон 36К»;

- разработка нормативных документов, определяющих порядок допуска пользователей к СВТ, назначения им прав;

- разработка инструкций для пользователей, определяющих их обязанности по обеспечению сохранности персональных идентификаторов и паролей, порядку работы на СВТ и в среде виртуальных машин;

- после установки ПКТД «Циркон 36КТ» создание учётных записей ролей и пользователей (способных их применить), выполняющих административные функции по управлению ПКТД «Циркон 36КТ»;

- после установки ПКТД «Циркон 36КТ» должен быть проверен состав группы пользователей гипервизора KVM. Данная группа не должна содержать пользователей, а доступ к настройке данной группы должен иметь только пользователь root;

- реализация мероприятий по периодическому отслеживанию открытых источников (интернет ресурсы (как минимум): www.xakep.ru; www.securitylab.ru; www.infosecurityrussia.ru; cve.mitre.org; www.vunrerabilitydatabase.com; www.sourceforge.net; www.net-security.org; www.it-observer.com; www.tracesecurity.com; web.nvd.nist.gov; www.see4app.com; google.com) на предмет поиска информации от обнаруженных уязвимостях в пакетах  ОС «Циркон 36К» и ПО ТД «Циркон 36Т». В случае появления информации об уязвимостях в пакетах  ОС «Циркон 36К» и ПО ТД «Циркон 36Т» совместно с Разработчиком ПКТД «Циркон 36КТ» должен быть проведен анализ их опасности для политики безопасности организации. При выявлении критичности обнаруженных уязвимостей для принятой в организации политики безопасности, должны быть предприняты меры по их нейтрализации организационно-техническими мерами, а в случае невозможности, запрещена эксплуатация соответствующих объектов информатизации. При обнаружении уязвимостей в пакетах  ОС «Циркон 36К» и ПО ТД «Циркон 36Т» Разработчиком должны предприниматься меры по организации и проведению необходимых исследований и своевременному обновлению  соответствующих пакетов программного обеспечения;

- реализация мероприятий по антивирусной защите и обеспечению свободной от вирусов программной среды СВТ;

- реализация мероприятий по выполнению периодического тестирования и резервирования ПКТД «Циркон 36КТ»;

- реализация организационно-технических мер по недопущению использования на объектах информатизации несанкционированных внешних носителей информации и установлению порядка использования санкционированных внешних носителей информации (USB флеш накопителями, CD, DVD и т.п.).  

В случае, если во время эксплуатации потребитель внес изменения в программное обеспечение ПКТД «Циркон 36КТ» и/или нарушил правила его транспортировки, эксплуатации и хранения, указанные в документации на ПКТД «Циркон 36КТ», действие Сертификата соответствия ФСТЭК России и гарантий на данный экземпляр ПКТД «Циркон 36КТ» прекращается с момента внесения изменений и/или нарушения правил транспортировки, эксплуатации и хранения.

Сертификат соответствия №3309