0 | ||||||||||||||||||||
Содержание мер по обеспечению безопасности персональных данных | Уровни защищенности ИСПДн | Меры из приказов ФСТЭК России | Классы и категории объектов (ГИС с усилениями, ИСПДн, АСУ ТП, КИИ) | Режимы ОС СН | Средства реализации | Способ реализации меры защиты с использованием штатных средств ОС СН | Компоненты ОС СН | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации ОС СН | ||||||||||||
Раздел | Код | Меры защиты и обеспечения безопасности | 4 | 3 | 2 | 1 | Базовый | Усиленный | Максимальный | |||||||||||
1 | I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||||||||||||||||||
1 | ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + | + | + | + | + | + | + | Средства ОС СН + Орг. Меры При необходимости: СДЗ, токены | Идентификация и аутентификация пользователей осуществляется локально (по pam) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||
1 | ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | + | + | + | + | + | Средства ОС СН + ОРД | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификация. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация устройств реализуется средствами ОС СН с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev, fstab), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, регистрации устройств локально (fly-admin-smc), и централизованно (FreeIPA, ALD) Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.12.4 Настройка принтера и управления печатью, п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||||
1 | ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + | + | + | + | + | + | + | Средства ОС СН + Орг. Меры + ОРД | Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD). Управление устройствами локально (fly-admin-smc) и в домене (FreeIPA,ALD) | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||
1 | ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + | + | + | + | + | + | + | Средства ОС СН + Орг. Меры + ОРД При необходимости: СДЗ, токены | Управление средствами аутентификации осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012 При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) Дополнительно: средства поддержки двухфакторной аутентификации | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||
1 | ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + | + | + | + | + | + | + | Средства ОС СН | Защита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсе средствами ОС СН по умолчанию. | Защищенная графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | РП:1: п.2.1 "Графический вход в систему" Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной̆ части системы fly-dm и поддержки графического интерфейса fly-qdm | |||||||
1 | ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + | + | + | + | + | + | + | Средства ОС СН + Орг. Меры + ОРД При необходимости: СДЗ, токены | Идентификация и аутентификация внешних пользователей осуществляется локально или централизованно с помощью организации единого пространства пользователей. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||
2 | II. Управление доступом субъектов доступа к объектам доступа (УПД) | |||||||||||||||||||
2 | УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. | Управление локальными пользователями (fly-admin-smc), Управление доменным пользователями (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/R4AS (ALD) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||
2 | УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Монитор обращений из состава ОС СН предусматривает дискреционное, мандатное (мандатное управление доступом доступно только для режима "Смоленск") и ролевое управление доступом, а также реализацию мандатного контроля целостности (режим МКЦ доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. Разделение полномочий (ролей) пользователей, назначение минимально необходимых прав и привилегий осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией. | Дискреционное управление доступом, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA) Дополнительно: мандатное управление доступом, МКЦ, управление доступом в БД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД" | |||||||
2 | УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + | + | + | + | + | + | + | Сертифицированные МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | Управление информационными потоками в информационной системе (фильтрация, маршрутизация, контроль соединений) обеспечивается: - на уровне узла средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. осуществляется с использованием встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для режима "Смоленск"); - на уровне сетевого и межсетевого разграничения доступа - внешними средствами межсетевого экранирования, средствами однонаправленной передачи информацииСмоленск»). | Средства межсетевого экранирования (astra-ufw-control) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие" | |||||||
2 | УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + | + | + | + | + | + | + | ОРД + Средства ОС СН | Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||
2 | УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||
2 | УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||
2 | УПД.7 | Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных | - | - | - | Сторонними программными средствами | - | - | - | |||||||||||
2 | УПД.8 | Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему | + | + | + | Средства ОС СН | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | Средства управление рабочим столом Fly (fly-notify-prevlogin) | РА.1: п.11.6 "Рабочий стол Fly" см. Вывод уведомления о предыдущем входе в систему https://wiki.astralinux.ru/x/eoxsAw (fly-notify-prevlogin) | |||||||||||
2 | УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы | + | + | + | Средства ОС СН + ОРД | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга | Системные ограничения ulimits (fly-admin-smc), средства аудита (auditd, zabbix) | РКСЗ.1: п.16.4.3. "Установка квот на использование системных ресурсов" РА.1: п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog | |||||||||||
2 | УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | + | + | + | + | + | + | Средства ОС СН + ОРД | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу. | Средства управление рабочим столом Fly (fly-admin-theme) | РА.1: п.11.6 "Рабочий стол Fly" РКСЗ.1: п.17.2 "Указания по эксплуатации ОС" Справка ОС СН по утилите настройки элементов рабочего стола fly-admin-theme | ||||||||
2 | УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + | + | + | + | + | + | Средства ОС СН + ОРД При необходимости: СДЗ | По умолчанию пользователям запрещены любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему и параметров системного загрузчика Grub. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | ОП: п.4.1.2 "Идентификация и аутентификация" РП:1: п.2.1 "Графический вход в систему" РКСЗ.1: п.4.16 "Настройка загрузчика GRUB 2" п.16.4.10 "Управление автоматическим входом", п.16.4.12 "Управление загрузкой ядра hardened" п.16.4.18 "Отключение отображения меню загрузчика" Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной̆ части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2 https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) | ||||||||
2 | УПД.12 | Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки | - | - | + | Средства ОС СН + ОРД | В ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). | Мандатное управление доступом | РКСЗ.1: п.4.2 "Мандатное управление доступом" | |||||||||||
2 | УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + | + | + | + | + | + | + | VPN-решения/ Средства ОС СН + ОРД | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ (VPN-решения) | РА.1: п.6.10 "Средство создания защищенных каналов" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | |||||||
2 | УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + | + | + | + | + | + | + | Орг-Тех.Меры + ОРД + Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступа и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе с утилитами управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | |||||||
2 | УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + | + | + | + | + | + | + | Орг-Тех.Меры + ОРД + Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной̆ техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей̆ информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||
2 | УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + | + | + | + | - | - | - | Орг-Тех.Меры | - | - | - | |||||||
2 | УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | + | + | - | - | - | СДЗ, дополнительно: Средства ОС СН | Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками ОС СН. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control) | РКСЗ.1:п.16.4 "Функции безопасности системы" | |||||||||
3 | III. Ограничение программной среды (ОПС) | |||||||||||||||||||
3 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения | - | + | + | Средства ОС СН + ОРД, СДЗ | Управление запуском (обращениями) в информационной системе разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), системным и графическим киоском, а также средствами системных блокировок, настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управление запуском сервисов, системных служб, приложениями, планированием запуска задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock, astra-sysrq-lock, astra-ptrace-lock, astra-lkrg-control, astra-modban-lock, astra-noautonet-control, astra-nobootmenu-control, astra-commands-lock, astra-nochmodx-lock, astra-noautonet-control), grub (fly-admin-grub2) управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планированием запуска задач (fly-admin-cron) | РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.4 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy) Справка ОС СН по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron | |||||||||||
3 | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | + | + | + | + | + | Средства ОС СН + ОРД | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки в информационную систему разрешенного программного обеспечения может быть реализован с использованием средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы c использованием программных средств управления конфигурациями. | Управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев»)https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/JInNAwUAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |||||||||
3 | ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | + | + | + | + | Средства ОС СН + ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. | Управление программными пакетами (synaptik), проверка целостности системы (fly-admin-int-check) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев» fly-admin-repo) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | ||||||||||
3 | ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | - | + | + | Средства ОС СН + ОРД | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (доступен для режимов ОС СН "Воронеж" и "Смоленск") и встроенного в ядро ОС СН механизма изоляции процессов. | Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки" | |||||||||||
4 | IV. Защита машинных носителей персональных данных (ЗНИ) | |||||||||||||||||||
4 | ЗНИ.1 | Учет машинных носителей персональных данных | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | |||||||||
4 | ЗНИ.2 | unshare workbook | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | |||||||||
4 | ЗНИ.3 | Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны | - | - | - | Орг.Меры, ОРД | - | - | - | |||||||||||
4 | ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах | - | - | - | Орг-тех.меры | - | - | - | |||||||||||
4 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа | Средства разграничения доступа к подключаемым устройствам (udev, fstab), управление драйверами | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |||||||||||
4 | ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители персональных данных | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |||||||||||
4 | ЗНИ.7 | Контроль подключения машинных носителей персональных данных | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev, astra-mount-lock) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.4.20 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |||||||||||
4 | ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | + | + | + | + | + | + | Средства ОС СН + ОРД | Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей, средств затирания данных. | Средства затирания данных (dd, shred) Дополнительно: Механизм очистки памяти (astra-secdel-control) | РКСЗ.1: п.8 "Защита памяти" Справка ОС СН по работе с утилитой форматирования внешних носителей fly-admin-format | ||||||||
5 | V. Регистрация событий безопасности (РСБ) | |||||||||||||||||||
5 | РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + | + | + | + | - | - | - | ОРД | События безопасности, подлежащие регистрации, и сроки их хранения определяются администратором. | - | - | |||||||
5 | РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + | + | + | + | - | - | - | ОРД | Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администратором. | - | - | |||||||
5 | РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | + | + | + | + | + | + | + | Средства ОС СН + ОРД, SIEM | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog | |||||||
5 | РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | + | + | + | Средства ОС СН + ОРД | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности. | Средства аудита (zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |||||||||||
5 | РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | + | + | + | + | + | Средства ОС СН + ОРД, Орг.меры, SIEM | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с программой просмотра файлов журналов ksystemlog | |||||||||
5 | РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | + | + | + | Средства ОС СН | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в ОС СН служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) | РА.1: п.6.7 (Службы точного времени) https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени) | |||||||||||
5 | РСБ.7 | Защита информации о событиях безопасности | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита. | Средства аудита (auditd, zabbix), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.3 "Дискреционное управление доступом",п.4.2 "Мандатное управление доступом" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | |||||||
6 | VI. Антивирусная защита (АВЗ) | |||||||||||||||||||
6 | АВЗ.1 | Реализация антивирусной защиты | + | + | + | + | - | - | - | АВЗ | - | - | - | |||||||
6 | АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | + | - | - | - | АВЗ | - | - | - | |||||||
7 | VII. Обнаружение вторжений (СОВ) | |||||||||||||||||||
7 | COB.1 | Обнаружение вторжений | + | + | - | - | - | СОВ | - | - | - | |||||||||
7 | COB.2 | Обновление базы решающих правил | + | + | - | - | - | СОВ | - | - | - | |||||||||
8 | VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |||||||||||||||||||
8 | АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | + | + | + | + | + | + | Средства анализа (контроля) защищенности (сканеры безопасности), ОРД, Орг.меры, Средства ОС СН | Выявление и оперативное устранение уязвимостей ОС СН производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76, и ГОСТ Р 56939. | Обновление ОС, fly-astra-update, fly-update-notifier | ОП: п.3 "Порядок обновления ОС" Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update, с утилитой "Проверка обновлений" fly-update-notifier https://wiki.astralinux.ru/x/2xZIB (fly-astra-update) | ||||||||
8 | АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Обновление безопасности производится администратором согласно документации на ОС СН. Контроль целостности обновлений ОС СН может быть реализован с использованием средств регламентного контроля целостности с использованием функции хэширования и сверки полученного значения с эталонным, указанным в специальном файле с контрольными суммами, входящем в состав обновлений безопасности, а также организацией доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи для режима ЗПС (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Контроль установки обновлений ОС выполняется одним из следующих способов: - в «ручном» режиме путём сравнивания списка установленных обновлений со списком обновлений, зафиксированным в журнале установки обновлений; - автоматизированный контроль установленных обновлений с использованием программных средств (например, Ansible), предусмотренных к использованию условиями эксплуатации обновляемого программного обеспечения или с применением сертифицированных ФСТЭК России средств анализа защищённости (сканеров безопасности). | Обновление ОС, контроль целостности сторонних файлов (gostsum) Дополнительно: Ansible, доверенный репозиторий (МКЦ) | ОП: п.3.2 "Внеочередное (оперативное) обновление" РА.1: п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для ОС СН) Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update | |||||||
8 | АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + | + | + | + | + | + | Средства ОС СН + ОРД | Контроль работоспособности встроенного комплекса средств защиты информации ОС СН осуществляется с помощью автоматического и регламентного тестирования функций безопасности, контролем соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации, и восстановлением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов в соответствии с ОЦЛ.3 | Тестирование СЗИ Cредства резервного копирования (Bacula, dd, tar, luckyback, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) средства управления конфигурациями (Ansible/Puppet/Foreman) | РКСЗ.2 РА.1: п.16 "Резервное копирование и восстановление данных", п.6.11 "Средство удаленного администрирования Ansible" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) | ||||||||
8 | АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + | + | + | + | + | + | Средствами ОС СН, ОРД, Орг.мерами (визуальной проверкой может обеспечиваться контроль состава технических средств и средств защиты информации, требуемые, соблюдение правил эксплуатации и неизменности конфигурации ИС в ходе эксплуатации, контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации) | Контроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ - в соответствии с РСБ.3. Контроль установленного в ОС оборудования можно осуществлять с использованием специализированных утилит. | Контроль целостности (afick, fly-admin-int-check), средства аудита (auditd, zabbix), скрипты контроля установленного оборудования (lspci, lshw, lsusb). | ОП: п.4.1.9 "Контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.9 "Контроль целостности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) https://wiki.astralinux.ru/x/njFIB (определение оборудования) Справка по работе с утилитой проверки целостности fly-admin-int-check | ||||||||
8 | АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе | + | + | + | + | + | Средства ОС СН + ОРД, Орг.меры | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6 | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||||
9 | IХ.Обеспечение целостности информационной системы и персональных данных (ОЦЛ) | |||||||||||||||||||
9 | ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | + | + | + | + | + | Средствами ОС СН, Орг.меры (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | Контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), Тестирование СЗИ Дополнительно: ЗПС | РКСЗ.1: п.9 "Контроль целостности" РКСЗ.2 https://wiki.astralinux.ru/x/JInNAwUAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка по работе с утилитой проверки целостности fly-admin-int-check | |||||||||
9 | ОЦЛ.2 | Контроль целостности персональных данных, содержащихся в базах данных информационной системы | + | + | + | Средствами ОС СН, ОРД, Орг.меры | Контроль целостности информации реализуется с использованием средств динамического и регламентного контроля целостности. | Контроль целостности (afick) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности" | |||||||||||
9 | ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | + | + | + | Средства ОС СН, ОРД | В целях обеспечения возможности восстановления работоспособности системы используется режим восстановления и средства резервного копирования. | Cредства резервного копирования (Bacula, dd, tar, luckyback, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck), режим восстановления ОС Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.16 "Резервное копирование и восстановление данных" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) | |||||||||||
9 | ОЦЛ.4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) | + | + | - | - | - | Сторонние ПС | - | - | - | |||||||||
9 | ОЦЛ.5 | Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов),методов), и исключение неправомерной передачи информации из информационной системы | - | - | + | Средствами ОС СН, Орг.меры, ОРД | Контроль содержания информации, основанный на свойствах объектов доступа, осуществляется согласно установленной политики дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, контроль подключения съемных машинных носителей информации, Защищенный комплекс программ печати и маркировки документов (cups) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов" | |||||||||||
9 | ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему | - | - | + | Средствами ОС СН, ОРД, Орг.меры, возможна реализация на уровне прикладного ПО. | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной̆ метки объекта (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2" | |||||||||||
9 | ОЦЛ.7 | Контроль точности, полноты и правильности данных, вводимых в информационную систему | + | + | + | Прикладное ПО, Средства ОС СН (СУБД) | Контроль точности, полноты и правильности данных, вводимых в информационную систему путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и (или) иных правил ввода информации в информационную систему (допустимые наборы символов, размерность, область числовых значений, допустимые значения, количество символов) для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию осуществляется с использованием прикладного ПО и средств СУБД. | СУБД | РА.2 | |||||||||||
9 | ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных и предупреждение пользователей об ошибочных действиях | + | + | + | Прикладное ПО, Средства ОС СН | Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |||||||||||
10 | X. Обеспечение доступности персональных данных (ОДТ) | |||||||||||||||||||
10 | ОДТ.1 | Использование отказоустойчивых технических средств | + | + | + | Орг-тех.меры, ОРД Дополнительно: Средства ОС СН | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. | Системные ограничения ulimits (fly-admin-smc), средства аудита (zabbix) Дополнительно: Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA) | РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||||||||||
10 | ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | |||||||||||
10 | ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | + | + | + | + | Орг.меры, ОРД, Средства ОС СН | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов. | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | ||||||||||
10 | ОДТ.4 | Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных | + | + | + | + | + | Орг.меры, Средства ОС СН, ОРД | Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | |||||||||
10 | ОДТ.5 | Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Резервное копирование осуществляется с использованием программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы, и сервисов планирования выполнения заданий. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron | |||||||||
12 | XII. Защита технических средств (ЗТС) | |||||||||||||||||||
12 | ЗТС.1 | Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам | - | - | - | Орг-тех.меры | - | - | - | |||||||||||
12 | ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | - | - | - | Орг-тех.меры | - | - | - | |||||||||||
12 | ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | + | + | + | + | - | - | - | Орг-тех.меры, СДЗ | - | - | - | |||||||
12 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | + | - | - | - | Орг-тех.меры | - | - | - | |||||||
12 | ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | - | - | - | Орг-тех.меры | - | - | - | |||||||||||
13 | XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |||||||||||||||||||
13 | ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется согласно ОРД локально или централизованно с использованием средств управления политикой безопасности. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, дискреционное управление доступом, средства организации домена Дополнительно: Системный и графический киоск | см. раздел II. УПД РА.1: п.3.3 "Управление пользователями", п.4.1.3 "Организация ЕПП" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности", https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | ||||||||||
13 | ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | + | + | + | Средства ОС СН | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды" | |||||||||||
13 | ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + | + | + | + | + | + | + | Орг-тех.меры (СКЗИ), ОРД, Средства ОС СН | Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использованием защищенных каналов, реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ, Средства контроля целостности (сервис электронной подписи) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.9.5 «Сервис электронной подписи» https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | |||||||
13 | ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Доверенный канал обеспечивается: - локально функциями аутентификации и сохранением контекста; - в ЛВС при сетевом доступе встроенными в ОС СН средствами создания защищенных каналов и (или) средствами организации ЕПП; - при межсетевом доступе внешними средствами создания защищенных каналов. | OpenVPN, СКЗИ, Средства организации ЕПП | РА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" РКСЗ.1: п.7.1 "Изоляция процессов" | |||||||||||
13 | ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов. | Средства межсетевого экранирования (astra-ufw-control), дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом" РА.1: п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе с утилитами управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | |||||||||||
13 | ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с персональными данными, при обмене ими с иными информационными системами | - | - | + | Орг-тех.меры (серт СКЗИ, МЭ и/или средств однонаправленной передачи информации, поддерживающими форматы атрибутов безопасности), Средства ОС СН, | Защита реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Передача и контроль целостности атрибутов информации осуществляется ОС СН в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками - доступно только для режима "Смоленск"). Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением средств защиты канала передачи информации | Мандатное управление доступом (передача и контроль меток конфиденциальности при передаче информации по сети), Средства межсетевого экранирования (astra-ufw-control), СКЗИ (OpenVPN) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.4.10 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока" | |||||||||||
13 | ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | - | + | + | Средства ОС СН + ОРДВ составе установочного диска ОС СН отсутствуют средства связанные с технологиями мобильного кода использующими Java, ActiveX, VBScript. Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничения программной среды, в частности созданием «замкнутой программной среды» (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Контроль | осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналахУправление информационными потоками осуществляется с использованием встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для режима "Смоленск»). | Средства аудита (auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock), ЗПС | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.4 "Функции безопасности системы" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) | |||||||||||
13 | ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | - | - | - | Орг-тех.меры, ОРД | - | - | - | |||||||||||
13 | ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | - | - | - | Орг-тех.меры, ОРД | - | - | - | |||||||||||
13 | ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам | + | + | + | Средства ОС СН | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | РА.1: п.6.5 "Служба DNS" https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9) | |||||||||||
13 | ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | + | + | + | + | + | Орг-тех.меры (СКЗИ, МЭ), Средства ОС СН | Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использованием защищенных каналов и проверкой целостности передаваемых пакетов совместно со средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. | OpenVPN, СКЗИ, Средства межсетевого экранирования (astra-ufw-control), Организация ЕПП (Kerberos) | РКСЗ.1: п.11 "Фильтрация сетевого потока" РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП" | |||||||||
13 | ЗИС.12 | Исключение возможности отрицания пользователем факта отправки персональных данных другому пользователю | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | |||||||||||
13 | ЗИС.13 | Исключение возможности отрицания пользователем факта получения персональных данных от другого пользователя | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | |||||||||||
13 | ЗИС.14 | Использование устройств терминального доступа для обработки персональных данных | + | + | + | Орг-тех.меры, СКЗИ, Средства ОС СН | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | https://wiki.astralinux.ru/x/EIQyAw | |||||||||||
13 | ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных | + | + | + | + | + | Средства ОС СН, СКЗИ | Защита файлов, не подлежащих изменению, реализуется средствами контроля целостности объектов файловой системы, средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), установкой правил разграничения доступа. | Контроль целостности (Afick), Дополнительно: Контроль расширенных атрибутов (ЗПС), МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды" | |||||||||
13 | ЗИС.16 | Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов | - | - | + | Средства ОС СН | В ОС СН идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76. Условиями исключения скрытых каналов является реализуемая ОС СН политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой̆ областей оперативной̆ памяти и обеспечение запуска процессов в замкнутой̆ относительно остальных процессов среде по памяти (режимы МКЦ и механизм очистки освобождаемой внешней памяти доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Очистка памяти (secdel), режим киоска, блокировка запуска программ df,chattr,arp,ip | РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.4.11 "Блокировка запуска программ пользователя" | |||||||||||
13 | ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | + | + | - | - | - | Орг-тех.меры, МЭ | Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) | |||||||||
13 | ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспечения | - | + | + | Средства ОС СН, орг-тех.меры | Обеспечение загрузки и исполнения программного обеспечения и контроль целостности программного обеспечения осуществляется средствами управления доступом к подключаемым устройствам и средствами контроля целостности (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . | Средства разграничения доступа к подключаемым устройствам, Контроль целостности (Afick), ЗПС | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.16 "Ограничение программной среды", доп: п.16.4.21 "Включение на файловой системе режима работы "только чтение" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc | |||||||||||
13 | ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | + | + | + | Средства ОС СН | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | Изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов" | |||||||||||
13 | ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Ограничение на использование в информационной системе беспроводных соединений реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступом и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе программой управления санкциями PolicyKit-1 | ||||||||
11 | XI. Защита среды виртуализации (ЗСВ) | |||||||||||||||||||
11 | ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + | + | + | + | + | + | + | Средства ОС СН | Идентификация и аутентификация в виртуальной инфраструктуре осуществляется согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7. | Защита среды виртуализации, Идентификация и аутентификация, Cредства виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации", п.2 "Идентификация и аутентификация" РА.1: п.9 "Виртуализация среды исполнения" | |||||||
11 | ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + | + | + | + | + | + | + | Средства ОС СН | Управление доступом осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13 с использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. | Защита среды виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |||||||
11 | ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + | + | + | + | + | + | Средства ОС СН | Регистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5 с использованием интерфейсов управления средствами виртуализации, штатных средств протоколирования и аудита. | Защита среды виртуализации, средства аудита (auditd, zabbix) | РКСЗ.1: п.5 "Защита среды виртуализации" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||||||||
11 | ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | + | + | + | Средства ОС СН, МЭ, СКЗИ | Управление информационными потоками осуществляется согласно УПД.3, ЗИС.3с использованием встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений, технологий KVM, средствами создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables) и средств управления виртуальной инфраструктурой. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. | Средства виртуализации (Libvirt), фильтрация сетевого потока, средства аудита (auditd, zabbix) | РКСЗ.1: п.5 "Защита среды виртуализации" РКСЗ.1: п.11 "Фильтрация сетевого потока" | |||||||||||
11 | ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | - | + | + | Средства ОС СН, СДЗ | Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), настройками подсистемы эмуляции аппаратного обеспечения и контролем целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузки. | Контроль целостности (Afick), гипервизор KVM, подсистема Qemu ЗПС | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |||||||||||
11 | ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | + | + | + | Орг.меры, Средства ОС СН | Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации. | Средства виртуализации (Libvirt), Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.5 "Защита среды виртуализации" РА.1: п.9 "Виртуализация среды исполнения", п.4.3.2 "Администрирование многопользовательской и многозадачной среды" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |||||||||
11 | ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | + | + | + | + | + | Средства ОС СН | Контроль целостности виртуальной инфраструктуры и ее конфигураций реализуется средствами создания замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") , настройками подсистемы эмуляции аппаратного обеспечения и контролем целостности образов виртуальных машин. | Контроль целостности (Afick), гипервизор KVM, подсистема Qemu, («read-only режим» с контролем целостности файлов образов ВМ) Дополнительно: ЗПС | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |||||||||
11 | ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Резервное копирование реализуется с использованием встроенных в ОС СН средства резервного копирования, средств кластеризации и создания распределенных хранилищ информации. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | |||||||||
11 | ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + | + | + | - | - | - | САВЗ | - | - | - | ||||||||
11 | ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | + | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Разбиение виртуальной инфраструктуры на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec). Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) | ||||||||
14 | XIV. Выявление инцидентов и реагирование на них (ИНЦ) | |||||||||||||||||||
14 | ИНЦ.1 | Определение лиц, ответственных за выявление инцидентов и реагирование на них | + | + | - | - | - | Орг.меры | - | - | - | |||||||||
14 | ИНЦ.2 | Обнаружение, идентификация и регистрация инцидентов | + | + | + | + | + | Средства ОС СН, SIEM | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | |||||||||
14 | ИНЦ.3 | Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами | + | + | - | - | - | Орг.меры | - | - | - | |||||||||
14 | ИНЦ.4 | Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий | + | + | - | - | - | Орг.меры | - | - | - | |||||||||
14 | ИНЦ.5 | Принятие мер по устранению последствий инцидентов | + | + | - | - | - | Орг.меры | - | - | - | |||||||||
14 | ИНЦ.6 | Планирование и принятие мер по предотвращению повторного возникновения инцидентов | + | + | - | - | - | Орг.меры | - | - | - | |||||||||
15 | XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | |||||||||||||||||||
15 | УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | + | + | + | - | - | - | Орг.меры | - | - | - | ||||||||
15 | УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты персональных данных | + | + | + | + | + | + | Средства ОС СН | Управление изменениями конфигурации, применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы c использованием программных средств управления конфигурациями. Управление изменениями осуществляется в соответствии с установленными правилами разграничения доступа, изменения учитываются при регистрации событий безопасности, связанных с этими изменениями. | Cредства управления конфигурациями (Ansible/Puppet/Foreman), Средства аудита (auditd, zabbix) | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible", п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||||||||
15 | УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | + | + | + | - | - | - | Орг.меры | - | - | - | ||||||||
15 | УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных | + | + | + | - | - | - | Орг.меры | - | - | - |
...