Требования по защите информации | Классы АС | Средства реализации | Способ реализации меры защиты с использованием штатных средств Astra Linux | Компоненты Astra Linux |
Раздел | Подсистемы и функции | Требования | 1Д | 2Б | 3Б | 1Г | 1В | 1Б | 3А | 2А | 1А |
|
|
|
|
|
|
|
|
|
|
|
| ОВ |
|
|
|
|
|
|
|
|
|
|
| СС |
|
|
|
|
|
|
|
|
|
| С |
|
|
|
|
|
|
| ДСП |
|
|
|
|
|
| ПД |
|
|
|
1 | I. Подсистема управления доступом |
|
|
|
|
|
|
|
|
|
|
|
|
|
1 | 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: |
|
|
|
|
|
|
|
|
|
|
|
|
|
1 | - в систему | Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного/временного действия длиной не менее указанного количества буквенно-цифровых символов; | 6 | 6 | 6 | 6 | 6 | 8 | 6 | 6 |
| Средства Astra Linux | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Решение задачи идентификации и аутентификации локальных пользователей в Astra Linux основывается на использовании механизма PAM. Если Astra Linux не настроен для работы в ЕПП, то аутентификация осуществляется с помощью локальной БД пользователей. При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Концепция ЕПП подразумевает хранение системной информации о пользователе (включая доступные мандатные уровни и категории) централизованно в службе каталогов LDAP. Для управления пользователями, группами и настройками их атрибутов используется графическая утилита, соответствующие настройки обеспечивают требования к длине пароля. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Управление политикой безопасности fly-admin-smc (Пользователи, Политики учетной записи). Управление доменным пользователями (FreeIPA,ALD) |
Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов |
|
|
|
|
|
|
|
| 8 | Средства Astra Linux СДЗ, Токены | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.
Применение многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Средства поддержки двухфакторной аутентификации |
1 | - к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | Должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по физическим адресам (номерам); |
|
|
| + | + | + |
| + |
| Средства Astra Linux | Идентификация терминалов осуществляется по номеру терминала. Идентификация ЭВМ осуществляется средствами Astra Linux по МАС-адресу, по логическим именам, именам в домене. Идентификация узлов сети осуществляется по IP-адресу и МАС-адресу. Идентификация внешних устройств осуществляется по логическим именам, по комбинации имени (соответствующих файлов в /dev), логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, Управление политикой безопасности fly-admin-smc (Устройства и правила) и централизованно (FreeIPA, ALD), управление принтерами (cups) |
Должна осуществляться аппаратурная идентификация и проверка подлинности терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по уникальным встроенным устройствам; |
|
|
|
|
|
|
|
| + | Сторонние средства | - | - |
1 | - к программам, томам, каталогам, файлам, записям, полям записей | Должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам; |
|
|
| + | + | + |
| + |
| Средства Astra Linux | Идентификация программ, томов, каталогов, файлов, записей, полей записи по имени реализовано модулями ядра и встроенной системой безопасности Astra Linux и СУБД из состава Astra Linux и осуществляется по логическим именам томов, каталогов, файлов, записей, полей записей, именам программ и номерам pid. Идентификация всех объектов и устройств и применение результатов идентификации производится Astra Linux по умолчанию в том числе при реализации механизмов управления доступом, контроля целостности, резервного копирования и регистрации событий безопасности, связанных с этими объектами доступа. | Идентификация по логическим именам томов, каталогов, файлов, записей, полей записей, именам программ и номерам pid |
Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа; |
|
|
| + | + | + |
|
| + | Средства Astra Linux, ОРД | Контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа осуществляется средствами Astra Linux и СУБД из состава Astra Linux. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа запрашиваемого субъектом доступа и правил дискреционного разграничения доступа заданных для каждого объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. | Дискреционное разграничение доступа, Ролевое разграничение доступа (СУБД) |
Должна осуществляться идентификация и проверка подлинности программ, томов, каталогов, файлов, записей, полей записей по именам и контрольным суммам (паролям, ключам); |
|
|
|
|
|
|
|
| + | Средства Astra Linux, ОРД | Аутентификация запускаемых и исполняемых модулей реализуется с использованием механизма контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнения (режим ЗПС). Аутентификация объектов файловой системы, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа реализуется с использованием механизма контроля целостности файлов при их открытии на основе ЭП в расширенных атрибутах файловой системы (режим ЗПС). | Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС) |
1 | 1.2. Управление потоками информации | Должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации. |
|
|
|
| + | + |
| + | + | Средства Astra Linux | В Astra Linux реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Управление потоками осуществляется на основе меток конфиденциальности пользователей с применением мандатной политики Astra Linux и СУБД из состава Astra Linux. Управление потоками информации при доступе субъекта к объекту осуществляется на основе мандатного контекста безопасности субъекта и мандатной метки объекта. | Мандатное управление доступом, Мандатный контроль целостности |
2 | II. Подсистема регистрации и учета |
|
|
|
|
|
|
|
|
|
|
|
|
|
| 2.1 Регистрация и учет: |
|
|
|
|
|
|
|
|
|
|
|
|
|
2 | - входа (выхода) субъектов доступа в (из) систему (узел сети) | Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: | + | + | + | + | + | + | + | + | + | Средства Astra Linux | Регистрация входа (выхода) субъектов доступа в систему (из системы) осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux. В параметрах регистрации указываются: дата и время события, результат попытки входа, идентификатор пользователя, код при неуспешной попытке. В качестве кода подразумевается имя пользователя UID. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch)
| Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) |
дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; | + | + | + | + | + | + | + | + | + |
результат попытки входа: успешный или неуспешный - несанкционированный; | + | + |
| + | + | + | + | + | + |
идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа; | + |
|
| + | + | + | + | + | + |
код или пароль, предъявленный при неуспешной попытке |
|
|
| + | + | + |
|
| + | Средства Astra Linux | Регистрация дополнительных сообщений о неправильно введенном пароле при прохождении PAM-стека (логине) осуществляется с использованием пакета libpam-addlog | libpam-addlog |
2 | - выдачи печатных (графических) выходных документов | Должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются: - дата и время выдачи (обращения к подсистеме вывода); - спецификация устройства выдачи [логическое имя (номер) внешнего устройства]; - краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа; |
|
|
| + | + | + | + | + | + | Средства Astra Linux | Регистрация выдачи печатных (графических) документов на твёрдую копию осуществляется средствами Astra Linux с применением защищенного комплекса программ печати и маркировки документов, средств ведения журналов аудита (/var/log/cups) и записи журнала маркировки (/var/spool/cups/parsec). Управление заданиями на печать и маркировкой документов осуществляется с помощью графической утилиты управление печатью из состава Astra Linux. Маркировка отпечатанных листов документа осуществляется при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава Astra Linux. Просмотр регистрируемых событий осуществляется с использованием средств ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch).
| Защищенный комплекс программ печати и маркировки документов (cups), Средства аудита (auditd), Системный журнал (ksystemlog) |
|
|
|
- идентификатор субъекта доступа, запросившего документ; |
|
|
| + | + | + |
| + | + |
- объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи успешный (весь объем), неуспешный; |
|
|
|
| + | + |
|
| + |
- спецификация устройства выдачи [логическое имя (номер) внешнего устройства]; |
|
|
|
|
|
|
|
| + |
- краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа; |
|
|
|
|
|
|
|
| + |
Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). |
|
|
|
| + | + | + | + | + | Средства Astra Linux | Маркировка отпечатанных листов документа осуществляется при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава Astra Linux. Выдача печатных документов сопровождается автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц) при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава Astra Linux. Управление заданиями на печать и маркировкой документов осуществляется с помощью графической утилиты управления печатью из состава Astra Linux. Журнал и копии заданий маркировки записываются в каталог /var/spool/cups/parsec | Защищенный комплекс программ печати и маркировки документов (cups) |
Вместе с выдачей документа должна автоматически оформляться учетная карточка документа с указанием даты выдачи документа, учетных реквизитов документа, краткого содержания (наименования, вида, шифра, кода) и уровня конфиденциальности документа, фамилии лица, выдавшего документ, количества страниц и копий документа (при неполной выдаче документа - фактически выданного количества листов в графе «Брак»). |
|
|
|
|
| + |
|
| + | Средства Astra Linux | Автоматическое оформление учетной карточки документа при его выводе на печать осуществляется при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава Astra Linux. | Защищенный комплекс программ печати и маркировки документов (cups) |
2 | - запуска (завершения) программ и процессов (заданий, задач) | Должна осуществляться регистрация запуска (завершения) всех / предназначенных для обработки защищаемых файлов программ и процессов (заданий, задач) в АС. В параметрах регистрации указываются: |
|
|
| + | + | + | + | + | + | Средства Astra Linux | Регистрация запуска (завершения) всех / предназначенных для обработки защищаемых файлов программ и процессов (заданий, задач) в АС осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности. Настройка регистрации событий для пользователей (аудит процессов) осуществляется с помощью локальной и доменной политики безопасности (аудит события «exec»). Настройка аудита событий осуществляется утилитой setfaud, а также утилитой конфигурации аудита system-config-audit. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время запуска, наименование запускаемой программы (расширение), устройство (том, каталог), логин пользователя, статус запуска. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) |
дата и время запуска; |
|
|
| + | + | + |
| + | + |
имя (идентификатор) программы (процесса, задания); |
|
|
| + | + | + |
| + | + |
идентификатор субъекта доступа, запросившего программу (процесс, задание); |
|
|
| + | + | + |
| + | + |
результат запуска (успешный, неуспешный - несанкционированный); |
|
|
| + | + | + |
| + | + |
- полная спецификация соответствующего файла "образа" программы (процесса, задания) - устройство (том, каталог), имя файла (расширение); |
|
|
|
|
|
|
|
| + |
2 | - доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи | Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются: - дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная; - идентификатор субъекта доступа; - спецификация защищаемого файла;
|
|
|
| + | + | + |
| + | + | Средства Astra Linux | Регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Настройка аудита событий осуществляется утилитой setfaud, а также утилитой конфигурации аудита system-config-audit. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время запуска, наименование запускаемой программы, логин пользователя, статус запуска, вид запрашиваемой операции. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) |
- имя программы (процесса, задания, задачи), осуществляющей доступ к файлу; |
|
|
|
| + | + |
|
| + |
- вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.); |
|
|
|
| + | + |
|
| + |
2 | - доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются:
|
|
|
| + | + | + |
| + | + | Средства Astra Linux | Регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время попытки доступа, идентификатор субъекта доступа, спецификация защищаемого объекта, имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту, вид запрашиваемой операции. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) |
- дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная; |
|
|
| + | + | + |
| + | + |
- идентификатор субъекта доступа; |
|
|
| + | + | + |
| + | + |
- спецификация защищаемого объекта [логическое имя (номер)]; |
|
|
| + | + | + |
| + | + |
- имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту; |
|
|
|
| + | + |
|
| + |
- вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.); |
|
|
|
| + | + |
|
| + |
2 | - изменения полномочий субъектов доступа | Должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа. В параметрах регистрации указываются: - дата и время изменения полномочий; - идентификатор субъекта доступа (администратора), осуществившего изменения;
|
|
|
|
| + | + |
|
| + | Средства Astra Linux | Регистрация изменений полномочий субъектов доступа и статуса объектов доступа осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время изменения полномочий, идентификатор субъекта доступа (администратора), осуществившего изменения, идентификатор субъекта, у которого проведено изменение полномочий и вид изменения, спецификация объекта, у которого проведено изменение статуса зашиты и вид изменения. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) |
- идентификатор субъекта, у которого проведено изменение полномочий и вид изменения (пароль, код, профиль и т.п.); - спецификация объекта, у которого проведено изменение статуса защиты и вид изменения (код защиты, уровень конфиденциальности); |
|
|
|
|
| + |
|
| + | Средства Astra Linux |
2 | - создаваемых защищаемых объектов доступа | Должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта; |
|
|
|
| + | + |
| + | + | Средства Astra Linux | В Astra Linux реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). При создании субъектом любого из следующих объектов: механизмы многопроцессорного взаимодействия, стек TCP/IP (IPv4), ФС Ext2/Ext3/Ext4, сетевые ФС, CIFS, ФС, proc, tmpfs, - объект наследует метку на основе мандатного контекста безопасности процесса. С каждым субъектом и объектом связаны мандатный контекст безопасности и мандатная метка соответственно. | Мандатное управление доступом, МКЦ |
Должен осуществляться автоматический учет инициируемых защищаемых томов, каталогов, областей оперативной памяти ЭВМ, выделяемых для обработки защищаемых файлов, внешних устройств ЭВМ, каналов связи, ЭВМ, узлов сети ЭВМ, фрагментов сети с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта; |
|
|
|
|
| + |
|
| + |
2 | 2.2. Учет носителей информации | Должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал учетную карточку);
| + | + | + | + | + | + | + | + | + | Орг.Меры, Средства Astra Linux | В Astra Linux учет защищаемых носителей информации может осуществляться локально или централизованно с использованием средств разграничения доступа к подключаемым носителям | Средства разграничения доступа к подключаемым устройствам (udev, fstab) |
Учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема); | + |
|
| + | + | + |
| + | + |
Должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации; |
|
|
|
| + | + | + | + | + |
2 | 2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | Должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей: |
|
|
| + | + | + | + | + | + | Средства Astra Linux | Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей информации реализуется с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов в соответствии с установленными правилами разграничения доступа
Ядро Astra Linux гарантирует, что обычный непривилегированный процесс не получит данные чужого процесса, если это явно не разрешено ПРД. Средства межпроцессорного взаимодействия контролируются с помощью ПРД, и процесс не может получить неочищенную память (оперативную и дисковую). В Astra Linux реализован механизм, который очищает неиспользуемые блоки файловой системы непосредственно при их освобождении. Работа данного механизма снижает скорость выполнения операций удаления и усечения размера файла. Данные любых файлов в пределах заданной ФС предварительно очищаются предопределенной или псевдослучайной маскирующей последовательностью. | Механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов |
Очистка осуществляется однократной/двукратной произвольной записью в освобождаемую область памяти, использованную для хранения защищаемой информации; |
|
|
| 1х | 2х | 2х | 2х | 2х |
|
Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, в которой содержалась защищаемая информация. |
|
|
|
|
|
|
|
| 2х |
2 | 2.4. Сигнализация попыток нарушения защиты | Должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя. |
|
|
|
| + | + |
|
| + | Средства Astra Linux | Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. Zabbix предоставляет гибкий механизм сбора данных. Все отчеты и статистика Zabbix, а также параметры настройки компонентов Zabbix доступны через web-интерфейс. В web-интерфейсе реализован следующий функционал: - вывод отчетности и визуализация собранных данных; - создание правил и шаблонов мониторинга состояния сети и узлов; - определение допустимых границ значений заданных параметров; - настройка оповещений; - настройка автоматического реагирования на события безопасности. Механизм сигнализации администратору о попытке нарушения защиты реализован также в части предупреждения о нарушении замкнутой программной среды. | Средства аудита (zabbix), ЗПС |
3 | III. Криптографическая подсистема |
|
|
|
|
|
|
|
|
|
|
|
|
|
3 | 3.1. Шифрование конфиденциальной информации | Должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные портативные носители данных (дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должна выполняться принудительная очистка областей внешней памяти, содержавших ранее незашифрованную информацию; |
|
|
|
|
| + |
| + | + | - | - | - |
- должны использоваться разные криптографические ключи для шифрования информации, принадлежащей различным субъектам доступа (группам субъектов); |
|
|
|
|
|
|
|
| + | - | - | - |
3 | 3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | Доступ субъектов к операциям шифрования и к соответствующим криптографическим ключам должен дополнительно контролироваться посредством подсистемы управления доступом; |
|
|
|
|
| + |
| + | + | - | - | - |
3 | 3.3. Использование аттестованных (сертифицированных) криптографических средств | Должны использоваться сертифицированные средства криптографической защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации криптографических средств защиты. |
|
|
|
|
| + |
| + | + | - | - | - |
4 | IV. Подсистема обеспечения целостности |
|
|
|
|
|
|
|
|
|
|
|
|
|
4 | 4.1. Обеспечение целостности программных средств и обрабатываемой информации | Должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом: | + | + | + | + | + | + | + | + | + | Средства Astra Linux, СДЗ | Для решения задач контроля целостности предназначена библиотека libgost, в которой для вычисления контрольных сумм реализованы функции хэширования хеширования в соответствии с ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012 с длиной хэшхеш-кода 256 бит и ГОСТ Р 34.11-2012 с длиной хэшхеш-кода 512 бит. Названная библиотека используется в средствах подсчета контрольных сумм файлов и оптических дисков, контроля соответствия дистрибутиву и регламентного контроля целостности, модулях аутентификации и средствах контроля целостности ФС. Регламентный контроль целостности обеспечивается набором программных средств, который представляет возможность периодического (с использованием системного планировщика заданий cron) вычисления контрольных сумм файлов и соответствующих им атрибутов с последующим сравнением вычисленных значений с эталонными. В указанном наборе программных средств реализовано использование библиотеки libgost и контроль целостности связанных с файлами атрибутов расширенной подсистемы безопасности PARSEC (мандатных атрибутов и атрибутов расширенной подсистемы протоколирования). Целостность загрузчика и ядра Astra Linux обеспечивается средствами СДЗ.
| Регламентный контроль целостности (afick), проверка целостности системы (fly-admin-int-check), |
- целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ |
| + | + |
|
|
| + | + |
|
- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ; | + |
|
| + | + |
|
|
|
|
- целостность СЗИ НСД проверяется по контрольным суммам всех компонент СЗИ как в процессе загрузки, так и динамически в процессе работы АС; |
|
|
|
|
| + |
|
|
| Средства Astra Linux, СДЗ | Контроль целостности исполняемых файлов и библиотек формата ELF Astra Linux (в том числе СЗИ) и прикладного ПО осуществляется модулем ядра digsig_verif с использованием функции хэширования хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. | ЗПС, Регламентный контроль целостности (afick), проверка целостности системы (fly-admin-int-check) |
- целостность СЗИ НСД проверяется по имитовставкам алгоритма ГОСТ 28147-89 или по контрольным суммам другого аттестованного алгоритма всех компонент СЗИ как в процессе загрузки, так и динамически в процессе функционирования АС; |
|
|
|
|
|
|
|
| + | Средства Astra Linux, СДЗ | Контроль целостности исполняемых файлов и библиотек формата ELF Astra Linux (в том числе СЗИ) и прикладного ПО осуществляется модулем ядра digsig_verif с использованием функции хэширования хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. | ЗПС |
- целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации | + |
|
| + | + |
|
|
|
| Орг-тех.меры, Средства Astra Linux | Исключение из Astra Linux средств разработки и отладки программ осуществляется администратором с помощью инструментов управления пакетами и средствами ограничения программной среды. | Управление пакетами, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock) |
- обеспечивается отсутствием в АС средств разработки и отладки программ |
| + | + |
|
|
| + | + |
|
- целостность программной среды обеспечивается качеством приемки программных средств в АС, предназначенных для обработки защищенных файлов; |
|
|
|
|
| + |
|
| + |
4 | 4.2. Физическая охрана средств вычислительной техники и носителей информации | Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время | + | + | + | + |
|
|
|
|
| Орг-тех.меры | - | - |
Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС; |
|
|
|
| + | + | + | + | + | Орг-тех.меры | - | - |
4 | 4.3. Наличие администратора (службы) защиты информации в АС | Должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. |
|
|
|
| + | + |
| + | + | Орг-тех.меры, Средства Astra Linux | В Astra Linux существует возможность организовать единое пространство пользователей (ЕПП), которое представляет собой средства организации работы пользователя в сети АРМ, работающих под управлением Astra Linux. Организация ЕПП обеспечивает сквозную авторизацию в сети, централизацию хранения информации об окружении пользователей, централизацию хранения настроек системы защиты информации на сервере. Средства организации ЕПП включают в себя средства администрирования. Решение задачи оперативного контроля обеспечивается средствами централизованного сбора и анализа журналов протоколирования (журналов аудита) в Astra Linux. | Средства организации домена (ALD, FreeIPA), Средства аудита (zabbix) |
Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС; |
|
|
|
| + | + |
|
| + |
4 | 4.4 Периодическое тестирование СЗИ НСД | Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД; | + | + | + | + |
|
| + | + |
| Средства Astra Linux | В состав Astra Linux входят средства тестирования функций СЗИ от НСД, находящиеся в каталоге /usr/lib/parsec/tests. Данный набор обеспечивает тестирование всех функций СЗИ от НСД из состава Astra Linux, включая: управление доступом, регистрация событий, очистка памяти, изоляция модулей, идентификация и аутентификация. В состав Astra Linux входят средства тестирования функций СЗИ СУБД, обеспечивающие тестирование всех функций СЗИ СУБД, включая управление доступом, регистрацию событий, идентификацию и аутентификацию. | Тестирование СЗИ |
Должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год; |
|
|
|
| + | + |
|
| + |
4 | 4.5. Наличие средств восстановления СЗИ НСД | Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности | + | + | + | + | + | + | + | + | + | Орг-тех.меры, Средства Astra Linux | Средства организации ЕПП Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В Astra Linux существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить Astra Linux с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав Astra Linux входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), репликация в домене (FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) |
Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие оперативное восстановление функций СЗИ НСД при сбоях; |
|
|
|
|
| + |
|
|
| Средства Astra Linux | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) |
Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие автоматическое оперативное восстановление функций СЗИ НСД при сбоях; |
|
|
|
|
|
|
|
| + | Средства Astra Linux |
4 | 4.6. Использование сертифицированных средств защиты | Должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД. |
|
|
|
| + | + | + | + | + | Средства Astra Linux, Орг.Меры | Astra Linux является сертифицированной операционной системой в системе сертификации средств защиты информации ФСТЭК, МО, ФСБ. При использовании в автоматизированной системе дополнительных средств защиты - они также должны быть сертифицированы. | - |