Гарантией обеспечения безопасности системы с внедренным средством контейнеризации может стать сертификат ФСТЭК России, подтверждающий соответствие системы требованиям Приказа ФСТЭК России №118. Для успешного прохождения сертификации и получения такого сертификата необходимо реализовать выполнение требований в системе программными средствами.
Требования приказа ФСТЭК России №118 распространяются на средства контейнеризации, которые создают образы, формируют среду выполнения контейнеров и обеспечивают выполнение их процессов, запускают контейнеры и управляют ими, централизованно управляют контейнерами, организуют взаимодействие между ними, а также распространяют образы контейнеров. Для разграничения требований безопасности к средствам контейнеризации выделяется шесть классов защиты. Первый класс – самый высокий, шестой – самый низкий.
Обобщенный перечень технологий, к которым предъявляются требования приказа ФСТЭК России №118, представлен в пункте 5 Выписки из упомянутого приказа «Требования по безопасности информации к средствам контейнеризации». Так, обязательные требования по безопасности информации предъявляются к:
- уровню доверия средства контейнеризации,
- хостовой операционной системе, в среде которой функционирует средство контейнеризации,
- составу функций безопасности средства контейнеризации,
- изоляции контейнеров средством контейнеризации,
- выявлению уязвимостей в образах контейнеров,
- проверке корректности конфигурации контейнеров,
- контролю целостности контейнеров и их образов в средстве контейнеризации,
- регистрации событий безопасности в средстве контейнеризации.
Дополнительные требования по безопасности информации предъявляются к:- управлению доступом в средстве контейнеризации,
- идентификации и аутентификации пользователей в средстве контейнеризации,
- централизованному управлению образами контейнеров и контейнерами в средстве контейнеризации.
Между классами защиты средств контейнеризации и уровнями доверия установлено прямое соответствие. Уровень доверия в информационной безопасности – это понятие, определенное в приказе ФСТЭК России №131 как основа дифференциации средств защиты информации.
Хостовая операционная система, в среде которой функционирует средство контейнеризации, также должна быть сертифицирована на соответствие Требованиям в области технического регулирования к продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (требованиям безопасности информации к операционным системам), утвержденным
Приказом ФСТЭК России от 19 августа 2016 г. № 119 <…>, и Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным
Приказом ФСТЭК России от 2 июня 2020 г. № 76.
Остальные обязательные и дополнительные требования относятся именно к средствам контейнеризации и предписывают реализуемые в них функции безопасности. Эти требования подробно описаны в Выписке из Приказа ФСТЭК России №118 «Требования по безопасности информации к средствам контейнеризации» в пунктах 9 – 9.2, 10 – 10.2, 11, 12 – 12.3, 13 – 13.3, 14 – 14.3, 15 – 15.3, 16 – 16.2. Каждый раздел описывает необходимые условия для выполнения соответствующих требований.
На сегодняшний день есть ряд отечественных ОС, сертифицированных по Приказу ФСТЭК России №118. К ним относятся: Ред ОС, Альт СП релиз 10, Astra Linux Special Edition.
Далее рассмотрим возможность технической реализации выполнения требований Приказа ФСЭК России №118 «Об утверждении требований по безопасности информации к средствам контейнеризации» на примере ОС Astra Linux Special Edition.