Безопасная установка и эксплуатация ОС
Условия безопасной эксплуатации
Для безопасной эксплуатации ОС должна быть установлена на совместимую аппаратную часть, удовлетворяющую требованиям п. Требования к техническим средствам.
Организационными или техническими средствами (с помощью пломб или замков) должна быть обеспечена защита физической целостности корпуса компьютера с установленной ОС от изменения аппаратной конфигурации.
Установку, настройку и обслуживание ОС должен проводить обладающий необходимыми компетенциями администратор ОС в соответствии с настоящим Руководством.
Эксплуатацию ОС должны выполнять обладающие необходимыми компетенциями пользователи в соответствии с документом "ОС РОСА "ХРОМ". Руководство пользователя. РСЮК.10501-01 34 01".
Доверенная загрузка
Для безопасной работы в ОС должна быть реализована её доверенная загрузка, обеспечиваемая внешними средствами АПМДЗ/СДЗ и/или организационными мерами, а именно:
- защитой BIOS паролем от изменения;
- отключением в BIOS загрузки с внешних носителей (DVD, подключаемых накопителей) согласно документации к аппаратуре после установки;
- защитой паролем режима изменения параметров загрузчика GRUB (п. Парольная защита загрузчика ОС).
Защита информации
Администратор должен обеспечить механизмы резервного копирования и необходимый объем носителей для защищенного хранения резервных копий данных пользователей согласно инструкциям, описанным в п. Резервное копирование данных.
При использовании парольной защиты для идентификации во всех случаях администратор должен использовать пароли достаточной степени сложности. При использовании небезопасных паролей ОС предупреждает об этом; при получении такого предупреждения нужно изменить пароль на более сложный.
Рекомендуется произвести установку ОС с использованием механизма маскирования информации на носителе согласно п. Установка с использованием средств маскирования информации.
Для предотвращения утечки информации с помощью записи её на съемные внешние накопители (USB-флеш, внешние HDD, диски DWD-RW и др.) должен быть организован процесс контроля их использования. Это возможно сделать как чисто организационными мерами, так и аппаратным отключением возможности подключения внешних накопителей на пользовательских компьютерах (с помощью настроек BIOS).
Для предотвращения несанкционированного доступа к информации в момент, когда авторизованный пользователь ОС делает перерыв в работе, он должен блокировать экран нажатием сочетания META+L на клавиатуре в графическом режиме или же командой vlock, если он работает в консольном текстовом режиме.
Безопасная конфигурация ОС и ее целостность
ОС также может быть сконфигурирована для безопасной работы с помощью файлов конфигурации, описанных в п. Общее описание. Необходимо контролировать с помощью программы AIDE целостность Системы путем создания базы данных после инсталляции, как показано в п. Общие принципы работы AIDE, и периодического осуществления контроля.
Пользователи и администраторы
Первый созданный инсталлятором пользователь при установке по умолчанию обладает доступом к правам администратора через команду sudo, т. е. является администратором ОС. Эту учетную запись необходимо применять только для настройки ОС, пользователи должны работать под отдельной учетной записью с пользовательскими правами. Подробнее об этом см. п. Администраторы и пользователи.
Настройка точного времени
Для правильного ведения журналов событий и аудита в компьютере и ОС должно быть установлено актуальное системное время. Администратору необходимо контролировать установку правильного часового пояса и сохранение этого времени при выключении компьютера (поддерживать актуальность автономного питания BIOS с помощью встроенной батареи).
ОС сконфигурирована так, что время автоматически синхронизируется по сети Интернет с публичными серверами. Доступ к этой настройке имеют администраторы ОС, пользователь менять время по умолчанию не может.