Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7 (ОС СН)
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 17 средствами ОС Astra Linux | ||||||||||||||||||
| Требования по защите информации | Классы АС | Режимы ОС СН | Средства реализации | Способ реализации меры защиты с использованием штатных средств ОС СН | Компоненты ОС СН | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации ОС СН | ||||||||||||
| Раздел | Подсистемы и функции | Требования | 1Д | 2Б | 3Б | 1Г | 1В | 1Б | 3А | 2А | 1А | Базовый | Усиленный | Максимальный | ||||
| ОВ | ||||||||||||||||||
| СС | ||||||||||||||||||
| С | ||||||||||||||||||
| ДСП | ||||||||||||||||||
| ПД | ||||||||||||||||||
| 1 | I. Подсистема управления доступом | |||||||||||||||||
| 1 | 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||||||||||
| 1 | - в систему | Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного/временного действия длиной не менее указанного количества буквенно-цифровых символов; | 6 | 6 | 6 | 6 | 6 | 8 | 6 | 6 | + | + | + | Средства ОС СН | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Решение задачи идентификации и аутентификации локальных пользователей в ОС СН основывается на использовании механизма PAM. Если ОС не настроена для работы в ЕПП, то аутентификация осуществляется с помощью локальной БД пользователей. При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Концепция ЕПП подразумевает хранение системной информации о пользователе (включая доступные мандатные уровни и категории) централизованно в службе каталогов LDAP. Для управления пользователями, группами и настройками их атрибутов используется графическая утилита, соответствующие настройки обеспечивают требования к длине пароля. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Управление политикой безопасности fly-admin-smc (Пользователи, Политики учетной записи). Управление доменным пользователями (FreeIPA,ALD) | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc | |
| Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов | 8 | + | + | + | Средства ОС СН СДЗ, Токены | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Применение многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Средства поддержки двухфакторной аутентификации | РА.1: п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | ||||||||||
| 1 | - к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | Должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по физическим адресам (номерам); | + | + | + | + | + | + | + | Средства ОС СН | Идентификация терминалов осуществляется по номеру терминала. Идентификация ЭВМ осуществляется средствами ОС СН по МАС-адресу, по логическим именам, именам в домене. Идентификация узлов сети осуществляется по IP-адресу и МАС-адресу. Идентификация внешних устройств осуществляется по логическим именам, по комбинации имени (соответствующих файлов в /dev), логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, Управление политикой безопасности fly-admin-smc (Устройства и правила) и централизованно (FreeIPA, ALD), управление принтерами (cups) | РА.1: п.12.4 "Настройка принтера и управления печатью", п.17 "Средства разграничения доступа к подключаемым носителям" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc | |||||
| Должна осуществляться аппаратурная идентификация и проверка подлинности терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по уникальным встроенным устройствам; | + | - | - | - | Сторонние средства | - | - | - | ||||||||||
| 1 | - к программам, томам, каталогам, файлам, записям, полям записей | Должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам; | + | + | + | + | + | + | + | Средства ОС СН | Идентификация программ, томов, каталогов, файлов, записей, полей записи по имени реализовано модулями ядра и встроенной системой безопасности ОС СН и СУБД из состава ОС СН и осуществляется по логическим именам томов, каталогов, файлов, записей, полей записей, именам программ и номерам pid. Идентификация всех объектов и устройств и применение результатов идентификации производится ОС СН по умолчанию в том числе при реализации механизмов управления доступом, контроля целостности, резервного копирования и регистрации событий безопасности, связанных с этими объектами доступа. | Идентификация по логическим именам томов, каталогов, файлов, записей, полей записей, именам программ и номерам pid | РКСЗ.1: п.2 "Идентификация и аутентификация" | |||||
| Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа; | + | + | + | + | + | + | + | Средства ОС СН, ОРД | Контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа осуществляется средствами ОС СН и СУБД из состава ОС СН. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа запрашиваемого субъектом доступа и правил дискреционного разграничения доступа заданных для каждого объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. | Дискреционное разграничение доступа, Ролевое разграничение доступа (СУБД) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 | |||||||
| Должна осуществляться идентификация и проверка подлинности программ, томов, каталогов, файлов, записей, полей записей по именам и контрольным суммам (паролям, ключам); | + | + | + | Средства ОС СН, ОРД | Аутентификация запускаемых и исполняемых модулей реализуется с использованием механизма контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнения (режим ЗПС). Аутентификация объектов файловой системы, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа реализуется с использованием механизма контроля целостности файлов при их открытии на основе ЭП в расширенных атрибутах файловой системы (режим ЗПС). | Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС) | ОП: п.4.1.9 "Контроль целостности", п.4.1.10.1 "Замкнутая программная среда", п.4.1.10.2 "Системные ограничения и блокировки" РКСЗ.1: п.2 "Идентификация и аутентификация", п.9 "Контроль целостности" | |||||||||||
| 1 | 1.2. Управление потоками информации | Должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации. | + | + | + | + | - | - | + | Средства ОС СН | В ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Управление потоками осуществляется на основе меток конфиденциальности пользователей с применением мандатной политики ОС СН и СУБД из состава ОС СН. Управление потоками информации при доступе субъекта к объекту осуществляется на основе мандатного контекста безопасности субъекта и мандатной метки объекта. | Мандатное управление доступом, Мандатный контроль целостности | РКСЗ.1: п.4 "Мандатное управление доступом и мандатный контроль целостности" | |||||
| 2 | II. Подсистема регистрации и учета | |||||||||||||||||
| 2.1 Регистрация и учет: | ||||||||||||||||||
| 2 | - входа (выхода) субъектов доступа в (из) систему (узел сети) | Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: | + | + | + | + | + | + | + | + | + | + | + | + | Средства ОС СН | Регистрация входа (выхода) субъектов доступа в систему (из системы) осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита ОС СН. В параметрах регистрации указываются: дата и время события, результат попытки входа, идентификатор пользователя, код при неуспешной попытке. В качестве кода подразумевается имя пользователя UID. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch) | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) | РКСЗ.1: п.6 "Регистрация событий безопасности" Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog |
| дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; | + | + | + | + | + | + | + | + | + | + | + | + | ||||||
| результат попытки входа: успешный или неуспешный - несанкционированный; | + | + | + | + | + | + | + | + | + | + | + | |||||||
| идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа; | + | + | + | + | + | + | + | + | + | + | ||||||||
| код или пароль, предъявленный при неуспешной попытке | + | + | + | + | + | + | + | Средства ОС СН | Регистрация дополнительных сообщений о неправильно введенном пароле при прохождении PAM-стека (логине) осуществляется с использованием пакета libpam-addlog | libpam-addlog | https://wiki.astralinux.ru/x/J49sAw (libpam-addlog - дополнительные сообщения - доступ по запросу) | |||||||
| 2 | - выдачи печатных (графических) выходных документов | Должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются: - дата и время выдачи (обращения к подсистеме вывода); - спецификация устройства выдачи [логическое имя (номер) внешнего устройства]; - краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа; | + | + | + | + | + | + | + | + | + | Средства ОС СН | Регистрация выдачи печатных (графических) документов на твёрдую копию осуществляется средствами ОС СН с применением защищенного комплекса программ печати и маркировки документов, средств ведения журналов аудита (/var/log/cups) и записи журнала маркировки (/var/spool/cups/parsec). Управление заданиями на печать и маркировкой документов осуществляется с помощью графической утилиты управление печатью из состава ОС СН. Маркировка отпечатанных листов документа осуществляется при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава ОС СН. Просмотр регистрируемых событий осуществляется с использованием средств ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). | Защищенный комплекс программ печати и маркировки документов (cups), Средства аудита (auditd), Системный журнал (ksystemlog) | РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов", п.12.9 "Журнал маркировки", п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.4 "Мандатное управление доступом и мандатный контроль целостности" Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog Просмотр журнала возможен с использованием графической утилиты fly-print-station и графической утилиты fly-admin-printer с установленным плагином fly-admin-printer-mac | |||
| - идентификатор субъекта доступа, запросившего документ; | + | + | + | + | + | + | + | + | ||||||||||
| - объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи успешный (весь объем), неуспешный; | + | + | + | + | + | + | ||||||||||||
| - спецификация устройства выдачи [логическое имя (номер) внешнего устройства]; | + | - | - | + | ||||||||||||||
| - краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа; | + | - | - | + | ||||||||||||||
| Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). | + | + | + | + | + | - | - | + | Средства ОС СН | Маркировка отпечатанных листов документа осуществляется при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава ОС СН. Выдача печатных документов сопровождается автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц) при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава ОС СН. Управление заданиями на печать и маркировкой документов осуществляется с помощью графической утилиты управления печатью из состава ОС СН. Журнал и копии заданий маркировки записываются в каталог /var/spool/cups/parsec | Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов" РКСЗ.1: п.4 "Мандатное управление доступом и мандатный контроль целостности" | ||||||
| Вместе с выдачей документа должна автоматически оформляться учетная карточка документа с указанием даты выдачи документа, учетных реквизитов документа, краткого содержания (наименования, вида, шифра, кода) и уровня конфиденциальности документа, фамилии лица, выдавшего документ, количества страниц и копий документа (при неполной выдаче документа - фактически выданного количества листов в графе «Брак»). | + | + | - | - | + | Средства ОС СН | Автоматическое оформление учетной карточки документа при его выводе на печать осуществляется при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава ОС СН. | Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов" РКСЗ.1: п.4 "Мандатное управление доступом и мандатный контроль целостности" | |||||||||
| 2 | - запуска (завершения) программ и процессов (заданий, задач) | Должна осуществляться регистрация запуска (завершения) всех / предназначенных для обработки защищаемых файлов программ и процессов (заданий, задач) в АС. В параметрах регистрации указываются: | + | + | + | + | + | + | + | + | + | Средства ОС СН | Регистрация запуска (завершения) всех / предназначенных для обработки защищаемых файлов программ и процессов (заданий, задач) в АС осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита ОС СН с применением настроек регистрации событий безопасности. Настройка регистрации событий для пользователей (аудит процессов) осуществляется с помощью локальной и доменной политики безопасности (аудит события «exec»). Настройка аудита событий осуществляется утилитой setfaud, а также утилитой конфигурации аудита system-config-audit. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время запуска, наименование запускаемой программы (расширение), устройство (том, каталог), логин пользователя, статус запуска. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog | |||
| дата и время запуска; | + | + | + | + | + | + | + | + | ||||||||||
| имя (идентификатор) программы (процесса, задания); | + | + | + | + | + | + | + | + | ||||||||||
| идентификатор субъекта доступа, запросившего программу (процесс, задание); | + | + | + | + | + | + | + | + | ||||||||||
| результат запуска (успешный, неуспешный - несанкционированный); | + | + | + | + | + | + | + | + | ||||||||||
| - полная спецификация соответствующего файла "образа" программы (процесса, задания) - устройство (том, каталог), имя файла (расширение); | + | + | + | + | ||||||||||||||
| 2 | - доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи | Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются: - дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная; - идентификатор субъекта доступа; - спецификация защищаемого файла; | + | + | + | + | + | + | + | + | Средства ОС СН | Регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита ОС СН с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Настройка аудита событий осуществляется утилитой setfaud, а также утилитой конфигурации аудита system-config-audit. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время запуска, наименование запускаемой программы, логин пользователя, статус запуска, вид запрашиваемой операции. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog | ||||
| - имя программы (процесса, задания, задачи), осуществляющей доступ к файлу; | + | + | + | + | + | + | ||||||||||||
| - вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.); | + | + | + | + | + | + | ||||||||||||
| 2 | - доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются: | + | + | + | + | + | + | + | + | Средства ОС СН | Регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита ОС СН с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время попытки доступа, идентификатор субъекта доступа, спецификация защищаемого объекта, имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту, вид запрашиваемой операции. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog | ||||
| - дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная; | + | + | + | + | + | + | + | + | ||||||||||
| - идентификатор субъекта доступа; | + | + | + | + | + | + | + | + | ||||||||||
| - спецификация защищаемого объекта [логическое имя (номер)]; | + | + | + | + | + | + | + | + | ||||||||||
| - имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту; | + | + | + | + | + | + | ||||||||||||
- вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.); | + | + | + | + | + | + | ||||||||||||
| 2 | - изменения полномочий субъектов доступа | Должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа. В параметрах регистрации указываются: - дата и время изменения полномочий; - идентификатор субъекта доступа (администратора), осуществившего изменения; | + | + | + | + | + | + | Средства ОС СН | Регистрация изменений полномочий субъектов доступа и статуса объектов доступа осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита ОС СН с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время изменения полномочий, идентификатор субъекта доступа (администратора), осуществившего изменения, идентификатор субъекта, у которого проведено изменение полномочий и вид изменения, спецификация объекта, у которого проведено изменение статуса зашиты и вид изменения. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog | ||||||
| - идентификатор субъекта, у которого проведено изменение полномочий и вид изменения (пароль, код, профиль и т.п.); - спецификация объекта, у которого проведено изменение статуса защиты и вид изменения (код защиты, уровень конфиденциальности); | + | + | + | + | + | Средства ОС СН | ||||||||||||
| 2 | - создаваемых защищаемых объектов доступа | Должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта; | + | + | + | + | - | - | + | Средства ОС СН | В ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). При создании субъектом любого из следующих объектов: механизмы многопроцессорного взаимодействия, стек TCP/IP (IPv4), ФС Ext2/Ext3/Ext4, сетевые ФС, CIFS, ФС, proc, tmpfs, - объект наследует метку на основе мандатного контекста безопасности процесса. С каждым субъектом и объектом связаны мандатный контекст безопасности и мандатная метка соответственно. | Мандатное управление доступом, МКЦ | РКСЗ.1: п.4 "Мандатное управление доступом и мандатный контроль целостности" | |||||
| Должен осуществляться автоматический учет инициируемых защищаемых томов, каталогов, областей оперативной памяти ЭВМ, выделяемых для обработки защищаемых файлов, внешних устройств ЭВМ, каналов связи, ЭВМ, узлов сети ЭВМ, фрагментов сети с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта; | + | + | - | - | + | |||||||||||||
| 2 | 2.2. Учет носителей информации | Должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал учетную карточку); | + | + | + | + | + | + | + | + | + | + | + | + | Орг.Меры, Средства ОС СН | В ОС СН учет защищаемых носителей информации может осуществляться локально или централизованно с использованием средств разграничения доступа к подключаемым носителям | Средства разграничения доступа к подключаемым устройствам (udev, fstab) | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
| Учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема); | + | + | + | + | + | + | + | + | + | |||||||||
| Должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации; | + | + | + | + | + | + | + | + | ||||||||||
| 2 | 2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | Должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей: | + | + | + | + | + | + | - | + | + | Средства ОС СН | Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей информации реализуется с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов в соответствии с установленными правилами разграничения доступа Ядро ОС СН гарантирует, что обычный непривилегированный процесс не получит данные чужого процесса, если это явно не разрешено ПРД. Средства межпроцессорного взаимодействия контролируются с помощью ПРД, и процесс не может получить неочищенную память (оперативную и дисковую). В ОС СН реализован механизм, который очищает неиспользуемые блоки файловой системы непосредственно при их освобождении. Работа данного механизма снижает скорость выполнения операций удаления и усечения размера файла. Данные любых файлов в пределах заданной ФС предварительно очищаются предопределенной или псевдослучайной маскирующей последовательностью. | Механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки" | |||
| Очистка осуществляется однократной/двукратной произвольной записью в освобождаемую область памяти, использованную для хранения защищаемой информации; | 1х | 2х | 2х | 2х | 2х | - | + | + | ||||||||||
| Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, в которой содержалась защищаемая информация. | 2х | - | + | + | ||||||||||||||
| 2 | 2.4. Сигнализация попыток нарушения защиты | Должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя. | + | + | + | + | + | + | Средства ОС СН | Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. Zabbix предоставляет гибкий механизм сбора данных. Все отчеты и статистика Zabbix, а также параметры настройки компонентов Zabbix доступны через web-интерфейс. В web-интерфейсе реализован следующий функционал: - вывод отчетности и визуализация собранных данных; - создание правил и шаблонов мониторинга состояния сети и узлов; - определение допустимых границ значений заданных параметров; - настройка оповещений; - настройка автоматического реагирования на события безопасности. Механизм сигнализации администратору о попытке нарушения защиты реализован также в части предупреждения о нарушении замкнутой программной среды. | Средства аудита (zabbix), ЗПС | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды и функций безопасности" | ||||||
| 3 | III. Криптографическая подсистема | |||||||||||||||||
| 3 | 3.1. Шифрование конфиденциальной информации | Должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные портативные носители данных (дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должна выполняться принудительная очистка областей внешней памяти, содержавших ранее незашифрованную информацию; | + | + | + | - | - | - | - | - | - | - | ||||||
| - должны использоваться разные криптографические ключи для шифрования информации, принадлежащей различным субъектам доступа (группам субъектов); | + | - | - | - | - | - | - | - | ||||||||||
| 3 | 3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | Доступ субъектов к операциям шифрования и к соответствующим криптографическим ключам должен дополнительно контролироваться посредством подсистемы управления доступом; | + | + | + | - | - | - | - | - | - | - | ||||||
| 3 | 3.3. Использование аттестованных (сертифицированных) криптографических средств | Должны использоваться сертифицированные средства криптографической защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации криптографических средств защиты. | + | + | - | - | - | - | - | - | - | |||||||
| 4 | IV. Подсистема обеспечения целостности | |||||||||||||||||
| 4 | 4.1. Обеспечение целостности программных средств и обрабатываемой информации | Должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом: | + | + | + | + | + | + | + | + | + | + | + | + | Средства ОС СН, СДЗ | Для решения задач контроля целостности предназначена библиотека libgost, в которой для вычисления контрольных сумм реализованы функции хэширования в соответствии с ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012 с длиной хэш-кода 256 бит и ГОСТ Р 34.11-2012 с длиной хэш-кода 512 бит. Названная библиотека используется в средствах подсчета контрольных сумм файлов и оптических дисков, контроля соответствия дистрибутиву и регламентного контроля целостности, модулях аутентификации и средствах контроля целостности ФС. Регламентный контроль целостности обеспечивается набором программных средств, который представляет возможность периодического (с использованием системного планировщика заданий cron) вычисления контрольных сумм файлов и соответствующих им атрибутов с последующим сравнением вычисленных значений с эталонными. В указанном наборе программных средств реализовано использование библиотеки libgost и контроль целостности связанных с файлами атрибутов расширенной подсистемы безопасности PARSEC (мандатных атрибутов и атрибутов расширенной подсистемы протоколирования). Целостность загрузчика и ядра ОС СН обеспечивается средствами СДЗ. | Регламентный контроль целостности (afick), проверка целостности системы (fly-admin-int-check), | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9.4 "Средства регламентного контроля целостности" |
| - целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ | + | + | + | + | + | + | + | |||||||||||
| - целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ; | + | + | + | + | + | + | ||||||||||||
| - целостность СЗИ НСД проверяется по контрольным суммам всех компонент СЗИ как в процессе загрузки, так и динамически в процессе работы АС; | + | - | + | + | Средства ОС СН, СДЗ | Контроль целостности исполняемых файлов и библиотек формата ELF ОС СН (в том числе СЗИ) и прикладного ПО осуществляется модулем ядра digsig_verif с использованием функции хэширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. | ЗПС, Регламентный контроль целостности (afick), проверка целостности системы (fly-admin-int-check) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды и функций безопасности" | ||||||||||
| - целостность СЗИ НСД проверяется по имитовставкам алгоритма ГОСТ 28147-89 или по контрольным суммам другого аттестованного алгоритма всех компонент СЗИ как в процессе загрузки, так и динамически в процессе функционирования АС; | + | + | + | Средства ОС СН, СДЗ | Контроль целостности исполняемых файлов и библиотек формата ELF ОС СН (в том числе СЗИ) и прикладного ПО осуществляется модулем ядра digsig_verif с использованием функции хэширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. | ЗПС | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды и функций безопасности" | |||||||||||
| - целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации | + | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Исключение из ОС СН средств разработки и отладки программ осуществляется администратором с помощью инструментов управления пакетами и средствами ограничения программной среды. | Управление пакетами, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock) | РА.1: п.5 "Управление программными пакетами" РКСЗ.1: п.16 "Ограничение программной среды и функций безопасности" | ||||||||
| - обеспечивается отсутствием в АС средств разработки и отладки программ | + | + | + | + | + | + | + | |||||||||||
| - целостность программной среды обеспечивается качеством приемки программных средств в АС, предназначенных для обработки защищенных файлов; | + | + | + | + | + | |||||||||||||
| 4 | 4.2. Физическая охрана средств вычислительной техники и носителей информации | Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время | + | + | + | + | - | - | - | Орг-тех.меры | - | - | - | |||||
| Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС; | + | + | + | + | + | - | - | - | Орг-тех.меры | - | - | - | ||||||
| 4 | 4.3. Наличие администратора (службы) защиты информации в АС | Должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. | + | + | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | В ОС СН существует возможность организовать единое пространство пользователей (ЕПП), которое представляет собой средства организации работы пользователя в сети АРМ, работающих под управлением ОС СН. Организация ЕПП обеспечивает сквозную авторизацию в сети, централизацию хранения информации об окружении пользователей, централизацию хранения настроек системы защиты информации на сервере. Средства организации ЕПП включают в себя средства администрирования. Решение задачи оперативного контроля обеспечивается средствами централизованного сбора и анализа журналов протоколирования (журналов аудита) в ОС СН. | Средства организации домена (ALD, FreeIPA), Средства аудита (zabbix) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc | |||||
| Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС; | + | + | + | + | + | + | ||||||||||||
| 4 | 4.4 Периодическое тестирование СЗИ НСД | Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД; | + | + | + | + | + | + | + | + | + | Средства ОС СН | В состав ОС СН входят средства тестирования функций СЗИ от НСД, находящиеся в каталоге usrlib/parsec/tests. Данный набор обеспечивает тестирование всех функций СЗИ от НСД из состава ОС СН, включая: управление доступом, регистрация событий, очистка памяти, изоляция модулей, идентификация и аутентификация. В состав ОС СН входят средства тестирования функций СЗИ СУБД, обеспечивающие тестирование всех функций СЗИ СУБД, включая управление доступом, регистрацию событий, идентификацию и аутентификацию. | Тестирование СЗИ | РКСЗ.2 | |||
| Должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год; | + | + | + | + | + | + | ||||||||||||
| 4 | 4.5. Наличие средств восстановления СЗИ НСД | Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности | + | + | + | + | + | + | + | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), репликация в домене (FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.16 "Резервное копирование и восстановление данных" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) |
| Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие оперативное восстановление функций СЗИ НСД при сбоях; | + | + | + | + | Средства ОС СН | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) | |||||||||||
| Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие автоматическое оперативное восстановление функций СЗИ НСД при сбоях; | + | + | + | + | Средства ОС СН | |||||||||||||
| 4 | 4.6. Использование сертифицированных средств защиты | Должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД. | + | + | + | + | + | + | + | + | Средства ОС СН, Орг.Меры | ОС СН является сертифицированной операционной системой в системе сертификации средств защиты информации ФСТЭК, МО, ФСБ. При использовании в автоматизированной системе дополнительных средств защиты - они также должны быть сертифицированы. | - | - | ||||