База знаний
Войти

Безопасная установка и эксплуатация ОС

Условия безопасной эксплуатации

Для безопасной эксплуатации ОС должна быть установлена на совместимую аппаратную часть, удовлетворяющую требованиям п. Требования к техническим средствам.

Организационными или техническими средствами (с помощью пломб или замков) должна быть обеспечена защита физической целостности корпуса компьютера с установленной ОС от изменения аппаратной конфигурации.

Установку, настройку и обслуживание ОС должен проводить обладающий необходимыми компетенциями администратор ОС в соответствии с настоящим Руководством и документом "ОС РОСА "ХРОМ". Руководство по техническому обслуживанию. РСЮК.10301-01 46 01".

Эксплуатацию ОС должны выполнять обладающие необходимыми компетенциями пользователи в соответствии с Руководством пользователя.

Доверенная загрузка

Для безопасной работы в ОС должна быть реализована её доверенная загрузка, обеспечиваемая внешними средствами АПМДЗ/СДЗ и/или организационными мерами, а именно:

  • защитой BIOS паролем от изменения;
  • отключением в BIOS загрузки с внешних носителей (DVD, подключаемых накопителей) согласно документации к аппаратуре после установки;
  • защитой паролем режима изменения параметров загрузчика GRUB (п. Парольная защита загрузчика ОС).

Защита информации

Администратор должен обеспечить механизмы резервного копирования и необходимый объем носителей для защищенного хранения резервных копий данных пользователей согласно п. Резервное копирование данных.

При использовании парольной защиты для идентификации во всех случаях администратор должен использовать пароли достаточной степени сложности. При использовании небезопасных паролей ОС предупреждает об этом; при получении такого предупреждения нужно изменить пароль на более сложный.

Рекомендуется произвести установку ОС с использованием механизма маскирования информации на носителе согласно п. Установка с использованием средств маскирования информации.

Для предотвращения утечки информации с помощью записи её на съемные внешние накопители (USB-флеш, внешние HDD, диски DWD-RW и др.) должен быть организован процесс контроля их использования. Это возможно сделать как чисто организационными мерами, так и аппаратным отключением возможности подключения внешних накопителей на пользовательских компьютерах (с помощью настроек BIOS).

Для предотвращения несанкционированного доступа к информации в момент, когда авторизованный пользователь ОС делает перерыв в работе, он должен блокировать экран нажатием сочетания META+L на клавиатуре в графическом режиме или же командой vlock, если он работает в консольном текстовом режиме.

Безопасная конфигурация ОС и ее целостность

ОС изначально сконфигурирована для безопасной работы с помощью файлов конфигурации, описанных в п. Конфигурация системы для защиты информации. Также необходимо контролировать целостность Системы с помощью программы AIDE путем создания базы данных после инсталляции, как показано в п. Общие принципы работы AIDE, и периодического осуществления контроля.

Пользователи и администраторы

Первый созданный инсталлятором пользователь при установке по умолчанию обладает доступом к правам администратора через команду sudo, т. е. является администратором ОС. Эту учетную запись необходимо применять только для настройки ОС, пользователи должны работать под отдельной учетной записью с пользовательскими правами (п. Администраторы и пользователи).

Настройка точного времени

Для правильного ведения журналов событий и аудита в компьютере и ОС должно быть установлено актуальное системное время. Администратору необходимо контролировать установку правильного часового пояса и сохранение этого времени при выключении компьютера (поддерживать актуальность автономного питания BIOS с помощью встроенной батареи).

ОС сконфигурирована так, что время автоматически синхронизируется по сети Интернет с публичными серверами. Доступ к этой настройке имеют администраторы ОС, пользователь менять время по умолчанию не может.