Операционная система служит основой безопасной инфраструктуры в компаниях и государственных организациях. А сегодня в условиях импортозамещения ИТ-инфраструктуры и роста киберугроз поиск надёжной сертифицированной операционной системы, которая бы отвечала всем требованиям законодательства и имела необходимые технические параметры, превращается в настоящий квест. Для чего же нужна сертифицированная ОС и чем она отличается от операционной системы общего пользования? Сертифицированная ОС необходима для защиты определенных классов обрабатываемой информации и обеспечения определенных уровней защиты информации. Согласно требованиям российского законодательства в рамках импортозамещения информационной безопасности, сертифицированная ОС должна использоваться при обработке государственной тайны и определенной коммерческой информации. К такого рода коммерческой информации относятся персональные данные, которые должны обрабатываться так, как велит законодательство. В то же время другая коммерческая информация, которая, возможно, и представляет тайну для определенной компании, не обязана обрабатываться исключительно в сертифицированных ОС. Одна компания может на вполне законных основаниях использовать как сертифицированную ОС, так и ОС общего пользования, а производители, как правило, стараются выпускать сразу оба типа ОС. На наш взгляд, это вполне разумное решение, ведь использование ОС одного семейства значительно облегчает миграцию: для открытого контура информационной сети без требований к использованию сертифицированных решений компания может использовать незащищённую ОС, а для закрытого контура - сегмента сети, в котором обрабатывается информация, составляющую государственную или коммерческую тайну, ― решения, сертифицированные ФСТЭК, ФСБ, Министерством обороны РФ из того же семейства. Также в некоторых организациях могут предъявляться требования не только по использованию сертифицированных решений в рамках импортозамещения в ИТ-инфраструктуре, но и по сертификации «железа», например, истории известны случаи использования отдельных компьютеров для обработки государственной тайны. Какую ОС выбрать — зависит ещё и от задач или от специфики организации. Так, из российских ОС для защиты конфиденциальной информации могут использоваться практически все ОС, имеющие сертифицированные дистрибутивы, кроме РОСА DX «НИКЕЛЬ». В случае же с государственной тайной до уровня «секретно» подходят Альт 7 СПТ и Альт 8 СП, Astra Linux и РОСА «Никель», а в Альт 8 СП и Astra Linux SE можно обрабатывать данные под грифом «совершенно секретно». Защитить государственную тайну уровня «особой важности» на сегодняшний день может только недавно получившая сертификат СЗИ ФСТЭК России ОС Astra Linux Special Edition версии 1.6 (релиз «Смоленск»). Если российская операционная система будет использоваться на объектах военного назначения, разумно проверить, имеет ли она сертификат Министерства обороны РФ. Такой сертификат есть, например, у ОС Альт 8 СП и у Astra Linux. Также следует уделить внимание наличию дополнительных средств контроля доступа (таких как мандатное разграничение прав доступа), усиленной аутентификации, аудита событий безопасности, средств, затрудняющих эксплуатацию уязвимостей. Такие механизмы присутствуют, например, у Astra Linux. Наш эксперт, который часто сталкивается с подбором подходящей ОС, уже писал на Хабре о том, какие российские ОС есть на рынке, чем они отличаются и для каких задач подойдут. Этот обзор поможет правильно подойти к выбору ОС. https://habr.com/ru/company/digdes/blog/442906/