Сравнение версий

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Содержание мер по обеспечению безопасности персональных данныхУровни защищенности ИСПДнСредства реализацииРежимы ОС СНСпособ реализации меры защиты с использованием штатных средств ОС СНКомпоненты ОС СНЭксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации ОС СН
РазделКодМеры по обеспечению безопасности4321УсиленныйМаксимальный
1I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
1ИАФ.1Идентификация и аутентификация пользователей, являющихся работниками оператора++++Средства ОС СН + Организационные мероприятия
При необходимости: СДЗ, токены
++Идентификация и аутентификация пользователей осуществляется локально (по PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.

При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
Локальная идентификация и аутентификация (PAM),
Сквозная аутентификация (ЕПП)

Дополнительно:
Средства поддержки двухфакторной аутентификации
ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП"
РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации"
РКСЗ.1: п.2 "Идентификация и аутентификация"
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD)
https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
1ИАФ.2Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

++Средства ОС СН + ОРД++Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификация.
Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД.
Аутентификация устройств реализуется средствами ОС СН с использованием сетевого протокола сквозной доверенной аутентификации.
Идентификация устройств
(ядро, parsec, dev, fstab),
идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, регистрации устройств локально (fly-admin-smc), и централизованно (FreeIPA, ALD)
Защищенный комплекс программ печати и маркировки документов (cups)
РА.1: п.12.4 Настройка принтера и управления печатью, п.17 "Средства разграничения доступа к подключаемым устройствам"
РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации"
https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
1ИАФ.3Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов++++Средства ОС СН + Организационные мероприятия + ОРД++Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности.
Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом
Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD).
Управление устройствами локально (fly-admin-smc) и в домене (FreeIPA,ALD)
РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly"
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
1ИАФ.4Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации++++Средства ОС СН + Организационные мероприятия + ОРД
При необходимости: СДЗ, токены
++Управление средствами аутентификации осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности.
Для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012

При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации
Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD)

Дополнительно:
средства поддержки двухфакторной аутентификации
РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации"
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD)
https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
1ИАФ.5Защита обратной связи при вводе аутентификационной информации++++Средства ОС СН++Защита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсе средствами ОС СН по умолчанию.Защищенная графическая подсистема (fly-admin-dm, fly-dm, fly-qdm)РП:1: п.2.1 "Графический вход в систему"
Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm
1ИАФ.6Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)++++Средства ОС СН + Организационные мероприятия + ОРД
При необходимости: СДЗ, токены
++Идентификация и аутентификация внешних пользователей осуществляется локально или централизованно с помощью организации единого пространства пользователей.

При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
Локальная идентификация и аутентификация (PAM),
Сквозная аутентификация (ЕПП)

Дополнительно:
Средства поддержки двухфакторной аутентификации
ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП"
РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации"
РКСЗ.1: п.2 "Идентификация и аутентификация"
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD)
https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
2II. Управление доступом субъектов доступа к объектам доступа (УПД)
2УПД.1Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в   том числе внешних пользователей++++Средства ОС СН + ОРД++Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности.Управление локальными пользователями (fly-admin-smc), Управление доменным пользователями (FreeIPA, ALD)РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly"
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD)
https://wiki.astralinux.ru/x/R4AS (ALD)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
2УПД.2Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа++++Средства ОС СН + ОРД++Монитор обращений из состава ОС СН предусматривает дискреционное, мандатное (мандатное управление доступом доступно только для режима "Максимальный" ("Смоленск")) и ролевое управление доступом, а также реализацию мандатного контроля целостности (режим МКЦ доступен для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")). Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам.
Разделение полномочий (ролей) пользователей, назначение минимально необходимых прав и привилегий осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией.
Дискреционное управление доступом,
Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA)

Дополнительно: мандатное управление доступом, МКЦ, управление доступом в БД
РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности"
РА.2
ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД"
2УПД.3Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами++++МЭ или средства однонаправленной передачи,
Средства ОС СН, ОРД.
++Управление информационными потоками осуществляется с использованием встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables).
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для режима "Максимальный»).
Средства межсетевого экранирования
(astra-ufw-control)
РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие"
2УПД.4Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы++++ОРД + Средства ОС СН++Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора.Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД
Дополнительно:
Мандатное управление доступом, МКЦ.

РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly"
РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности"
Описание СУБД: п.10 Роли и привилегии в СУБД
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
2УПД.5Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы++++Средства ОС СН + ОРД++Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора.Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД
Дополнительно:
Мандатное управление доступом, МКЦ.

РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly"
РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности"
Описание СУБД: п.10 Роли и привилегии в СУБД
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
2УПД.6Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)++++Средства ОС СН + ОРД++Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно.Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD)РА.1: п.3.3 "Управление пользователями"
РКСЗ.1: п.2 "Идентификация и аутентификация"
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
2УПД.7Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных



Сторонними программными средствами-----
2УПД.8Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему



Средства ОС СН++Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему.Средства управление рабочим столом Fly (fly-notify-prevlogin)РА.1: п.11.6 "Рабочий стол Fly"
см. Вывод уведомления о предыдущем входе в систему https://wiki.astralinux.ru/x/eoxsAw (fly-notify-prevlogin)
2УПД.9Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы



Средства ОС СН + ОРД++Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторингаСистемные ограничения ulimits (fly-admin-smc), средства аудита (auditd, zabbix)РКСЗ.1: п.16.4.3. "Установка квот на использование системных ресурсов"
РА.1: п.15 "Средства централизованного протоколирования и аудита"
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog
2УПД.10Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
+++Средства ОС СН + ОРД++Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу.Средства управление рабочим столом Fly (fly-admin-theme)РА.1: п.11.6 "Рабочий стол Fly"
РКСЗ.1: п.17.2 "Указания по эксплуатации ОС"
Справка ОС СН по утилите настройки элементов рабочего стола fly-admin-theme
2УПД.11Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
+++Средства ОС СН + ОРД
При необходимости:
СДЗ
++По умолчанию пользователям запрещены любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему и параметров системного загрузчика Grub.Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control),
защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm)
ОП: п.4.1.2 "Идентификация и аутентификация"
РП:1: п.2.1 "Графический вход в систему"
РКСЗ.1: п.4.16 "Настройка загрузчика GRUB 2"
п.16.4.10 "Управление автоматическим входом", п.16.4.12 "Управление загрузкой ядра hardened"
п.16.4.18 "Отключение отображения меню загрузчика"
Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2
https://wiki.astralinux.ru/x/woChAQ (Режим восстановления)
2УПД.12Поддержка и сохранение атрибутов безопасности (меток безопасности),  связанных  с информацией в процессе ее хранения и обработки



Средства ОС СН + ОРД-+В ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256).Мандатное управление доступомРКСЗ.1: п.4.2 "Мандатное управление доступом"
2УПД.13Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети++++VPN-решения/ Средства ОС СН
+ ОРД
++Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети.OpenVPN, СКЗИ (VPN-решения)РА.1: п.6.10 "Средство создания защищенных каналов"
https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN)
https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ)
2УПД.14Регламентация и контроль использования в информационной системе технологий беспроводного доступа++++Организационно-технические мероприятия + ОРД + Средства ОС СН++Реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступа и управления устройствами.Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствамиРКСЗ.1: п.3 "Дискреционное управление доступом"
https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств)
Справка ОС СН по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1
2УПД.15Регламентация и контроль использования в информационной системе мобильных технических средств++++Организационно-технические мероприятия + ОРД + Средства ОС СН++Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа.Средства разграничения доступа к подключаемым устройствам (udev)РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам"
РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации"
https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
2УПД.16Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)++++Организационно-технические мероприятия-----
2УПД.17Обеспечение доверенной загрузки средств вычислительной техники

++СДЗ, дополнительно: Средства ОС СН--Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками ОС СН.Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control)РКСЗ.1:п.16.4 "Функции безопасности системы"
3III. Ограничение программной среды (ОПС)
3ОПС.1Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения



Средства ОС СН + ОРД, СДЗ++Управление запуском (обращениями) в информационной системе разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды (режим ЗПС доступен для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")), системным и графическим киоском, а также средствами системных блокировок, настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управление запуском сервисов, системных служб, приложениями, планированием запуска задач.ЗПС
режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock, astra-sysrq-lock, astra-ptrace-lock, astra-lkrg-control, astra-modban-lock, astra-noautonet-control, astra-nobootmenu-control, astra-commands-lock, astra-nochmodx-lock, astra-noautonet-control), grub (fly-admin-grub2)
управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планированием запуска задач (fly-admin-cron)
РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.4 "Функции безопасности системы"
https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды)
https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy)
Справка ОС СН по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron
3ОПС.2Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения

++Средства ОС СН + ОРД++Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности.

Контроль установки в информационную систему разрешенного программного обеспечения может быть реализован с использованием средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")).

Применение и контроль параметров настройки
компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями.
Управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check),
контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman)

Дополнительно: ЗПС
РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible"
ОП: п.4.1.9 "Контроль целостности"
РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности"
https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев»)https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев)
https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды)
https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах)
Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check
3ОПС.3Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов


+Средства ОС СН + ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков)++Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")).
Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5.
Управление программными пакетами (synaptik), проверка целостности системы (fly-admin-int-check)

Дополнительно: ЗПС
РА.1: п.5 "Управление программными пакетами"
ОП: п.4.1.9 "Контроль целостности"
РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности"
https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев)
https://wiki.astralinux.ru/x/QQLGBw
(Инструмент «Редактор репозиториев» fly-admin-repo)
Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check
3ОПС.4Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов



Средства ОС СН + ОРД++Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (доступен для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")) и встроенного в ядро ОС СН механизма изоляции процессов.Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессовРКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки"
4IV. Защита машинных носителей персональных данных (ЗНИ)
4ЗНИ.1Учет машинных носителей персональных данных

++Организационные мероприятия, ОРД-----
4ЗНИ.2unshare workbook

++Организационные мероприятия, ОРД-----
4ЗНИ.3Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны



Организационные мероприятия, ОРД-----
4ЗНИ.4Исключение возможности несанкционированного ознакомления  с  содержанием  персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах



Организационно-технические мероприятия-----
4ЗНИ.5Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных



Организационно-технические мероприятия, ОРД, Средства ОС СН++Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступаСредства разграничения доступа к подключаемым устройствам (udev, fstab), управление драйверамиРКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации"
https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux)
4ЗНИ.6Контроль ввода (вывода) информации на машинные носители персональных данных



Средства ОС СН + ОРД++Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа.Средства разграничения доступа к подключаемым устройствам (udev)РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством"
https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux)
4ЗНИ.7Контроль подключения машинных носителей персональных данных



Средства ОС СН + ОРД++Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа.Средства разграничения доступа к подключаемым устройствам (udev, astra-mount-lock)РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.4.20 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности"
https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux)
4ЗНИ.8Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания
+++Средства ОС СН + ОРД++Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей, средств затирания данных.Средства затирания данных (dd, shred)

Дополнительно:
Механизм очистки памяти (astra-secdel-control)
РКСЗ.1: п.8 "Защита памяти"
Справка ОС СН по работе с утилитой форматирования внешних носителей fly-admin-format
5V. Регистрация событий безопасности (РСБ)
5РСБ.1Определение событий безопасности, подлежащих регистрации, и сроков их хранения++++ОРД--События безопасности, подлежащие регистрации, и сроки их хранения определяются администратором.--
5РСБ.2Определение состава и содержания информации о событиях безопасности, подлежащих регистрации++++ОРД--Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администратором.--
5РСБ.3Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения++++Средства ОС СН + ОРД, SIEM++Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM).Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit)РА.1: п.15 "Средства централизованного протоколирования и аудита"
РКСЗ.1: п.6 "Регистрация событий безопасности"
https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix)
https://wiki.astralinux.ru/x/-4JOAg (Zabbix)
Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog
5РСБ.4Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти



Средства ОС СН + ОРД++Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности.Средства аудита (zabbix)РА.1: п.15 "Средства централизованного протоколирования и аудита"
https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix)
https://wiki.astralinux.ru/x/-4JOAg (Zabbix)
5РСБ.5Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

++Средства ОС СН + ОРД, Организационные мероприятия, SIEM++Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений.Средства аудита (auditd, zabbix), Системный журнал (ksystemlog)РА.1: п.15 "Средства централизованного протоколирования и аудита"
https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix)
https://wiki.astralinux.ru/x/-4JOAg (Zabbix)
Справка по работе с программой просмотра файлов журналов ksystemlog
5РСБ.6Генерирование временных меток и (или) синхронизация системного времени в информационной системе



Средства ОС СН++Синхронизация системного времени в информационной системе реализуется с использованием встроенных в ОС СН служб синхронизации времени.Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp)РА.1: п.6.7 (Службы точного времени)
https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени)
5РСБ.7Защита информации о событиях безопасности++++Средства ОС СН + ОРД++Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита.Средства аудита (auditd, zabbix), Дискреционное управление доступом

Дополнительно: Мандатное управление доступом
РА.1: п.15 "Средства централизованного протоколирования и аудита"
РКСЗ.1: п.3 "Дискреционное управление доступом",п.4.2 "Мандатное управление доступом"
https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix)
https://wiki.astralinux.ru/x/-4JOAg (Zabbix)
Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog
6VI. Антивирусная защита (АВЗ)
6АВЗ.1Реализация антивирусной защиты++++АВЗ-----
6АВЗ.2Обновление базы данных признаков вредоносных компьютерных программ (вирусов)++++АВЗ-----
7VII. Обнаружение вторжений (СОВ)
7COB.1Обнаружение вторжений

++СОВ-----
7COB.2Обновление базы решающих правил

++СОВ-----
8VIII. Контроль (анализ) защищенности персональных данных (АНЗ)
8АНЗ.1Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
+++Средства анализа (контроля) защищенности (сканеры безопасности), ОРД, Организационные мероприятия, Средства ОС СН++Выявление и оперативное устранение уязвимостей ОС СН производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76, и ГОСТ Р 56939.Обновление ОС, fly-astra-update, fly-update-notifierОП: п.3 "Порядок обновления ОС"
Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update, с утилитой "Проверка обновлений" fly-update-notifier
https://wiki.astralinux.ru/x/2xZIB (fly-astra-update)
8АНЗ.2Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации++++Средства ОС СН + ОРД++Обновление безопасности производится администратором согласно документации на ОС СН.
Контроль целостности обновлений ОС СН может быть реализован с использованием средств регламентного контроля целостности с использованием функции хэширования и сверки полученного значения с эталонным, указанным в специальном файле с контрольными суммами, входящем в состав обновлений безопасности, а также организацией доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи для режима ЗПС (режим ЗПС доступен для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")).
Контроль установки обновлений ОС выполняется одним из следующих способов:
- в «ручном» режиме путём сравнивания списка установленных обновлений со списком обновлений, зафиксированным в журнале установки обновлений;
- автоматизированный контроль установленных обновлений с использованием программных средств (например, Ansible), предусмотренных к использованию условиями эксплуатации обновляемого программного обеспечения или с применением сертифицированных ФСТЭК России средств анализа защищенности (сканеров безопасности).
Обновление ОС, контроль целостности сторонних файлов (gostsum)

Дополнительно: Ansible, доверенный репозиторий (МКЦ)
ОП: п.3.2 "Внеочередное (оперативное) обновление"
РА.1: п.6.11 "Средство удаленного администрирования Ansible"
https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для ОС СН)
Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update
8АНЗ.3Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
+++Средства ОС СН + ОРД++Контроль работоспособности встроенного комплекса средств защиты информации ОС СН осуществляется с помощью автоматического и регламентного тестирования функций безопасности, контролем соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации, и восстановлением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов в соответствии с ОЦЛ.3Тестирование СЗИ
Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование)
средства управления конфигурациями (Ansible/Puppet/Foreman)
РКСЗ.2
РА.1: п.16 "Резервное копирование и восстановление данных", п.6.11 "Средство удаленного администрирования Ansible"
РКСЗ.1: п.10 "Надежное функционирование"
https://wiki.astralinux.ru/x/woChAQ (Режим восстановления)
https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов)
https://wiki.astralinux.ru/x/dQHGAg (BACULA)
https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных)
8АНЗ.4Контроль состава технических средств, программного обеспечения и средств защиты информации
+++Средствами ОС СН, ОРД, Орг.мерами (визуальной проверкой может обеспечиваться контроль состава технических средств и средств защиты информации, требуемые, соблюдение правил эксплуатации и неизменности конфигурации ИС в ходе эксплуатации, контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации)++Контроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ - в соответствии с РСБ.3. Контроль установленного в ОС оборудования можно осуществлять с использованием специализированных утилит.Контроль целостности (afick, fly-admin-int-check), средства аудита (auditd, zabbix), скрипты контроля установленного оборудования (lspci, lshw, lsusb).ОП: п.4.1.9 "Контроль целостности"
РА.1: п.15 "Средства централизованного протоколирования и аудита"
РКСЗ.1: п.9 "Контроль целостности"
https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix)
https://wiki.astralinux.ru/x/-4JOAg (Zabbix)
https://wiki.astralinux.ru/x/njFIB (определение оборудования)
Справка по работе с утилитой проверки целостности fly-admin-int-check
8АНЗ.5Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

++Средства ОС СН + ОРД, Организационные мероприятия++Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6

Средства аудита (auditd, zabbix)РА.1: п.15 "Средства централизованного протоколирования и аудита"
https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix)
https://wiki.astralinux.ru/x/-4JOAg (Zabbix)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
9IХ. Обеспечение целостности информационной системы и персональных данных (ОЦЛ)
9ОЦЛ.1Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

++Средствами ОС СН, Организационные мероприятия (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД.++Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического (режим ЗПС доступен для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")) и регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности.Контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum), Тестирование СЗИ
Дополнительно:
ЗПС
РКСЗ.1: п.9 "Контроль целостности"
РКСЗ.2
https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах)
Справка по работе с утилитой проверки целостности fly-admin-int-check
9ОЦЛ.2Контроль целостности персональных данных, содержащихся в базах данных информационной системы



Средствами ОС СН, ОРД, Организационные мероприятия++Контроль целостности информации реализуется с использованием средств динамического и регламентного контроля целостности.Контроль целостности (afick)ОП: п.4.1.9 "Контроль целостности"
РКСЗ.1: п.9 "Контроль целостности"
9ОЦЛ.3Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций



Средства ОС СН, ОРД++В целях обеспечения возможности восстановления работоспособности системы используется режим восстановления и средства резервного копирования.Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck), режим восстановления ОС Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование)РА.1: п.16 "Резервное копирование и восстановление данных"
РКСЗ.1: п.10 "Надежное функционирование"
https://wiki.astralinux.ru/x/woChAQ (Режим восстановления)
https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов)
https://wiki.astralinux.ru/x/dQHGAg (BACULA)
https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных)
9ОЦЛ.4Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)

++Сторонние ПС-----
9ОЦЛ.5Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов),методов), и исключение неправомерной передачи информации из информационной системы



Средствами ОС СН, Организационные мероприятия, ОРД-+Контроль содержания информации, основанный на свойствах объектов доступа, осуществляется согласно установленной политики дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Максимальный" ("Смоленск")).Мандатное управление доступом, Дискреционное управление доступом, контроль подключения съемных машинных носителей информации, Защищенный комплекс программ печати и маркировки документов (cups)РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством"
РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов"
9ОЦЛ.6Ограничение прав пользователей по вводу информации в информационную систему



Средствами ОС СН, ОРД, Организационные мероприятия, возможна реализация на уровне прикладного ПО.-+Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной метки объекта (мандатное управление доступом доступно только для режима "Максимальный" ("Смоленск")).Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦРКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2"
9ОЦЛ.7Контроль точности, полноты и правильности данных, вводимых в информационную систему



Прикладное ПО, Средства ОС СН (СУБД)++Контроль точности, полноты и правильности данных, вводимых в информационную систему путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и (или) иных правил ввода информации в информационную систему (допустимые наборы символов, размерность, область числовых значений, допустимые значения, количество символов) для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию осуществляется с использованием прикладного ПО и средств СУБД.СУБДРА.2
9ОЦЛ.8Контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных и предупреждение пользователей об ошибочных действиях



Прикладное ПО, Средства ОС СН++Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа.Средства аудита (auditd, zabbix)
Дискреционное управление доступом
Дополнительно:
Мандатное управление доступом,
МКЦ, СУБД
РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности"
РА.1: п.15 "Средства централизованного протоколирования и аудита"
https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix)
https://wiki.astralinux.ru/x/-4JOAg (Zabbix)
10X. Обеспечение доступности персональных данных (ОДТ)
10ОДТ.1Использование отказоустойчивых технических средств



Организационно-технические мероприятия, ОРД
Дополнительно: Средства ОС СН
++Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита.Системные ограничения ulimits (fly-admin-smc), средства аудита (zabbix)
Дополнительно:
Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA)
РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов"
РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.15 "Средства централизованного протоколирования и аудита"
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
10ОДТ.2Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы



Организационно-технические мероприятия, ОРД, Средства ОС СН++Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности.
В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck.
Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии.
Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий.
В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита.
Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер).
Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи.
Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck)РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных"
РКСЗ.1 п.10 "Надежное функционирование"
https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding))
10ОДТ.3Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование


+Организационные мероприятия, ОРД, Средства ОС СН++Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов.Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc)РА.1: п.15 "Средства централизованного протоколирования и аудита"
РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов"
https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix)
https://wiki.astralinux.ru/x/-4JOAg (Zabbix)
Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog
10ОДТ.4Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных

++Организационные мероприятия, Средства ОС СН, ОРД++Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита.Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck)РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD"
https://wiki.astralinux.ru/x/dQHGAg (BACULA)
https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов)
10ОДТ.5Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала

++Организационно-технические мероприятия, ОРД, Средства ОС СН++Резервное копирование осуществляется с использованием программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы, и сервисов планирования выполнения заданий.Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron)РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD"
РКСЗ.1 п.10 "Надежное функционирование"
https://wiki.astralinux.ru/x/dQHGAg (BACULA)
https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов)
Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron
12XII. Защита технических средств (ЗТС)
12ЗТС.1Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам



Организационно-технические мероприятия-----
12ЗТС.2Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования



Организационно-технические мероприятия-----
12ЗТС.3Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены++++Организационно-технические мероприятия, СДЗ-----
12ЗТС.4Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр++++Организационно-технические мероприятия-----
12ЗТС.5Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)



Организационно-технические мероприятия-----
13XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
13ЗИС.1Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы


+Организационно-технические мероприятия, ОРД, Средства ОС СН++Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется согласно ОРД локально или централизованно с использованием средств управления политикой безопасности.Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, дискреционное управление доступом, средства организации домена

Дополнительно: Системный и графический киоск
см. раздел II. УПД
РА.1: п.3.3 "Управление пользователями", п.4.1.3 "Организация ЕПП"
РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности",
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
https://wiki.astralinux.ru/x/zQC4B (Режим киоска)
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1
13ЗИС.2Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом



Средства ОС СН++Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов.Системные сервисы и компоненты (nice, renice, kill, nohup, ps)РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды"
13ЗИС.3Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи++++Организационно-технические мероприятия (СКЗИ), ОРД, Средства ОС СН++Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использованием защищенных каналов, реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети.OpenVPN, СКЗИ, Средства контроля целостности (сервис электронной подписи)РА.1: п.6.10 "Средство создания защищенных каналов"
РКСЗ.1: п.9.5 «Сервис электронной подписи»
https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN)
https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ)
13ЗИС.4Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)



Организационно-технические мероприятия (СКЗИ), Средства ОС СН++Доверенный канал обеспечивается:
- локально функциями аутентификации и сохранением контекста;
- в ЛВС при сетевом доступе встроенными в ОС СН средствами создания защищенных каналов и (или) средствами организации ЕПП;
- при межсетевом доступе внешними средствами создания защищенных каналов.
OpenVPN, СКЗИ, Средства организации ЕППРА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды"
РКСЗ.1: п.7.1 "Изоляция процессов"
13ЗИС.5Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств



Организационно-технические мероприятия (СКЗИ), Средства ОС СН++Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов.Средства межсетевого экранирования
(astra-ufw-control), дискреционное управление доступом, управление драйверами/устройствами
РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом"
РА.1: п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды"
https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств)
Справка ОС СН по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1
13ЗИС.6Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с персональными данными, при обмене ими с иными информационными системами



Организационно-технические мероприятия (СКЗИ, МЭ и/или средств однонаправленной передачи информации, поддерживающими форматы атрибутов безопасности), Средства ОС СН,-+Защита реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Передача и контроль целостности атрибутов информации осуществляется ОС СН в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками - доступно только для режима "Максимальный" ("Смоленск")). Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением средств защиты канала передачи информацииМандатное управление доступом (передача и контроль меток конфиденциальности при передаче информации по сети),
Средства межсетевого экранирования
(astra-ufw-control),
СКЗИ (OpenVPN)
РА.1: п.6.10 "Средство создания защищенных каналов"
РКСЗ.1: п.4.10 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока"
13ЗИС.7Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода



Средства ОС СН + ОРД++Управление информационными потоками осуществляется с использованием встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables).
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для режима "Максимальный»).
Средства аудита (auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock), ЗПСРКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.4 "Функции безопасности системы"
РА.1: п.15 "Средства централизованного протоколирования и аудита"
https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды)
13ЗИС.8Контроль санкционированного и исключение несанкционированного  использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи



Организационно-технические мероприятия, ОРД-----
13ЗИС.9Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации



Организационно-технические мероприятия, ОРД-----
13ЗИС.10Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам



Средства ОС СН++Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен).DNSРА.1: п.6.5 "Служба DNS"
https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9)
13ЗИС.11Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов

++Организационно-технические мероприятия (СКЗИ, МЭ), Средства ОС СН++Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использованием защищенных каналов и проверкой целостности передаваемых пакетов совместно со средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.OpenVPN, СКЗИ, Средства межсетевого экранирования
(astra-ufw-control), Организация ЕПП (Kerberos)
РКСЗ.1: п.11 "Фильтрация сетевого потока"
РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП"
13ЗИС.12Исключение возможности отрицания пользователем факта отправки персональных данных другому пользователю



Организационно-технические мероприятия (СКЗИ)-----
13ЗИС.13Исключение возможности отрицания пользователем факта получения персональных данных от другого пользователя



Организационно-технические мероприятия (СКЗИ)-----
13ЗИС.14Использование устройств терминального доступа для обработки персональных данных



Организационно-технические мероприятия, СКЗИ, Средства ОС СН++Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов.LTSPhttps://wiki.astralinux.ru/x/EIQyAw
13ЗИС.15Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных

++Средства ОС СН, СКЗИ++Защита файлов, не подлежащих изменению, реализуется средствами контроля целостности объектов файловой системы, средствами ограничения программной среды (режим ЗПС доступен для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")), установкой правил разграничения доступа.Контроль целостности (Afick),
Дополнительно:
Контроль расширенных атрибутов (ЗПС), МКЦ
РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды"
13ЗИС.16Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов



Средства ОС СН-+В ОС СН идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76. Условиями исключения скрытых каналов является реализуемая ОС СН политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Максимальный" ("Смоленск")), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой областей оперативной памяти и обеспечение запуска процессов в замкнутой относительно остальных процессов среде по памяти (режимы МКЦ и механизм очистки освобождаемой внешней памяти доступны для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")).Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов,
Очистка памяти (secdel), режим киоска, блокировка запуска программ df,chattr,arp,ip
РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.4.11 "Блокировка запуска программ пользователя"
13ЗИС.17Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы

++Организационно-технические мероприятия, МЭ--Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена.VLANhttps://wiki.astralinux.ru/x/8w0AB (VLAN)
13ЗИС.18Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного   программного обеспечения



Средства ОС СН, Организационно-технические мероприятия++Обеспечение загрузки и исполнения программного обеспечения и контроль целостности программного обеспечения осуществляется средствами управления доступом к подключаемым устройствам и средствами контроля целостности (режим ЗПС доступен для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")) .Средства разграничения доступа к подключаемым устройствам, Контроль целостности (Afick), ЗПСРА.1: п.17 "Средства разграничения доступа к подключаемым устройствам"
РКСЗ.1: п.16 "Ограничение программной среды", доп: п.16.4.21 "Включение на файловой системе режима работы "только чтение"
https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux)
https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды)
Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc
13ЗИС.19Изоляция процессов (выполнение программ) в выделенной области памяти



Средства ОС СН++Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН.Изоляция процессовРКСЗ.1: п.7 "Изоляция процессов"
13ЗИС.20Защита беспроводных соединений, применяемых в информационной системе
+++Организационно-технические мероприятия, ОРД, Средства ОС СН++Ограничение на использование в информационной системе беспроводных соединений реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступом и управления устройствами.Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствамиРКСЗ.1: п.3 "Дискреционное управление доступом"
https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств)
Справка ОС СН по работе программой управления санкциями PolicyKit-1
11XI. Защита среды виртуализации (ЗСВ)
11ЗСВ.1Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации++++Средства ОС СН++Идентификация и аутентификация в виртуальной инфраструктуре осуществляется согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7.Защита среды виртуализации, Идентификация и аутентификация, Средства виртуализацииРКСЗ.1: п.5 "Защита среды виртуализации", п.2 "Идентификация и аутентификация"
РА.1: п.9 "Виртуализация среды исполнения"
11ЗСВ.2Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин++++Средства ОС СН++Управление доступом осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13 с использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами.Защита среды виртуализацииРКСЗ.1: п.5 "Защита среды виртуализации"
https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией)
11ЗСВ.3Регистрация событий безопасности в виртуальной инфраструктуре
+++Средства ОС СН++Регистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5 с использованием интерфейсов управления средствами виртуализации, штатных средств протоколирования и аудита.Защита среды виртуализации, средства аудита (auditd, zabbix)РКСЗ.1: п.5 "Защита среды виртуализации"
РА.1: п.15 "Средства централизованного протоколирования и аудита"
https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix)
https://wiki.astralinux.ru/x/-4JOAg (Zabbix)
11ЗСВ.4Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры



Средства ОС СН, МЭ, СКЗИ++Управление информационными потоками осуществляется согласно УПД.3, ЗИС.3с использованием встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений, технологий KVM, средствами создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables) и средств управления виртуальной инфраструктурой.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации.
Средства виртуализации (Libvirt), фильтрация сетевого потока, средства аудита (auditd, zabbix)РКСЗ.1: п.5 "Защита среды виртуализации"
РКСЗ.1: п.11 "Фильтрация сетевого потока"
11ЗСВ.5Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией



Средства ОС СН, СДЗ++Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды (режим ЗПС доступен для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")), настройками подсистемы эмуляции аппаратного обеспечения и контролем целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузки.Контроль целостности (Afick), гипервизор KVM, подсистема Qemu
ЗПС
ОП: п.4.1.9 "Контроль целостности"
РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности"
https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией)
11ЗСВ.6Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных

++Организационные мероприятия, Средства ОС СН++Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации.Средства виртуализации (Libvirt), Системные сервисы и компоненты (nice, renice, kill, nohup, ps)РКСЗ.1: п.3 "Дискреционное управление доступом", п.5 "Защита среды виртуализации"
РА.1: п.9 "Виртуализация среды исполнения", п.4.3.2 "Администрирование многопользовательской и многозадачной среды"
https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией)
11ЗСВ.7Контроль целостности виртуальной инфраструктуры и ее конфигураций

++Средства ОС СН++Контроль целостности виртуальной инфраструктуры и ее конфигураций реализуется средствами создания замкнутой программной среды (режим ЗПС доступен для режимов ОС СН "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")) , настройками подсистемы эмуляции аппаратного обеспечения и контролем целостности образов виртуальных машин.Контроль целостности (Afick), гипервизор KVM, подсистема Qemu, («read-only режим» с контролем целостности файлов образов ВМ)


Дополнительно: ЗПС
ОП: п.4.1.9 "Контроль целостности"
РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности"
https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией)
11ЗСВ.8Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры

++Организационно-технические мероприятия, Средства ОС СН++Резервное копирование реализуется с использованием встроенных в ОС СН средства резервного копирования, средств кластеризации и создания распределенных хранилищ информации.Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование)РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.16 "Резервное копирование и восстановление данных"
РКСЗ.1 п.10 "Надежное функционирование"
https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding))
11ЗСВ.9Реализация и управление антивирусной защитой в виртуальной инфраструктуре
+++САВЗ-----
11ЗСВ.10Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
+++Организационно-технические мероприятия, Средства ОС СН++Разбиение виртуальной инфраструктуры на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec). Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН.VLANhttps://wiki.astralinux.ru/x/8w0AB (VLAN)
14XIV. Выявление инцидентов и реагирование на них (ИНЦ)
14ИНЦ.1Определение лиц, ответственных за выявление инцидентов и реагирование на них

++Организационные мероприятия-----
14ИНЦ.2Обнаружение, идентификация и регистрация инцидентов

++Средства ОС СН, SIEM++Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM).Средства аудита (auditd, zabbix)РА.1: п.15 "Средства централизованного протоколирования и аудита"
РКСЗ.1: п.6 "Регистрация событий безопасности"
https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix)
https://wiki.astralinux.ru/x/-4JOAg (Zabbix)
Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog
14ИНЦ.3Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

++Организационные мероприятия-----
14ИНЦ.4Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий

++Организационные мероприятия-----
14ИНЦ.5Принятие мер по устранению последствий инцидентов

++Организационные мероприятия-----
14ИНЦ.6Планирование и принятие мер по предотвращению повторного возникновения инцидентов

++Организационные мероприятия-----
15XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)
15УКФ.1Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных
+++Организационные мероприятия-----
15УКФ.2Управление изменениями конфигурации информационной системы и системы защиты персональных данных
+++Средства ОС СН++Управление изменениями конфигурации, применение и контроль параметров настройки
компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями.
Управление изменениями осуществляется в соответствии с установленными правилами разграничения доступа, изменения учитываются при регистрации событий безопасности, связанных с этими изменениями.
Средства управления конфигурациями (Ansible/Puppet/Foreman),
Средства аудита (auditd, zabbix)
РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible",
п.15 "Средства централизованного протоколирования и аудита"
https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix)
https://wiki.astralinux.ru/x/-4JOAg (Zabbix)
15УКФ.3Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных
+++Организационные мероприятия-----
15УКФ.4Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных
+++Организационные мероприятия-----

...