Приказ фстэк россии от 16 июня 2023 г n 118

## Зарегистрировано в Минюсте России 14 июля 2023 г. N 74286

## Новости и аналитика
### Приказ Министерства транспорта Российской Федерации от 8 апреля 2024 г. N 118
Об утверждении Положения о дипломировании членов внешних экипажей автономных судов внутреннего водного плавания

3 июня 2024

Установлены правила дипломирования членов внешних экипажей автономных судов внутреннего водного плавания. Внешний капитан автономного судна внутреннего водного плавания, специалист по управлению автономным судном, компетентный в области дистанционной эксплуатации судовой двигательной установки, электрооборудования и средств автоматики, а также специалист по управлению автономным судном должны иметь высшее техническое образование и опыт работы по специальности не менее 3 лет либо не менее 12 месяцев в течение последних 5 лет.

Они должны пройти обучение по программе повышения квалификации. Для получения свидетельства нужно пройти квалификационные испытания. Приказ вступает в силу с 1 сентября 2024 г. и действует до 1 сентября 2030 г. Зарегистрировано в Минюсте России 31 мая 2024 г. Регистрационный № 78416.

## ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ ДОЛЖНОСТЕЙ
### ФЕДЕРАЛЬНОЙ ГОСУДАРСТВЕННОЙ ГРАЖДАНСКОЙ СЛУЖБЫ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

В соответствии с подпунктом и пункта 1 части 1 статьи 2 Федерального закона от 7 мая 2013 г. N 79-ФЗ О запрете отдельным категориям лиц открывать и иметь счета (вклады), хранить наличные денежные средства и ценности в иностранных банках, расположенных за пределами территории Российской Федерации, владеть и (или) пользоваться иностранными финансовыми инструментами, подпунктами а и б пункта 1 Указа Президента Российской Федерации от 8 марта 2015 г. N 120 О некоторых вопросах противодействия коррупции ПРИКАЗЫВАЮ:

1. Утвердить прилагаемый перечень должностей федеральной государственной гражданской службы Федеральной службы по техническому и экспортному контролю и должностей, замещаемых на основании трудового договора в организациях, созданных для выполнения задач, поставленных перед Федеральной службой по техническому и экспортному контролю, при замещении которых федеральным государственным гражданским служащим и работникам организаций запрещается открывать и иметь счета (вклады), хранить наличные денежные средства и ценности в иностранных банках, расположенных за пределами территории Российской Федерации, владеть и (или) пользоваться иностранными финансовыми инструментами.

Приказ ФСТЭК России от 16 июня 2023 г. N 118

2. Признать утратившим силу приказ ФСТЭК России от 14 мая 2015 г. N 53 Об утверждении перечня должностей федеральной государственной гражданской службы Федеральной службы по техническому и экспортному контролю и должностей, замещаемых на основании трудового договора в организациях, созданных для выполнения задач, поставленных перед Федеральной службой по техническому и экспортному контролю, при замещении которых федеральным государственным гражданским служащим и работникам организаций запрещается открывать и иметь счета (вклады), хранить наличные денежные средства и ценности в иностранных банках, расположенных за пределами территории Российской Федерации, владеть и (или) пользоваться иностранными финансовыми инструментами (зарегистрирован Минюстом России 29 мая 2015 г., регистрационный N 37460).

III. Должности, замещаемые на основании трудового договора в организациях, созданных для выполнения задач, поставленных перед ФСТЭК России

ФАУ Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю:

• заместитель начальника института;
• заместитель начальника института по научной работе;
• заместитель начальника института по информационной безопасности;
• начальник 2 управления;
• заместитель начальника 2 управления;
• начальник 21 отдела 2 управления;
• заместитель начальника 21 отдела – начальник лаборатории 2 управления;
• начальник лаборатории 21 отдела 2 управления;
• старший научный сотрудник 21 отдела 2 управления;
• начальник отдела режима и безопасности.

ФГУП Центральный научно-исследовательский институт химии и механики:

• начальник отдела секретного делопроизводства;
• начальник группы специальной связи направления директора по безопасности;
• ведущий специалист группы специальной связи направления директора по безопасности (три должности).

ФГУП Государственный научно-исследовательский институт прикладных проблем:

• заместитель генерального директора по научной работе;
• заместитель генерального директора по общим вопросам;
• заместитель генерального директора по безопасности;
• заместитель генерального директора по финансово-экономической работе;
• заместитель генерального директора по испытаниям;
• заместитель генерального директора – главный инженер;
• главный научный сотрудник;
• начальник секретного отдела;

ФГУП Научно-исследовательский институт прикладной акустики:

• заместитель генерального директора по безопасности.

ФГУП Научный центр Сигнал:

• заместитель директора по научной работе;
• заместитель директора (по безопасности);
• начальник отдела режима и противодействия техническим разведкам;
• начальник финансово-экономического отдела – главный бухгалтер.

ФГУП Производственное объединение Октябрь:

• первый заместитель генерального директора – главный конструктор;
• заместитель генерального директора;
• заместитель генерального директора – начальник управления промышленной безопасности;

Список требований к безопасности информации:

1. Наличие механизмов аудита действий пользователей в контейнере. Этот механизм позволяет записывать и анализировать действия пользователей в контейнере для выявления недопустимых или опасных операций.

2. Обеспечение изоляции информационных потоков между контейнерами. Для предотвращения несанкционированного доступа или утечек конфиденциальной информации между контейнерами необходимо обеспечить их изоляцию.

3. Контроль доступа к сервисам и данным внутри контейнера. Необходимо установить и поддерживать механизмы контроля доступа к сервисам и данным внутри контейнера для предотвращения несанкционированного доступа.

Техническая реализация требований:

1. Механизм аудита действий пользователей может быть реализован с помощью специальных аудиторских инструментов, которые записывают и анализируют все действия пользователей в контейнере.

2. Для обеспечения изоляции информационных потоков между контейнерами используются механизмы виртуализации сети, которые позволяют ограничить доступ между контейнерами и внешними сетями.

3. Контроль доступа к сервисам и данным внутри контейнера может быть осуществлен с помощью механизмов аутентификации и авторизации, которые определяют, кто и в каком объеме имеет доступ к сервисам и данным.

## Оркестраторы контейнеров

Оркестраторы контейнеров — это программы, которые автоматически управляют контейнерами. Они выполняют множество важных функций, таких как:

- Распределение ресурсов контейнеров
- Масштабирование согласно рабочим нагрузкам
- Подготовку и развертывание инфраструктуры
- Планирование задач и конфигурация
- Балансировку нагрузки
- Отслеживание состояния контейнеров

Отдельные контейнеры объединяются в одно целое, что создает единое масштабное приложение. Пользователь не замечает разницы в использовании монолитного или микросервисного приложения.

### Преимущества микросервисных архитектур

Микросервисы обладают гибкостью и масштабируемостью, что делает их более удобными для разработки и развертывания по сравнению с монолитными приложениями. Другие достоинства микросервисных архитектур:

- Кроссплатформенность и мультиязычность решений
- Большая стабильность работы приложений
- Высокая защищенность приложений

### Особенности безопасности в микросервисной архитектуре

Для обеспечения качественной безопасности приложений в микросервисной архитектуре потребуется соблюдение определенных требований безопасности. Они описаны в Приказе ФСТЭК России № 118 Об утверждении требований по безопасности информации к средствам контейнеризации. В нем содержатся как обязательные, так и дополнительные требования к безопасности информации в контейнеризации.

## Обзор Приказа ФСТЭК России №118 Об утверждении требований по безопасности информации к средствам контейнеризации

Гарантией обеспечения безопасности системы с внедренным средством контейнеризации может стать сертификат ФСТЭК России, подтверждающий соответствие системы требованиям Приказа ФСТЭК России № 118\. Для успешного прохождения сертификации и получения такого сертификата необходимо реализовать выполнение требований в системе программными средствами.



Требования приказа ФСТЭК России № 118 распространяются на средства контейнеризации, которые создают образы, формируют среду выполнения контейнеров и обеспечивают выполнение их процессов, запускают контейнеры и управляют ими, централизованно управляют контейнерами, организуют взаимодействие между ними, а также распространяют образы контейнеров. Для разграничения требований безопасности к средствам контейнеризации выделяется шесть классов защиты. Первый класс — самый высокий, шестой — самый низкий.



Обобщенный перечень технологий, к которым предъявляются требования приказа ФСТЭК России № 118, представлен в пункте 5 Выписки из упомянутого приказа «Требования по безопасности информации к средствам контейнеризации». Так, обязательные требования по безопасности информации предъявляются к:



Дополнительные требования по безопасности информации предъявляются к:



Между классами защиты средств контейнеризации и уровнями доверия установлено прямое соответствие. Уровень доверия в информационной безопасности — это понятие, определенное в приказе ФСТЭК России № 131 как основа дифференциации средств защиты информации.



Остальные обязательные и дополнительные требования относятся именно к средствам контейнеризации и предписывают реализуемые в них функции безопасности.



Эти требования подробно описаны в Выписке из Приказа ФСТЭК России № 118 «Требования по безопасности информации к средствам контейнеризации» в пунктах 9 — 9.2, 10 — 10.2, 11, 12 — 12.3, 13 — 13.3, 14 — 14.3, 15 — 15.3, 16 — 16.2\. Каждый раздел описывает необходимые условия для выполнения соответствующих требований.



На сегодняшний день есть ряд отечественных ОС, сертифицированных по Приказу ФСТЭК России № 118\. К ним относятся: Ред ОС, Альт СП релиз 10, Astra Linux Special Edition.



Далее рассмотрим возможность технической реализации выполнения требований Приказа ФСЭК России № 118 «Об утверждении требований по безопасности информации к средствам контейнеризации» на примере ОС Astra Linux Special Edition.



В ОС Astra Linux реализованы меры защиты информации контейнеров различными средствами ОС. На примере внедренных в Astra Linux средств рассмотрим реализацию требований защиты информации по Приказу ФСТЭК России № 118.



Требования раздела 7 Выписки из Приказа ФСТЭК России № 118 «Требования по безопасности информации к средствам контейнеризации» к сертификации хостовой операционной системы, в среде которой функционирует средство контейнеризации выполняется, так как ОС Astra Linux Special Edition сертифицирована на соответствие «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (ФСТЭК России, 2020) по первому уровню доверия, на соответствие «Требованиям безопасности информации к операционным системам» (ФСТЭК России, 2016) и документу «Профиль защиты операционных систем типа А первого касса защиты. ИТ.ОС.А1.ПЗ». Таким образом, ОС Astra Linux Special Edition является ОС, сертифицированной для первого класса защиты, что включает соответствие более низким классам защиты — четвертому, пятому и шестому.



Далее декларируются требования к реализации функций безопасности в средстве контейнеризации.



#### Золяция контейнеров



В 9 разделе описана первая функция — изоляция контейнеров. Требование реализовано средствами LXC.



LXC — это система контейнерной изоляции на уровне операционной системы для запуска нескольких изолированных экземпляров операционной системы на одном узле. Эта система не использует виртуальные машины, а создаёт виртуальное окружение с собственным пространством процессов и сетевым стеком, т. е. является средством контейнеризации. Все экземпляры LXC используют один экземпляр ядра операционной системы. LXC основана на технологии cgroups, входящей в ядро ОС.



Изоляция доступа контейнеров к ресурсам аппаратной платформы достигается путем применения механизма групп управления control groups (cgroups), используемого для ограничения в ресурсах группы процессов, выполняющихся в контейнере, а также для ограничения других групп, например групп процессов, принадлежащих какой‑либо службе или пользовательскому сеансу.



Механизм cgroups (control group) — это механизм ядра ОС, который ограничивает и изолирует вычислительные ресурсы (процессорные, сетевые, ресурсы памяти, ресурсы ввода‑вывода) для групп процессов. В нем реализован механизм изоляции: разделение пространств имен для групп таким образом, что одной группе недоступны процессы, сетевые соединения и файлы другой — является технической мерой изоляции контейнеров.



Изоляция доступа контейнеров к системным вызовам ядра хостовой операционной системы реализуется механизмом ядра Linuх SecComp, позволяющим процессам определять системные вызовы, которые они будут использовать. Если злоумышленник получит возможность выполнить произвольный код, SecComp не даст ему использовать системные вызовы, которые не были заранее объявлены.



Таким образом, требования раздела 9 в ОС Astra Linux Special Edition можно считать реализованными для любого класса защиты с шестого по четвертый.



#### Ыявление уязвимостей в образах контейнеров



Далее в разделе 10 выдвигаются требования к выявлению уязвимостей в образах контейнеров. В ОС Astra Linux Special Edition выявление известных уязвимостей образа контейнера осуществляется средствами OpenSCAP и oscap‑docker из состава ОС на основе сведений, содержащихся в банке данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России. Информация о выявленных уязвимостях отображается в журнале в формате HTML, сгенерированном OpenSCAP по результатам сканирования. При обнаружении уязвимостей дальнейшее использование образа контейнера запрещается. Проверка образов контейнеров на наличие известных уязвимостей выполняется не реже одного раза в неделю.



Благодаря наличию приведенных механизмов ОС Astra Linux Special Edition выполняет требования из раздела 10 Выписки из Приказа ФСТЭК России № 118 «Требования по безопасности информации к средствам контейнеризации» для любого класса защиты с шестого по четвертый.



#### Роверка корректности конфигурации контейнеров



Раздел 11 определяет требования к средствам контейнеризации к проверке корректности конфигурации контейнеров. Обеспечение корректности конфигурации контейнеров, в том числе ограничение прав прикладного программного обеспечения, выполняемого внутри контейнера, на использование периферийных устройств, вычислительных ресурсов хостовой операционной системы, устройств хранения данных и съемных машинных носителей информации, а также монтирование корневой файловой системы хостовой операционной системы в режиме «только для чтения» и ограничение доступа прикладного программного обеспечения, выполняемого внутри контейнера, к системным вызовам ядра хостовой операционной системы, осуществляется средствами Docker в ОС Astra Linux Special Edition. Это закрывает требование Приказа ФСТЭК России № 118 в ОС Astra Linux для четвертого, пятого и шестого классов защиты.



#### Онтроль целостности контейнеров и их образов



В разделе 12 описаны требования по контролю целостности контейнеров и их образов. Контроль целостности объектов контроля реализуется в ОС Astra Linux сертифицированными средствами регламентного контроля целостности AFICK из состава ОС. Системный планировщик заданий cron позволяет выполнять проверку целостности объектов контроля в процессе загрузки операционной систем или по установленному расписанию.



Для локального реагирования на события в автозапуске для сессии пользователя находится демон, который обрабатывает входящие от syslog‑ng события и выполняет заданное действие, например, уведомление. Передача данных выполняется с использованием D‑Bus. Реализация действий осуществляется модулем KNotifications. Демон получает информацию только о событиях, для которых настроено реагирование. Демон, запущенный от имени определенного пользователя, реагирует только на те события, которые предназначены данному пользователю. Для этого демон отслеживает сигнал, передаваемый syslog‑ng по D‑Bus всем заинтересованным приложениям. В сигнале также передается список имен пользователей и имен групп, для которых требуется реакция на событие.



Целостность образов контейнеров и параметров настройки средства контейнеризации при установке образа контейнера контролируется также за счет применения цифровой подписи — инструментов замкнутой программной среды. При нарушении целостности запуск образа контейнера блокируется.



По требованиям из раздела 12 ОС Astra Linux Special Edition также можно считать подходящей для шестого, пятого и четвертого классов защиты.



#### Егистрация событий безопасности



13-й раздел Выписки из Приказа ФСТЭК России № 118 «Требования по безопасности информации к средствам контейнеризации» описывает последнее обязательное требование к средствам контейнеризации — требование регистрации событий безопасности, связанных с контейнерами. Регистрация событий безопасности, связанных с контейнерами, осуществляется штатными средствами ОС Astra Linux Special Edition. Подлежащие регистрации события — это:



Регистрация событий изменений, связанных с контейнерами и образами контейнеров — их создание, модификации, удаление, получения доступа, запуск и остановка с указанием причины остановки, осуществляется средствами Docker. Для этого демон dockerd запускается с параметром dockerd: DOCKER\_OPTS="-D".



Таким образом, требования раздела 13 Выписки из Приказа ФСТЭК России № 118 «Требования по безопасности информации к средствам контейнеризации» закрыты в ОС Astra Linux для любого класса защиты с шестого по четвертый.



#### Дентификация и аутентификация пользователей



В статье проведен анализ программных средств реализации требований Приказа ФСТЭК России № 118 «Об утверждении требований по безопасности информации к средствам контейнеризации» на примере ОС Astra Linux Special Edition. Описаны меры достижения каждого обязательного требования из Выписки из Приказа ФСТЭК России № 118 «Требования по безопасности информации к средствам контейнеризации», представленные в ОС Astra Linux, приведены программные механизмы их реализации. Также приведен механизм реализации дополнительного требования раздела 15 Выписки из Приказа ФСТЭК России № 118, касающегося идентификации и аутентификации пользователей.



Стоит отметить, что требования Приказа ФСТЭК России № 118 конкретизированы и единообразны, что упрощает понимание и выполнение документа. Каждое требование детально проработано и описано. Уже есть ряд сертифицированных отечественных решений, удовлетворяющих требованиям Приказа ФСТЭК России № 118\. Выполнение описанных требований достаточно для обеспечения безопасности информации в средах контейнеризации. Отдельно стоит обратить внимание на безопасность в средах оркестрации. Достаточно трудно формализовать требования к оркестраторам, так как они являются «конструктором», и ограничение в используемых элементах может привести к потере функционала.



Команда УЦСБ с чувством глубокой скорби сообщает, что на момент публикации этой статьи Александра Токарева уже нет в живых. Саша трагически погиб, и мы не можем выразить словами, какая это утрата для всех нас. Мы решили опубликовать материал, который он успел подготовить. В знак признания его работы и как дань уважения замечательному коллеге и другу, память о котором навсегда останется в наших сердцах.



## (управления ФСТЭК России по федеральным округам)



1\. Управление ФСТЭК России по Центральному федеральному округу:



заместитель руководителя управления;



начальники 1, 2, 3, 4, 5, 6, отделов;



заместители начальников 1, 2, 3, 4, 5, 6 отделов;



начальник отдела экспортного контроля;



заместитель начальника отдела экспортного контроля;



начальник отдела по защите государственной тайны;



заместитель начальника отдела по защите государственной тайны;



начальник отдела специальной связи;



заместитель начальника отдела специальной связи;



специалист-эксперт отдела специальной связи.



2\. Управление ФСТЭК России по Северо-Западному федеральному округу:



заместители начальников 1, 3, 4, 5, 6 отделов;



консультант 2 отдела;



консультант отдела экспортного контроля;



заместитель начальника отдела по защите государственной тайны.



3\. Управление ФСТЭК России по Приволжскому федеральному округу:



4\. Управление ФСТЭК России по Южному и Северо-Кавказскому федеральным округам:



начальники 1, 2, 3, 4, 5, 6, 9, 10 отделов;



заместители начальников 1, 2, 3, 4, 5 отделов;



консультанты 6, 9, 10 отделов;



начальник отдела по защите государственной тайны и технической защите информации;



заместитель начальника отдела по защите государственной тайны и технической защите информации.



5\. Управление ФСТЭК России по Уральскому федеральному округу:



начальники 1, 2, 3, 4, 5 отделов;



6\. Управление ФСТЭК России по Сибирскому федеральному округу:



7\. Управление ФСТЭК России по Дальневосточному федеральному округу:



8\. Межрегиональное управление ФСТЭК России:



## I. Должности федеральной государственной гражданской службы в ФСТЭК России



1\. Руководство ФСТЭК России:



директор ФСТЭК России;



первый заместитель директора ФСТЭК России;



заместитель директора ФСТЭК России.



2\. Главное управление:



начальник Главного управления;



первый заместитель начальника Главного управления;



начальник управления в Главном управлении;



заместитель начальника управления в Главном управлении;



начальник отдела в управлении Главного управления;



заместитель начальника отдела в управлении Главного управления;



заместитель начальника управления;



начальники 2, 4 отделов;



заместители начальников 2, 4 отделов;



консультант 4 отдела;



главный специалист-эксперт 4 отдела.



заместитель начальника управления.



начальники 1, 3 отделов;



заместители начальников 1, 3 отделов.



начальники 1, 2, 3, 4 отделов;



заместители начальников 1, 2, 3, 4 отделов;



главный консультант 1 отдела;



главные специалисты-эксперты 1, 2 отделов;



ведущий специалист-эксперт 3 отдела.



заместители начальников 1, 2, 3, 4 отделов.



советники 1, 2, 3, 4 отделов.



11\. Отдел по режиму секретности и технической защите информации:



заместитель начальника отдела;