Родина в кибербезопасности: российской ОС откроют все секреты

Astra Linux можно использовать в органах госвласти и военных структурах, где обрабатывается информация «особой важности»
Ольга Коленцова
Фото: Getty Images/EMS-FORSTER-PRODUCTIONS

Впервые отечественная операционная система получила сертификат Федеральной службы по техническому и экспортному контролю, подтверждающий возможность обработки сведений высшего уровня секретности — «особой важности». Теперь компьютеры, оснащенные Astra Linux, можно будет применять в информационных системах органов госвласти и военного управления для обработки любой информации ограниченного доступа. История с блокированием для Huawei возможности использования Android и Windows показывает значимость развития операционных систем, права на которые принадлежат российским компаниям.

На смену Windows

Astra Linux — это отечественная операционная система (ОС), созданная 10 лет назад группой компаний с одноименным названием и активно внедряемая в различных ведомствах, организациях и предприятиях оборонно-промышленного комплекса. В начале прошлого года ее начали внедрять и в Минобороны. 17 апреля 2019 года Федеральная служба по техническому и экспортному контролю России (ФСТЭК) выдала сертификат релизу операционной системы Astra Linux Special Edition, позволяющий применять ее для обработки информации с грифом «особой важности».

— Специалистам Astra Linux впервые в отечественной практике удалось достичь такого высокого уровня доверия к средствам защиты информации в операционных системах, — отметил директор Института системного программирования РАН, член-корреспондент РАН Арутюн Аветисян. — Успех в данном случае закономерен и объясняется тем, что проблемой обеспечения доверия к средствам защиты информации разработчик занялся задолго до того, как соответствующие требования были нормативно закреплены регуляторами: ФСТЭК, Минобороны и ФСБ. ГК Astra Linux более пяти лет назад начала сотрудничать по этому направлению с нашим институтом.

Помимо ФСТЭК, релиз получил сертификаты соответствия ФСБ и Минобороны, в том числе для применения на отечественных процессорах «Эльбрус». Это означает, что систему можно использовать на компьютерах зарубежного и отечественного производства в любых организациях и органах госвласти.

В соответствии с законом РФ «О государственной тайне» установлено три степени секретности сведений: особой важности, совершенно секретно и секретно. Раньше, чтобы получить разрешение на обработку информации с грифом «особой важности», необходимо было создавать индивидуальный проект. В него входили необходимые для цифровой обработки документа (фото, аудио или видеозаписи) компоненты — как минимум компьютер, операционная система и подходящая программа. Конечно, с нуля для каждого документа их не создавали, но требовалась тщательная проверка на безопасность. Специалисты изучали все программные коды на возможность утечек информации, удостоверялись, что в деталях компьютера — от процессора до мыши нет посторонних устройств. Департамент, ответственный за внедрение этой системы, должен был каждый раз для нового проекта обосновывать достаточность и эффективность применяемых мер защиты данных. И в том числе доказывать, что операционная система защищена соответствующим образом. На этот процесс могло уйти до трех лет.

— Раньше обработка сведений «особой важности», скорее всего, проходила на ОС Windows — конечно, перед этим коды системы были отданы ФСБ и проверены, — сообщил председатель совета Фонда развития цифровой экономики Герман Клименко. — Надо признать, что импортозамещение в нашей стране идет не очень легко, включая программные продукты. Однако теперь, когда Astra Linux получила соответствующий сертификат на возможность обработки информации «особой важности», появилась надежда, что отечественная ОС сможет заменить продукт Microsoft. Безусловно, это хорошая новость для российского рынка.

Доверять, не проверяя

По словам экспертов, разработка защиты операционной системы высокого уровня доверия — сложная наукоемкая задача.

— Тот уровень доверия к средствам защиты информации в нашей ОС, который мы имеем сегодня, был достигнут как при помощи научного сопровождения (созданием математической модели управления доступом и ее верификации на отсутствие ошибок), так и путем тщательного статического и динамического анализа кода и выявления уязвимостей, — рассказал главный научный сотрудник группы компаний Astra Linux Петр Девянин.

Теперь после получения Astra Linux сертификата от ФСТЭК у специалиста есть готовый каркас проекта — операционная система, поясняет директор по продукту компании Роман Мылицын. По словам эксперта, достаточно будет при необходимости только проверить прикладное программное обеспечение, которое не входит в состав ОС, но используется в каждом конкретном проекте. Таким образом, применение Astra Linux позволит существенно уменьшить временные и финансовые затраты на разработку и введение в эксплуатацию информационной системы, обрабатывающей сведения с самой серьезной степенью защиты. Период ввода такой системы может быть сокращен до нескольких месяцев.

— В мире существует довольно мало средств защиты информации, сертифицированных с грифом «особой важности», — сообщил руководитель отдела по работе с силовыми структурами компании «Код Безопасности» Анжелика Кунштейн. — Это обусловлено максимально возможными требованиями к безопасности продукта. Получение такого сертификата — большое достижение для российского рынка, признание высокого уровня защиты продукта. В перспективе данная сертификация позволит значительно расширить возможности систем, обрабатывающих информацию, содержащую гостайну. Они смогут использовать все преимущества новой операционной системы.

Однако актуальность разработки отечественных операционных систем не ограничивается областью информационной безопасности. История с блокированием для Huawei возможности использования Android и Windows показывает значимость развития операционных систем, права на которые принадлежат российским компаниям. (Huawei попала в черный список за деятельность, противоречащую национальной безопасности США. — «Известия»). По словам Романа Мылицына, эти риски относятся не только к операционным системам, но и к любому программному обеспечению, права на которое принадлежат частным иностранным фирмам.

По словам разработчиков, свыше трех сотен тысяч лицензий релиза уже продано в различные ведомства и учреждения, и в настоящее время активно ведутся переговоры о новых поставках.