Astra Linux | + | + | Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей информации реализуется с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов в соответствии с установленными правилами разграничения доступа
Ядро Astra Linux гарантирует, что обычный непривилегированный процесс не получит данные чужого процесса, если это явно не разрешено ПРД. Средства межпроцессорного взаимодействия контролируются с помощью ПРД, и процесс не может получить неочищенную память (оперативную и дисковую). В Astra Linux реализован механизм, который очищает неиспользуемые блоки файловой системы непосредственно при их освобождении. Работа данного механизма снижает скорость выполнения операций удаления и усечения размера файла. Данные любых файлов в пределах заданной ФС предварительно очищаются предопределенной или псевдослучайной маскирующей последовательностью. | Механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов |
Очистка осуществляется однократной/двукратной произвольной записью в освобождаемую область памяти, использованную для хранения защищаемой информации; |
|
|
| 1х | 2х | 2х | 2х | 2х |
| + | + |
Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, в которой содержалась защищаемая информация. |
|
|
|
|
|
|
|
| 2х | + | + |
2 | 2.4. Сигнализация попыток нарушения защиты | Должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя. |
|
|
|
| + | + |
|
| + | Средства Astra Linux | + | + | Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. Zabbix предоставляет гибкий механизм сбора данных. Все отчеты и статистика Zabbix, а также параметры настройки компонентов Zabbix доступны через web-интерфейс. В web-интерфейсе реализован следующий функционал: - вывод отчетности и визуализация собранных данных; - создание правил и шаблонов мониторинга состояния сети и узлов; - определение допустимых границ значений заданных параметров; - настройка оповещений; - настройка автоматического реагирования на события безопасности. Механизм сигнализации администратору о попытке нарушения защиты реализован также в части предупреждения о нарушении замкнутой программной среды. | Средства аудита (zabbix), ЗПС |
3 | III. Криптографическая подсистема |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 | 3.1. Шифрование конфиденциальной информации | Должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные портативные носители данных (дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должна выполняться принудительная очистка областей внешней памяти, содержавших ранее незашифрованную информацию; |
|
|
|
|
| + |
| + | + | - | - | - | - | - |
- должны использоваться разные криптографические ключи для шифрования информации, принадлежащей различным субъектам доступа (группам субъектов); |
|
|
|
|
|
|
|
| + | - | - | - | - | - |
3 | 3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | Доступ субъектов к операциям шифрования и к соответствующим криптографическим ключам должен дополнительно контролироваться посредством подсистемы управления доступом; |
|
|
|
|
| + |
| + | + | - | - | - | - | - |
3 | 3.3. Использование аттестованных (сертифицированных) криптографических средств | Должны использоваться сертифицированные средства криптографической защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации криптографических средств защиты. |
|
|
|
|
| + |
| + | + | - | - | - | - | - |
4 | IV. Подсистема обеспечения целостности |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4 | 4.1. Обеспечение целостности программных средств и обрабатываемой информации | Должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом: |