Меры из приказов ФСТЭК России | Классы и категории объектов (ГИС с усилениями, ИСПДн, АСУ ТП, КИИ) | Режимы ОС СН | Средства реализации | Способ реализации меры защиты с использованием штатных средств ОС СН | Компоненты ОС СН | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации ОС СН | ||||||||
Раздел | Приказ | Код | Меры защиты и обеспечения безопасности | 4 | 3 | 2 | 1 | Базовый | Усиленный | Максимальный | ||||
0 | Приказ 17 | Меры защиты информации в информационных системах | Классы защищенности | |||||||||||
0 | Приказ 21 | Содержание мер по обеспечению безопасности персональных данных | Уровни защищенности ПДн | |||||||||||
0 | Приказ 31 | Меры защиты информации в автоматизированных системах управления | Классы защищенности АСУ | |||||||||||
0 | Приказ 239 | Меры обеспечения безопасности значимого объекта | Категория значимости | |||||||||||
1 | Приказ 17 | I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | ||||||||||||
Приказ 21 | I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||||||||||||
1 | Приказ 31 | I. Идентификация и аутентификация (ИАФ) | ||||||||||||
1 | Приказ 239 | I. Идентификация и аутентификация (ИАФ) | ||||||||||||
1 | Приказ 31 | ИАФ.0 | Разработка политики идентификации и аутентификации | + | + | + | - | - | - | Орг.Меры, ОРД | Базовый | Усиленный | - | |
1 | Приказ 239 | ИАФ.0 | Регламентация правил и процедур идентификации и аутентификации | + | + | + | - | - | - | Орг.Меры, ОРД | Правила и процедуры идентификации и аутентификации регламентируются ОРД. | - | - | |
1 | Приказ 17 | ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + | + | + 1а, 2а, 3 | + 1а, 2а, 3, 4 | + | + | + | Средства ОС СН + Орг. Меры + ОРД + СДЗ, токены | Идентификация и аутентификация пользователей осуществляется локально (по pam) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
1 | Приказ 21 | ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + | + | + | + | + | + | + | Средства ОС СН + Орг. Меры При необходимости: СДЗ, токены | Базовый | Усиленный | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
1 | Приказ 31 | ИАФ.1 | Идентификация и аутентификация пользователей и инициируемых ими процессов | + | + | + | + | + | + | Средства ОС СН + Орг. Меры При необходимости: СДЗ, токены | Идентификация и аутентификация пользователей и инициируемых ими процессов осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
1 | Приказ 239 | ИАФ.1 | Идентификация и аутентификация пользователей и инициируемых ими процессов | + | + | + | + | + | + | Средства ОС СН + Орг. Меры При необходимости: СДЗ, токены | Идентификация и аутентификация пользователей и инициируемых ими процессов осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
1 | Приказ 17 | ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | + | + | + | + | + | Средства ОС СН + ОРД | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация устройств реализуется средствами ОС СН с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, регистрация устройств локально (fly-admin-smc) и централизованно (FreeIPA, ALD), Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.12.4 Настройка принтера и управления печатью, п.17 "Средства разграничения доступа к подключаемым носителям" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | ||
1 | Приказ 21 | ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | + | + | + | + | + | Средства ОС СН + ОРД | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификация. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация устройств реализуется средствами ОС СН с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev, fstab), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, регистрации устройств локально (fly-admin-smc), и централизованно (FreeIPA, ALD) Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.12.4 Настройка принтера и управления печатью, п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | ||
1 | Приказ 31 | ИАФ.2 | Идентификация и аутентификация устройств | + | + | + | + | + | + | Средства ОС СН + ОРД | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификация. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация устройств реализуется средствами ОС СН с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev, fstab), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, регистрации устройств локально (fly-admin-smc), и централизованно (FreeIPA, ALD) Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.12.4 Настройка принтера и управления печатью, п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
1 | Приказ 239 | ИАФ.2 | Идентификация и аутентификация устройств | + | + | + | + | + | + | Средства ОС СН + ОРД | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификация. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация устройств реализуется средствами ОС СН с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev, fstab), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, регистрации устройств локально (fly-admin-smc), и централизованно (FreeIPA, ALD) Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.12.4 Настройка принтера и управления печатью, п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
1 | Приказ 17 | ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + | + 1а, 2а | + 1а, 2а | + 1б, 2б | + | + | + | Средства ОС СН + Орг.Меры + ОРД | Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD). Управление устройствами локально (fly-admin-smc) и в домене (FreeIPA,ALD) | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
1 | Приказ 21 | ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + | + | + | + | + | + | + | Средства ОС СН + Орг. Меры + ОРД | Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD). Управление устройствами локально (fly-admin-smc) и в домене (FreeIPA,ALD) | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
1 | Приказ 31 | ИАФ.3 | Управление идентификаторами | + | + | + | + | + | + | Средства ОС СН + Орг. Меры + ОРД | Управление идентификаторами пользователей осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD). Управление устройствами локально (fly-admin-smc) и в домене (FreeIPA,ALD) | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
1 | Приказ 239 | ИАФ.3 | Управление идентификаторами | + | + | + | + | + | + | Средства ОС СН + Орг. Меры + ОРД | Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD). Управление устройствами локально (fly-admin-smc) и в домене (FreeIPA,ALD) | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
1 | Приказ 17 | ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + 1а | + 1б | + 1в | + 1г | + | + | + | Средства ОС СН + Орг.Меры + ОРД При необходимости: СДЗ, токены | Управление средствами аутентификации осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012 При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) Дополнительно: средства поддержки двухфакторной аутентификации | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
1 | Приказ 21 | ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + | + | + | + | + | + | + | Средства ОС СН + Орг. Меры + ОРД При необходимости: СДЗ, токены | Управление средствами аутентификации осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012 При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) Дополнительно: средства поддержки двухфакторной аутентификации | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
1 | Приказ 31 | ИАФ.4 | Управление средствами аутентификации | + | + | + | + | + | + | Средства ОС СН + Орг. Меры При необходимости: СДЗ, токены | Управление средствами аутентификации осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012 При необходимости применения многофакторной аутентификации, управление токенами с использованием средств поддержки двухфакторной аутентификации. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) Дополнительно: средства поддержки двухфакторной аутентификации | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
1 | Приказ 239 | ИАФ.4 | Управление средствами аутентификации | + | + | + | + | + | + | Средства ОС СН + Орг. Меры При необходимости: СДЗ, токены | Управление средствами аутентификации осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012 При необходимости применения многофакторной аутентификации, управление токенами с использованием средств поддержки двухфакторной аутентификации. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) Дополнительно: средства поддержки двухфакторной аутентификации | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
1 | Приказ 17 | ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + | + | + | + | + | + | + | Средства ОС СН | Защита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсе средствами ОС СН по умолчанию. | Защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | РП:1: п.2.1 "Графический вход в систему" Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной̆ части системы fly-dm и поддержки графического интерфейса fly-qdm |
1 | Приказ 21 | ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + | + | + | + | + | + | + | Средства ОС СН | Защита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсе средствами ОС СН по умолчанию. | Защищенная графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | РП:1: п.2.1 "Графический вход в систему" Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной̆ части системы fly-dm и поддержки графического интерфейса fly-qdm |
1 | Приказ 31 | ИАФ.5 | Идентификация и аутентификация внешних пользователей | + | + | + | + | + | + | Средства ОС СН + Орг. Меры При необходимости: СДЗ, токены | Идентификация и аутентификация внешних пользователей осуществляется локально или централизованно с помощью организации единого пространства пользователей. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
1 | Приказ 239 | ИАФ.5 | Идентификация и аутентификация внешних пользователей | + | + | + | + | + | + | Средства ОС СН + Орг. Меры При необходимости: СДЗ, токены | Идентификация и аутентификация внешних пользователей осуществляется локально или централизованно с помощью организации единого пространства пользователей. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
1 | Приказ 17 | ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + | + | + | + | + | + | + | Средства ОС СН + Орг. Меры + ОРД При необходимости: СДЗ, токены | Идентификация и аутентификация внешних пользователей осуществляется локально или централизованно с помощью организации единого пространства пользователей. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
1 | Приказ 21 | ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + | + | + | + | + | + | + | Средства ОС СН + Орг. Меры + ОРД При необходимости: СДЗ, токены | Идентификация и аутентификация внешних пользователей осуществляется локально или централизованно с помощью организации единого пространства пользователей. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
1 | Приказ 31 | ИАФ.6 | Двусторонняя аутентификация | + | + | + | Средства ОС СН При необходимости СКЗИ | Двусторонняя аутентификация осуществляется с использованием сетевого протокола сквозной доверенной аутентификации в ЕПП. | Сквозная аутентификация (ЕПП) Дополнительно: СКЗИ | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.6.10 "Средство создания защищенных каналов", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", РКСЗ.1: п.1.3 "Средства организации ЕПП", п.2 "Идентификация и аутентификация", п.4.8 "Сетевое взаимодействие" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | ||||
1 | Приказ 239 | ИАФ.6 | Двусторонняя аутентификация | + | + | + | Средства ОС СН При необходимости СКЗИ | Двусторонняя аутентификация осуществляется с использованием сетевого протокола сквозной доверенной аутентификации в ЕПП. | Сквозная аутентификация (ЕПП) Дополнительно: СКЗИ | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.6.10 "Средство создания защищенных каналов", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", РКСЗ.1: п.1.3 "Средства организации ЕПП", п.2 "Идентификация и аутентификация", п.4.8 "Сетевое взаимодействие" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | ||||
1 | Приказ 17 | ИАФ.7 | Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа | - | + | + | Средства ОС СН | Идентификация всех объектов и устройств и применение результатов идентификации производится ОС СН по умолчанию в том числе при реализации механизмов управления доступом, контроля целостности, резервного копирования и регистрации событий безопасности, связанных с этими объектами доступа. Аутентификация запускаемых и исполняемых модулей реализуется с использованием механизма контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнения (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . Аутентификация объектов файловой системы, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа реализуется с использованием механизма контроля целостности файлов при их открытии на основе ЭП в расширенных атрибутах файловой системы (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . | Контроль исполняемых файлов (ЗПС) Контроль расширенных атрибутов (ЗПС) | ОП: п.4.1.9 "Контроль целостности", п.4.1.10.1 "Замкнутая программная среда", п.4.1.10.2 "Системные ограничения и блокировки" РКСЗ.1: п.2 "Идентификация и аутентификация", п.16.1 "Замкнутая программная среда" | ||||
1 | Приказ 31 | ИАФ.7 | Защита аутентификационной информации при передаче | + | + | + | + | + | + | Средства ОС СН При необходимости СКЗИ | Защита аутентификационной информации при передаче осуществляется с использованием сетевого протокола сквозной доверенной аутентификации, а также с использованием отечественных алгоритмов по ГОСТ 28147-89 и ГОСТ Р 34.11-2012, средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети или сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN). | OpenVPN, СКЗИ, Средства организации ЕПП | ОП: п.4.1.3 "Организация ЕПП" РА.1: п.6.10 "Средство создания защищенных каналов", п.8 "Средства организации ЕПП" РКСЗ.1: п.1.3 "Средства организации ЕПП" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | |
1 | Приказ 239 | ИАФ.7 | Защита аутентификационной информации при передаче | + | + | + | + | + | + | Средства ОС СН При необходимости СКЗИ | Защита аутентификационной информации при передаче осуществляется с использованием сетевого протокола сквозной доверенной аутентификации, а также с использованием отечественных алгоритмов по ГОСТ 28147-89 и ГОСТ Р 34.11-2012, средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети или сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN). | OpenVPN, СКЗИ, Средства организации ЕПП | ОП: п.4.1.3 "Организация ЕПП" РА.1: п.6.10 "Средство создания защищенных каналов", п.8 "Средства организации ЕПП" РКСЗ.1: п.1.3 "Средства организации ЕПП" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | |
2 | Приказ 17 | II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||||||||||||
2 | Приказ 21 | II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||||||||||||
2 | Приказ 31 | II. Управление доступом (УПД) | ||||||||||||
2 | Приказ 239 | II. Управление доступом (УПД) | ||||||||||||
2 | Приказ 31 | УПД.0 | Разработка политики управления доступом | + | + | + | - | - | - | Орг.Меры, ОРД | Политика управления доступом разрабатывается администратором и регламентируется в ОРД. | - | - | |
2 | Приказ 239 | УПД.0 | Регламентация правил и процедур управления доступом | + | + | + | - | - | - | Орг.Меры, ОРД | Правила и процедуры управления доступом регламентируются ОРД. | - | - | |
2 | Приказ 17 | УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + | + 1,2 | + 1, 2, 3а | + 1, 2, 3б | + | + | + | Средства ОС СН + ОРД | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. | Управление локальными пользователями (fly-admin-smc), Управление доменным пользователями (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/R4AS (ALD) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
2 | Приказ 21 | УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. | Управление локальными пользователями (fly-admin-smc), Управление доменным пользователями (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/R4AS (ALD) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
2 | Приказ 31 | УПД.1 | Управление учетными записями пользователей | + | + | + | + | + | + | Средства ОС СН + Орг. Меры | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/R4AS (ALD) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
2 | Приказ 239 | УПД.1 | Управление учетными записями пользователей | + | + | + | + | + | + | Средства ОС СН + Орг. Меры | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/R4AS (ALD) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
2 | Приказ 17 | УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + | + 1, 2, 3 | + 1, 2, 3 | + 1, 2, 3, 4 | + | + | + | Средства ОС СН + ОРД | Монитор обращений из состава ОС СН предусматривает дискреционное, мандатное (мандатное управление доступом доступно только для режима "Смоленск") и ролевое управление доступом, а также реализацию мандатного контроля целостности (режим МКЦ доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. Разделение полномочий (ролей) пользователей, назначение минимально необходимых прав и привилегий осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией. | Дискреционное управление доступом, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA) Дополнительно: мандатное управление доступом, МКЦ, управление доступом в БД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД" |
2 | Приказ 21 | УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Монитор обращений из состава ОС СН предусматривает дискреционное, мандатное (мандатное управление доступом доступно только для режима "Смоленск") и ролевое управление доступом, а также реализацию мандатного контроля целостности (режим МКЦ доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. Разделение полномочий (ролей) пользователей, назначение минимально необходимых прав и привилегий осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией. | Дискреционное управление доступом, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA) Дополнительно: мандатное управление доступом, МКЦ, управление доступом в БД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД" |
2 | Приказ 31 | УПД.2 | Реализация политик управления доступа | + | + | + | + | + | + | Средства ОС СН + Орг. Меры | Монитор обращений из состава ОС СН предусматривает дискреционное, мандатное (мандатное управление доступом доступно только для режима "Смоленск") и ролевое управление доступом, а также реализацию мандатного контроля целостности (режим МКЦ доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. Разделение полномочий (ролей) пользователей, назначение минимально необходимых прав и привилегий осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией. | Дискреционное управление доступом, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA) Дополнительно: мандатное управление доступом, МКЦ, управление доступом в БД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД" | |
2 | Приказ 239 | УПД.2 | Реализация модели управления доступом | + | + | + | + | + | + | Средства ОС СН + Орг. Меры | Монитор обращений из состава ОС СН предусматривает дискреционное, мандатное (мандатное управление доступом доступно только для режима "Смоленск") и ролевое управление доступом, а также реализацию мандатного контроля целостности (режим МКЦ доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. Разделение полномочий (ролей) пользователей, назначение минимально необходимых прав и привилегий осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией. | Дискреционное управление доступом, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA) Дополнительно: мандатное управление доступом, МКЦ, управление доступом в БД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД" | |
2 | Приказ 17 | УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + | + | + | + | + | Сертифицированные МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | Управление информационными потоками в информационной системе (фильтрация, маршрутизация, контроль соединений) обеспечивается: - на уровне узла средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для режима "Смоленск"). - на уровне сетевого и межсетевого разграничения доступа - внешними средствами межсетевого экранирования, средствами однонаправленной передачи информации. | Средства межсетевого экранирования (astra-ufw-control) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие" | ||
2 | Приказ 21 | УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + | + | + | + | + | + | + | Сертифицированные МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | Управление информационными потоками в информационной системе (фильтрация, маршрутизация, контроль соединений) обеспечивается: - на уровне узла средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для режима "Смоленск"); - на уровне сетевого и межсетевого разграничения доступа - внешними средствами межсетевого экранирования, средствами однонаправленной передачи информации. | Средства межсетевого экранирования (astra-ufw-control) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие" |
2 | Приказ 31 | УПД.3 | Доверенная загрузка | + | + | - | - | - | СДЗ, дополнительно: Средства ОС СН | Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками ОС СН. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control) | РКСЗ.1:п.16.4 "Функции безопасности системы" | ||
2 | Приказ 239 | УПД.3 | Доверенная загрузка | + | + | - | - | - | СДЗ, дополнительно: Средства ОС СН | Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками ОС СН. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control) | РКСЗ.1:п.16.4 "Функции безопасности системы" | ||
2 | Приказ 17 | УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + | + | + 1 | + | + | + | ОРД + Средства ОС СН | Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
2 | Приказ 21 | УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + | + | + | + | + | + | + | ОРД + Средства ОС СН | Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
2 | Приказ 31 | УПД.4 | Разделение полномочий (ролей) пользователей | + | + | + | + | + | + | ОРД + Средства ОС СН | Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
2 | Приказ 239 | УПД.4 | Разделение полномочий (ролей) пользователей | + | + | + | + | + | + | ОРД + Средства ОС СН | Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
2 | Приказ 17 | УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + | + | + 1 | + | + | + | Средства ОС СН + ОРД | Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
2 | Приказ 21 | УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
2 | Приказ 31 | УПД.5 | Назначение минимально необходимых прав и привилегий | + | + | + | + | + | + | Средства ОС СН + ОРД | Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
2 | Приказ 239 | УПД.5 | Назначение минимально необходимых прав и привилегий | + | + | + | + | + | + | Средства ОС СН + ОРД | Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
2 | Приказ 17 | УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + | + | + | + 1 | + | + | + | Средства ОС СН + ОРД | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
2 | Приказ 21 | УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
2 | Приказ 31 | УПД.6 | Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему | + | + | + | + | + | + | Средства ОС СН + ОРД | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
2 | Приказ 239 | УПД.6 | Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему | + | + | + | + | + | + | Средства ОС СН + ОРД | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
2 | Приказ 17 | УПД.7 | Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации | - | - | - | Сторонними программными средствами | - | - | - | ||||
2 | Приказ 21 | УПД.7 | Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных | - | - | - | Сторонними программными средствами | - | - | - | ||||
2 | Приказ 31 | УПД.7 | Предупреждение пользователя при его доступе к информационным ресурсам | - | - | - | Сторонними программными средствами | - | - | - | ||||
2 | Приказ 239 | УПД.7 | Предупреждение пользователя при его доступе к информационным ресурсам | - | - | - | Сторонними программными средствами | - | - | - | ||||
2 | Приказ 17 | УПД.8 | Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему | + | + | + | Средства ОС СН | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | Средства управление рабочим столом Fly (fly-notify-prevlogin) | РА.1: п.11.6 "Рабочий стол Fly" см. Вывод уведомления о предыдущем входе в систему https://wiki.astralinux.ru/x/eoxsAw (fly-notify-prevlogin) | ||||
2 | Приказ 21 | УПД.8 | Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему | + | + | + | Средства ОС СН | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | Средства управление рабочим столом Fly (fly-notify-prevlogin) | РА.1: п.11.6 "Рабочий стол Fly" см. Вывод уведомления о предыдущем входе в систему https://wiki.astralinux.ru/x/eoxsAw (fly-notify-prevlogin) | ||||
2 | Приказ 31 | УПД.8 | Оповещение пользователя при успешном входе предыдущем доступе к информационной (автоматизированной) системе | + | + | + | + | Средства ОС СН | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | fly-notify-prevlogin | РА.1: п.11.6 "Рабочий стол Fly" см. Вывод уведомления о предыдущем входе в систему https://wiki.astralinux.ru/x/eoxsAw (fly-notify-prevlogin) | |||
2 | Приказ 239 | УПД.8 | Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе | + | + | + | Средства ОС СН | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | fly-notify-prevlogin | РА.1: п.11.6 "Рабочий стол Fly" см. Вывод уведомления о предыдущем входе в систему https://wiki.astralinux.ru/x/eoxsAw (fly-notify-prevlogin) | ||||
2 | Приказ 17 | УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы | + 1а, 3 | + | + | + | Средства ОС СН + ОРД | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга. | Системные ограничения ulimits (fly-admin-smc), средства аудита (auditd, zabbix) | РКСЗ.1: п.16.4.3. "Установка квот на использование системных ресурсов" РА.1: п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog | |||
2 | Приказ 21 | УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы | + | + | + | Средства ОС СН + ОРД | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга | Системные ограничения ulimits (fly-admin-smc), средства аудита (auditd, zabbix) | РКСЗ.1: п.16.4.3. "Установка квот на использование системных ресурсов" РА.1: п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog | ||||
2 | Приказ 31 | УПД.9 | Ограничение числа параллельных сеансов доступа | + | + | + | + | Средства ОС СН + ОРД | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга. | Системные ограничения ulimits (fly-admin-smc), средства аудита (auditd, zabbix) | РКСЗ.1: п.16.4.3. "Установка квот на использование системных ресурсов" РА.1: п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog | |||
2 | Приказ 239 | УПД.9 | Ограничение числа параллельных сеансов доступа | + | + | + | + | Средства ОС СН + ОРД | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга. | Системные ограничения ulimits (fly-admin-smc), средства аудита (auditd, zabbix) | РКСЗ.1: п.16.4.3. "Установка квот на использование системных ресурсов" РА.1: п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog | |||
2 | Приказ 17 | УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | + | + 1а, 2 | + 1б, 2 | + | + | + | Средства ОС СН + ОРД | Блокирование сеанса доступа пользователя по истечении заданного администратором времени бездействия осуществляется автоматически или по запросу. | Средства управление рабочим столом Fly (fly-admin-theme) | РА.1: п.11.6 "Рабочий стол Fly" РКСЗ.1: п.17.2 "Указания по эксплуатации ОС" Справка ОС СН по утилите настройки элементов рабочего стола fly-admin-theme | |
2 | Приказ 21 | УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | + | + | + | + | + | + | Средства ОС СН + ОРД | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу. | Средства управление рабочим столом Fly (fly-admin-theme) | РА.1: п.11.6 "Рабочий стол Fly" РКСЗ.1: п.17.2 "Указания по эксплуатации ОС" Справка ОС СН по утилите настройки элементов рабочего стола fly-admin-theme | |
2 | Приказ 31 | УПД.10 | Блокирование сеанса доступа пользователя при неактивности | + | + | + | + | + | + | Средства ОС СН + ОРД | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу. | Средства управление рабочим столом Fly (fly-admin-theme) | РА.1: п.11.6 "Рабочий стол Fly" РКСЗ.1: п.17.2 "Указания по эксплуатации ОС" Справка ОС СН по утилите настройки элементов рабочего стола fly-admin-theme | |
2 | Приказ 239 | УПД.10 | Блокирование сеанса доступа пользователя при неактивности | + | + | + | + | + | + | Средства ОС СН + ОРД | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу. | Средства управление рабочим столом Fly (fly-admin-theme) | РА.1: п.11.6 "Рабочий стол Fly" РКСЗ.1: п.17.2 "Указания по эксплуатации ОС" Справка ОС СН по утилите настройки элементов рабочего стола fly-admin-theme | |
2 | Приказ 17 | УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + | + | + | + | + | + | + | Средства ОС СН + ОРД, СДЗ | По умолчанию пользователям запрещены любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему и параметров системного загрузчика Grub. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | ОП: п.4.1.2 "Идентификация и аутентификация" РП:1: п.2.1 "Графический вход в систему" РКСЗ.1: п.4.16 "Настройка загрузчика GRUB 2" п.16.4.10 "Управление автоматическим входом", п.16.4.12 "Управление загрузкой ядра hardened" п.16.4.18 "Отключение отображения меню загрузчика" Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2 https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) |
2 | Приказ 21 | УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + | + | + | + | + | + | Средства ОС СН + ОРД При необходимости: СДЗ | По умолчанию пользователям запрещены любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему и параметров системного загрузчика Grub. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | ОП: п.4.1.2 "Идентификация и аутентификация" РП:1: п.2.1 "Графический вход в систему" РКСЗ.1: п.4.16 "Настройка загрузчика GRUB 2" п.16.4.10 "Управление автоматическим входом", п.16.4.12 "Управление загрузкой ядра hardened" п.16.4.18 "Отключение отображения меню загрузчика" Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной̆ части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2 https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) | |
2 | Приказ 31 | УПД.11 | Управление действиями пользователей до идентификации и аутентификации | + | + | + | + | + | + | Средства ОС СН + ОРД При необходимости: СДЗ | По умолчанию пользователям запрещены любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему и параметров системного загрузчика Grub. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | ОП: п.4.1.2 "Идентификация и аутентификация" РП:1: п.2.1 "Графический вход в систему" РКСЗ.1: п.4.16 "Настройка загрузчика GRUB 2" п.16.4.10 "Управление автоматическим входом", п.16.4.12 "Управление загрузкой ядра hardened" п.16.4.18 "Отключение отображения меню загрузчика" Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной̆ части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2 https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) | |
2 | Приказ 239 | УПД.11 | Управление действиями пользователей до идентификации и аутентификации | + | + | + | + | + | + | Средства ОС СН + ОРД При необходимости: СДЗ | По умолчанию пользователям запрещены любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему и параметров системного загрузчика Grub. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | ОП: п.4.1.2 "Идентификация и аутентификация" РП:1: п.2.1 "Графический вход в систему" РКСЗ.1: п.4.16 "Настройка загрузчика GRUB 2" п.16.4.10 "Управление автоматическим входом", п.16.4.12 "Управление загрузкой ядра hardened" п.16.4.18 "Отключение отображения меню загрузчика" Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2 https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) | |
2 | Приказ 17 | УПД.12 | Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки | - | - | + | Средства ОС СН + ОРД | В ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). | Мандатное управление доступом | РКСЗ.1: п.4.2 "Мандатное управление доступом" | ||||
2 | Приказ 21 | УПД.12 | Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки | - | - | + | Средства ОС СН + ОРД | В ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). | Мандатное управление доступом | РКСЗ.1: п.4.2 "Мандатное управление доступом" | ||||
2 | Приказ 31 | УПД.12 | Управление атрибутами безопасности | - | - | + | Средства ОС СН + ОРД | В ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Управление атрибутами безопасности осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией. | Мандатное управление доступом, Дискреционное управление доступом | РКСЗ.1: п.4.2 "Мандатное управление доступом" | ||||
2 | Приказ 239 | УПД.12 | Управление атрибутами безопасности | - | - | + | Средства ОС СН + ОРД | В ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Управление атрибутами безопасности осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией. | Мандатное управление доступом | РКСЗ.1: п.4.2 "Мандатное управление доступом" | ||||
2 | Приказ 17 | УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + | + 2, 3 | + 2, 3, 5 | + 1, 2, 3, 5 | + | + | + | VPN-решения/ Средства ОС СН + ОРД | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ (VPN-решения) | РА.1: п.6.10 "Средство создания защищенных каналов" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
2 | Приказ 21 | УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + | + | + | + | + | + | + | VPN-решения/ Средства ОС СН + ОРД | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ (VPN-решения) | РА.1: п.6.10 "Средство создания защищенных каналов" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
2 | Приказ 31 | УПД.13 | Реализация защищенного удаленного доступа | + | + | + | + | + | + | VPN-решения/ Средства ОС СН + ОРД | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ (VPN-решения) | РА.1: п.6.10 "Средство создания защищенных каналов" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | |
2 | Приказ 239 | УПД.13 | Реализация защищенного удаленного доступа | + | + | + | + | + | + | VPN-решения/ Средства ОС СН + ОРД | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ (VPN-решения) | РА.1: п.6.10 "Средство создания защищенных каналов" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | |
2 | Приказ 17 | УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + | + 1 | + 1, 3 | + 1, 3, 4, 5 | + | + | + | Орг-Тех.Меры + ОРД + Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступа и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе с утилитами управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
2 | Приказ 21 | УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + | + | + | + | + | + | + | Орг-Тех.Меры + ОРД + Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступа и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе с утилитами управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
2 | Приказ 31 | УПД.14 | Контроль доступа из внешних информационных (автоматизированных) систем | + | + | + | + | + | + | Орг-Тех.Меры + Сертифицированные МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | Контроль доступа из внешних информационных (автоматизированных) систем осуществляется: - на уровне узла средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами, совместно с монитором обращений из состава ОС СН, средствами построения домена; - на уровне сетевого и межсетевого разграничения доступа - внешними средствами межсетевого экранирования, средствами однонаправленной передачи информации. | Дискреционное управление доступом, ЕПП, Средства межсетевого экранирования (astra-ufw-control) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.11 "Фильтрация сетевого потока" РА.1: п.8 "Средства организации ЕПП" | |
2 | Приказ 239 | УПД.14 | Контроль доступа из внешних информационных (автоматизированных) систем | + | + | + | + | + | + | Орг-Тех.Меры + Сертифицированные МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | Контроль доступа из внешних информационных (автоматизированных) систем осуществляется: - на уровне узла средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами, совместно с монитором обращений из состава ОС СН; - на уровне сетевого и межсетевого разграничения доступа - внешними средствами межсетевого экранирования, средствами однонаправленной передачи информации. | Дискреционное управление доступом, ЕПП, Средства межсетевого экранирования (astra-ufw-control) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.11 "Фильтрация сетевого потока" РА.1: п.8 "Средства организации ЕПП" | |
2 | Приказ 17 | УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + | + | + 1, 2 | + 1, 2 | + | + | + | Орг-Тех.Меры + ОРД + Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей̆ информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
2 | Приказ 21 | УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + | + | + | + | + | + | + | Орг-Тех.Меры + ОРД + Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной̆ техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей̆ информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc |
2 | Приказ 17 | УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + 1а | + 1а, 1б | + 1а, 1б | + 1а, 1б | - | - | - | Орг-Тех.Меры | - | - | - |
2 | Приказ 21 | УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + | + | + | + | - | - | - | Орг-Тех.Меры | - | - | - |
2 | Приказ 17 | УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | + 1 | + 2 | - | - | - | СДЗ, дополнительно: Средства ОС СН | Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками ОС СН. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control) | РКСЗ.1:п.16.4 "Функции безопасности системы" | ||
2 | Приказ 21 | УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | + | + | - | - | - | СДЗ, дополнительно: Средства ОС СН | Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками ОС СН. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control) | РКСЗ.1:п.16.4 "Функции безопасности системы" | ||
3 | Приказ 17 | III. Ограничение программной среды (ОПС) | ||||||||||||
3 | Приказ 21 | III. Ограничение программной среды (ОПС) | ||||||||||||
3 | Приказ 31 | III. Ограничение программной среды (ОПС) | ||||||||||||
3 | Приказ 239 | III. Ограничение программной среды (ОПС) | ||||||||||||
3 | Приказ 31 | ОПС.0 | Разработка политики ограничения программной среды | + | + | - | - | - | Орг.Меры, ОРД | Политика ограничения программной среды разрабатывается администратором и регламентируется в ОРД. | - | - | ||
3 | Приказ 239 | ОПС.0 | Регламентация правил и процедур ограничения программной среды | + | + | - | - | - | Орг.Меры, ОРД | Политика ограничения программной среды разрабатывается администратором и регламентируется в ОРД. | - | - | ||
3 | Приказ 17 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения | + 1, 2, 3 | - | + | + | Средства ОС СН + ОРД, СДЗ | Управление запуском (обращениями) в информационной системе разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), системным и графическим киоском, а также средствами системных блокировок, настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управление запуском сервисов, системных служб, приложениями, планированием запуска задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock, astra-sysrq-lock, astra-ptrace-lock, astra-lkrg-control, astra-modban-lock, astra-noautonet-control, astra-nobootmenu-control, astra-commands-lock, astra-nochmodx-lock, astra-noautonet-control), grub (fly-admin-grub2) управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планированием запуска задач (fly-admin-cron) | РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.4 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy) Справка ОС СН по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron | |||
3 | Приказ 21 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения | - | + | + | Средства ОС СН + ОРД, СДЗ | Управление запуском (обращениями) в информационной системе разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), системным и графическим киоском, а также средствами системных блокировок, настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управление запуском сервисов, системных служб, приложениями, планированием запуска задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock, astra-sysrq-lock, astra-ptrace-lock, astra-lkrg-control, astra-modban-lock, astra-noautonet-control, astra-nobootmenu-control, astra-commands-lock, astra-nochmodx-lock, astra-noautonet-control), grub (fly-admin-grub2) управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планированием запуска задач (fly-admin-cron) | РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.4 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy) Справка ОС СН по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron | ||||
3 | Приказ 31 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения | + | - | + | + | Средства ОС СН + ОРД, СДЗ | Управление запуском (обращениями) в информационной системе разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), системным и графическим киоском, а также средствами системных блокировок, настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управление запуском сервисов, системных служб, приложениями, планированием запуска задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock, astra-sysrq-lock, astra-ptrace-lock, astra-lkrg-control, astra-modban-lock, astra-noautonet-control, astra-nobootmenu-control, astra-commands-lock, astra-nochmodx-lock, astra-noautonet-control), grub (fly-admin-grub2) управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планированием запуска задач (fly-admin-cron) | РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.4 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy) Справка ОС СН по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron | |||
3 | Приказ 239 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения | + | - | + | + | Средства ОС СН + ОРД, СДЗ | Управление запуском (обращениями) в информационной системе разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), системным и графическим киоском, а также средствами системных блокировок, настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управление запуском сервисов, системных служб, приложениями, планированием запуска задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock, astra-sysrq-lock, astra-ptrace-lock, astra-lkrg-control, astra-modban-lock, astra-noautonet-control, astra-nobootmenu-control, astra-commands-lock, astra-nochmodx-lock, astra-noautonet-control), grub (fly-admin-grub2) управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планированием запуска задач (fly-admin-cron) | РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.4 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy) Справка ОС СН по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron | |||
3 | Приказ 17 | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | + | + 1 | + | + | + | Средства ОС СН + ОРД | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки в информационную систему разрешенного программного обеспечения может быть реализован с использованием средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы c использованием программных средств управления конфигурациями. | Управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев») https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | ||
3 | Приказ 21 | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | + | + | + | + | + | Средства ОС СН + ОРД | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки в информационную систему разрешенного программного обеспечения может быть реализован с использованием средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы c использованием программных средств управления конфигурациями. | Управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев»)https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | ||
3 | Приказ 31 | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения | + | + | + | + | + | Средства ОС СН + ОРД | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки в информационную систему разрешенного программного обеспечения может быть реализован с использованием средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы c использованием программных средств управления конфигурациями. | Управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Редактор репозиториев) https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | ||
3 | Приказ 239 | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения | + | + | + | + | + | Средства ОС СН + ОРД | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки в информационную систему разрешенного программного обеспечения может быть реализован с использованием средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы c использованием программных средств управления конфигурациями. | Управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Редактор репозиториев) https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | ||
3 | Приказ 17 | ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | + | + | + | + | + | + | + | Средства ОС СН + ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. | Управление программными пакетами (synaptik), проверка целостности системы (fly-admin-int-check) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев» fly-admin-repo) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check |
3 | Приказ 21 | ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | + | + | + | + | Средства ОС СН + ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. | Управление программными пакетами (synaptik), проверка целостности системы (fly-admin-int-check) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев» fly-admin-repo) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |||
3 | Приказ 31 | ОПС.3 | Управление временными файлами | - | + | + | Средства ОС СН + ОРД | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (доступен для режимов ОС СН "Воронеж" и "Смоленск") и встроенного в ядро ОС СН механизма изоляции процессов. | Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки" | ||||
3 | Приказ 239 | ОПС.3 | Управление временными файлами | - | + | + | Средства ОС СН + ОРД | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (доступен для режимов ОС СН "Воронеж" и "Смоленск") и встроенного в ядро ОС СН механизма изоляции процессов. | Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки" | ||||
3 | Приказ 17 | ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | - | + | + | Средства ОС СН + ОРД | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (доступен для режимов ОС СН "Воронеж" и "Смоленск") и встроенного в ядро ОС СН механизма изоляции процессов. | Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки" | ||||
3 | Приказ 21 | ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | - | + | + | Средства ОС СН + ОРД | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (доступен для режимов ОС СН "Воронеж" и "Смоленск") и встроенного в ядро ОС СН механизма изоляции процессов. | Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки" | ||||
4 | Приказ 17 | IV. Защита машинных носителей информации (ЗНИ) | ||||||||||||
4 | Приказ 21 | IV. Защита машинных носителей персональных данных (ЗНИ) | ||||||||||||
4 | Приказ 31 | IV. Защита машинных носителей информации (ЗНИ) | ||||||||||||
4 | Приказ 239 | IV. Защита машинных носителей информации (ЗНИ) | ||||||||||||
4 | Приказ 31 | ЗНИ.0 | Разработка политики защиты машинных носителей информации | + | + | + | - | - | - | Орг.Меры, ОРД | Политика защиты машинных носителей информации разрабатывается администратором и регламентируется в ОРД. | - | - | |
4 | Приказ 239 | ЗНИ.0 | Регламентация правил и процедур защиты машинных носителей информации | + | + | + | - | - | - | Орг.Меры, ОРД | Политика защиты машинных носителей информации разрабатывается администратором и регламентируется в ОРД. | - | - | |
4 | Приказ 17 | ЗНИ.1 | Учет машинных носителей информации | + | + | + 1а | + 1а, 1б | - | - | - | Орг.Меры, ОРД | - | - | - |
4 | Приказ 21 | ЗНИ.1 | Учет машинных носителей персональных данных | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | ||
4 | Приказ 31 | ЗНИ.1 | Учет машинных носителей информации | + | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | |
4 | Приказ 239 | ЗНИ.1 | Учет машинных носителей информации | + | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | |
4 | Приказ 17 | ЗНИ.2 | Управление доступом к машинным носителям информации | + | + | + | + | - | - | - | Орг.Меры, ОРД | - | - | - |
4 | Приказ 21 | ЗНИ.2 | Управление доступом к машинным носителям персональных данных | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | ||
4 | Приказ 31 | ЗНИ.2 | Управление физическим доступом к машинным носителям информации | + | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | |
4 | Приказ 239 | ЗНИ.2 | Управление физическим доступом к машинным носителям информации | + | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | |
4 | Приказ 17 | ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | - | - | - | Орг.Меры, ОРД | - | - | - | ||||
4 | Приказ 21 | ЗНИ.3 | Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны | - | - | - | Орг.Меры, ОРД | - | - | - | ||||
4 | Приказ 31 | ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | - | - | - | Орг.Меры, ОРД | - | - | - | ||||
4 | Приказ 239 | ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | - | - | - | Орг.Меры, ОРД | - | - | - | ||||
4 | Приказ 17 | ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах | - | - | - | Орг-тех.меры | - | - | - | ||||
4 | Приказ 21 | ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах | - | - | - | Орг-тех.меры | - | - | - | ||||
4 | Приказ 31 | ЗНИ.4 | Исключение возможности несанкционированного чтения информации на машинных носителях информации | - | - | - | Орг.Меры, ОРД | - | - | - | ||||
4 | Приказ 239 | ЗНИ.4 | Исключение возможности несанкционированного чтения информации на машинных носителях информации | - | - | - | Орг.Меры, ОРД | - | - | - | ||||
4 | Приказ 17 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) | + | + 1 | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev), управление драйверами | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||
4 | Приказ 21 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа | Средства разграничения доступа к подключаемым устройствам (udev, fstab), управление драйверами | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||||
4 | Приказ 31 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev), управление драйверами | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |
4 | Приказ 239 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev), управление драйверами | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |
4 | Приказ 17 | ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||||
4 | Приказ 21 | ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители персональных данных | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||||
4 | Приказ 31 | ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | + | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |||
4 | Приказ 239 | ЗНИ.6 | Контроль ввода (вывода) информации на съемные машинные носители информации | + | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg ( Съемные носители в ОС Astra Linux ) | |||
4 | Приказ 17 | ЗНИ.7 | Контроль подключения машинных носителей информации | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev, astra-mount-lock) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.4.20 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||||
4 | Приказ 21 | ЗНИ.7 | Контроль подключения машинных носителей персональных данных | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev, astra-mount-lock) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.4.20 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||||
4 | Приказ 31 | ЗНИ.7 | Контроль подключения машинных носителей информации | + | + | + | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev, astra-mount-lock) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.4.20 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |
4 | Приказ 239 | ЗНИ.7 | Контроль подключения съемных машинных носителей информации | + | + | + | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev, astra-mount-lock) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.4.20 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |
4 | Приказ 17 | ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | + 5а | + 1,5б | + 1, 5в | + 1, 2, 3, 5г | + | + | + | Орг-тех.меры, Средства ОС СН + ОРД, Усиление 5в, 5г: сторонние средства гарантированного уничтожения информации | Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей, средств затирания данных. | Средства затирания данных (dd, shred) Дополнительно: Механизм очистки памяти (astra-secdel-control) | РКСЗ.1: п.8 "Защита памяти" Справка ОС СН по работе с утилитой форматирования внешних носителей fly-admin-format |
4 | Приказ 21 | ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | + | + | + | + | + | + | Средства ОС СН + ОРД | Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей, средств затирания данных. | Средства затирания данных (dd, shred) Дополнительно: Механизм очистки памяти (astra-secdel-control) | РКСЗ.1: п.8 "Защита памяти" Справка ОС СН по работе с утилитой форматирования внешних носителей fly-admin-format | |
4 | Приказ 31 | ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях информации | + | + | + | + | + | + | Средства ОС СН + ОРД | Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей, средств затирания данных. | Средства затирания данных (dd, shred) Дополнительно: Механизм очистки памяти (astra-secdel-control) | РКСЗ.1: п.8 "Защита памяти" Справка ОС СН по работе с утилитой форматирования внешних носителей fly-admin-format | |
4 | Приказ 239 | ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях информации | + | + | + | + | + | + | Средства ОС СН + ОРД | Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей, средств затирания данных. | Средства затирания данных (dd, shred) Дополнительно: Механизм очистки памяти (astra-secdel-control) | РКСЗ.1: п.8 "Защита памяти" https://wiki.astralinux.ru/x/DALoAg (Твердотельные накопители (SSD)) Справка ОС СН по работе с утилитой форматирования внешних носителей fly-admin-format | |
5 | Приказ 31 | V. Аудит безопасности (АУД) | ||||||||||||
5 | Приказ 239 | V. Аудит безопасности (АУД) | ||||||||||||
5 | Приказ 31 | АУД.0 | Разработка политики аудита безопасности | + | + | + | - | - | - | Орг.Меры, ОРД | Политика аудита безопасности разрабатывается администратором и регламентируется в ОРД. | - | - | |
5 | Приказ 239 | АУД.0 | Регламентация правил и процедур аудита безопасности | + | + | + | - | - | - | Орг.Меры, ОРД | Политика аудита безопасности разрабатывается администратором и регламентируется в ОРД. | - | - | |
5 | Приказ 31 | АУД.1 | Инвентаризация информационных ресурсов | + | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | |
5 | Приказ 239 | АУД.1 | Инвентаризация информационных ресурсов | + | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | |
5 | Приказ 31 | АУД.2 | Анализ уязвимостей и их устранение | + | + | + | - | - | - | Орг.Меры, ОРД | Выявление и оперативное устранение уязвимостей ОС СН производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131, и ГОСТ Р 56939. | - | - | |
5 | Приказ 239 | АУД.2 | Анализ уязвимостей и их устранение | + | + | + | - | - | - | Орг.Меры, ОРД | Выявление и оперативное устранение уязвимостей ОС СН производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131, и ГОСТ Р 56939. | - | - | |
5 | Приказ 31 | АУД.3 | Генерирование временных меток и (или) синхронизация системного времени | + | + | + | + | + | + | Средства ОС СН | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в ОС СН служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) | РА.1: п.6.7 (Службы точного времени) https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени) | |
5 | Приказ 239 | АУД.3 | Генерирование временных меток и (или) синхронизация системного времени | + | + | + | + | + | + | Средства ОС СН | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в ОС СН служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) | РА.1: п.6.7 (Службы точного времени) https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени) | |
5 | Приказ 31 | АУД.4 | Регистрация событий безопасности | + | + | + | + | + | + | Средства ОС СН + ОРД, SIEM | Регистрация событий безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog | |
5 | Приказ 239 | АУД.4 | Регистрация событий безопасности | + | + | + | + | + | + | Средства ОС СН + ОРД, SIEM | Регистрация событий безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog | |
5 | Приказ 31 | АУД.5 | Контроль и анализ сетевого трафика | + | + | + | + | Средства ОС СН + ОРД, SIEM, Серт. МЭ, СОВ. | Контроль сетевых потоков в ОС CН осуществляет встроенный в ядро ОС СН фильтр сетевых пакетов и монитор обращений. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. С целью выявления инцидентов безопасности и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. | Средства межсетевого экранирования (astra-ufw-control), Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности", п.11 "Фильтрация сетевого потока" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog | |||
5 | Приказ 239 | АУД.5 | Контроль и анализ сетевого трафика | + | + | + | + | Средства ОС СН + ОРД, SIEM, Серт. МЭ, СОВ. | Контроль сетевых потоков в ОС CН осуществляет встроенный в ядро ОС СН фильтр сетевых пакетов и монитор обращений. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. С целью выявления инцидентов безопасности и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. | Средства межсетевого экранирования (astra-ufw-control), Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности", п.11 "Фильтрация сетевого потока" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog | |||
5 | Приказ 31 | АУД.6 | Защита информации о событиях безопасности | + | + | + | + | + | + | Средства ОС СН + ОРД | Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита. | Средства аудита (auditd, zabbix), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | |
5 | Приказ 239 | АУД.6 | Защита информации о событиях безопасности | + | + | + | + | + | + | Средства ОС СН + ОРД | Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита. | Средства аудита (auditd, zabbix), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | |
5 | Приказ 31 | АУД.7 | Мониторинг безопасности | + | + | + | + | + | + | Средства ОС СН + ОРД, Орг.меры, SIEM, СОВ | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с программой просмотра файлов журналов ksystemlog | |
5 | Приказ 239 | АУД.7 | Мониторинг безопасности | + | + | + | + | + | + | Средства ОС СН + ОРД, Орг.меры, SIEM, СОВ | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с программой просмотра файлов журналов ksystemlog | |
5 | Приказ 31 | АУД.8 | Реагирование на сбои при регистрации событий безопасности | + | + | + | + | + | + | Средства ОС СН + ОРД | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности. | Средства аудита (zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
5 | Приказ 239 | АУД.8 | Реагирование на сбои при регистрации событий безопасности | + | + | + | + | + | + | Средства ОС СН + ОРД | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности. | Средства аудита (zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
5 | Приказ 31 | АУД.9 | Анализ действий пользователей | + | + | + | + | Средства ОС СН + ОРД | Просмотр и анализ информации о действиях пользователей предоставляется администратору (пользователям в соответствии с установленными правилами разграничения доступа) с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности. | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | |||
5 | Приказ 239 | АУД.9 | Анализ действий отдельных пользователей | + | + | + | + | Средства ОС СН + ОРД | Просмотр и анализ информации о действиях пользователей предоставляется администратору (пользователям в соответствии с установленными правилами разграничения доступа) с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности. | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | |||
5 | Приказ 31 | АУД.10 | Проведение внутренних аудитов | + | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | |
5 | Приказ 239 | АУД.10 | Проведение внутренних аудитов | + | + | + | - | - | - | Орг.Меры, ОРД | - | - | - | |
5 | Приказ 31 | АУД.11 | Проведение внешних аудитов | + | - | - | - | Орг.Меры, ОРД | - | - | - | |||
5 | Приказ 239 | АУД.11 | Проведение внешних аудитов | - | - | - | Орг.Меры, ОРД | - | - | - | ||||
5 | Приказ 17 | V. Регистрация событий безопасности (РСБ) | ||||||||||||
5 | Приказ 21 | V. Регистрация событий безопасности (РСБ) | ||||||||||||
5 | Приказ 17 | РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + | + | + 1,3, 4а | + 1, 2, 3, 4б | - | - | - | ОРД | События безопасности, подлежащие регистрации, и сроки их хранения определяются администратором. | - | - |
5 | Приказ 21 | РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + | + | + | + | - | - | - | ОРД | События безопасности, подлежащие регистрации, и сроки их хранения определяются администратором. | - | - |
5 | Приказ 17 | РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + | + | + 1а | + 1а | - | - | - | ОРД | Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администратором. | - | - |
5 | Приказ 21 | РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + | + | + | + | - | - | - | ОРД | Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администратором. | - | - |
5 | Приказ 17 | РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения | + | + | + 1 | + 1 | + | + | + | Средства ОС СН + ОРД, SIEM | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog |
5 | Приказ 21 | РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | + | + | + | + | + | + | + | Средства ОС СН + ОРД, SIEM | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog |
5 | Приказ 17 | РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | + | + | + | + 1а, 2 | + | + | + | Средства ОС СН + ОРД | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности. | Средства аудита (zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) |
5 | Приказ 21 | РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | + | + | + | Средства ОС СН + ОРД | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности. | Средства аудита (zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||||
5 | Приказ 17 | РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | + | + | + | + 1 | + | + | + | Средства ОС СН + ОРД, Орг.меры, SIEM, СОВ | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и системы обнаружения вторжений. | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с программой просмотра файлов журналов ksystemlog |
5 | Приказ 21 | РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | + | + | + | + | + | Средства ОС СН + ОРД, Орг.меры, SIEM | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с программой просмотра файлов журналов ksystemlog | ||
5 | Приказ 17 | РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | + | + | + | + 1 | + | + | + | Средства ОС СН | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в ОС СН служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) | РА.1: п.6.7 (Службы точного времени) https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени) |
5 | Приказ 21 | РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | + | + | + | Средства ОС СН | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в ОС СН служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) | РА.1: п.6.7 (Службы точного времени) https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени) | ||||
5 | Приказ 17 | РСБ.7 | Защита информации о событиях безопасности | + | + | + 1 | + 1 | + | + | + | Средства ОС СН + ОРД | Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита. | Средства аудита (auditd, zabbix), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog |
5 | Приказ 21 | РСБ.7 | Защита информации о событиях безопасности | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита. | Средства аудита (auditd, zabbix), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.3 "Дискреционное управление доступом",п.4.2 "Мандатное управление доступом" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog |
5 | Приказ 17 | РСБ.8 | Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе | + | + | + | Средства ОС СН + ОРД | Возможность осуществления просмотра и анализа информации о действиях пользователей предоставляется администратору (пользователям в соответствии с установленными правилами разграничения доступа) с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | ||||
6 | Приказ 17 | VI. Антивирусная защита (АВЗ) | ||||||||||||
6 | Приказ 21 | VI. Антивирусная защита (АВЗ) | ||||||||||||
6 | Приказ 31 | VI. Антивирусная защита (АВЗ) | ||||||||||||
6 | Приказ 239 | VI. Антивирусная защита (АВЗ) | ||||||||||||
6 | Приказ 31 | АВЗ.0 | Разработка политики антивирусной защиты | + | + | + | - | - | - | Орг.Меры, ОРД | Политика антивирусной защиты разрабатывается администратором и регламентируется в ОРД. | - | - | |
6 | Приказ 239 | АВЗ.0 | Регламентация правил и процедур антивирусной защиты | + | + | + | - | - | - | Орг.Меры, ОРД | Политика антивирусной защиты разрабатывается администратором и регламентируется в ОРД. | - | - | |
6 | Приказ 17 | АВЗ.1 | Реализация антивирусной защиты | + | + 1 | + 1, 2 | + 1, 2 | - | - | - | АВЗ | - | - | - |
6 | Приказ 21 | АВЗ.1 | Реализация антивирусной защиты | + | + | + | + | - | - | - | АВЗ | - | - | - |
6 | Приказ 31 | АВЗ.1 | Реализация антивирусной защиты | + | + | + | - | - | - | АВЗ | - | - | - | |
6 | Приказ 239 | АВЗ.1 | Реализация антивирусной защиты | + | + | + | - | - | - | АВЗ | - | - | - | |
6 | Приказ 17 | АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + 1 | + 1 | - | - | - | АВЗ | - | - | - |
6 | Приказ 21 | АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | + | - | - | - | АВЗ | - | - | - |
6 | Приказ 31 | АВЗ.2 | Антивирусная защита электронной почты и иных сервисов | + | + | + | - | - | - | АВЗ | - | - | - | |
6 | Приказ 239 | АВЗ.2 | Антивирусная защита электронной почты и иных сервисов | + | + | + | - | - | - | АВЗ | - | - | - | |
6 | Приказ 31 | АВЗ.3 | Контроль использования архивных, исполняемых и зашифрованных файлов | + | - | + | + | АВЗ Дополнительно: Средства ОС СН | Контроль использования файлов обеспечивается монитором обращений из состава ОС СН совместно с использованием средств управления программными пакетами, контроля целостности объектов файловой системы, средств ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, архивных, исполняемых и зашифрованных файлов в соответствии с установленными правилами разграничения доступа. Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | ЗПС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), Средства аудита (auditd, zabbix) Дискреционное управление доступом | РА.1: п.5 "Управление программными пакетами", п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.3 "Дискреционное управление доступом", п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |||
6 | Приказ 239 | АВЗ.3 | Контроль использования архивных, исполняемых и зашифрованных файлов | + | - | + | + | АВЗ Дополнительно: Средства ОС СН | Контроль использования файлов обеспечивается монитором обращений из состава ОС СН совместно с использованием средств управления программными пакетами, контроля целостности объектов файловой системы, средств ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, архивных, исполняемых и зашифрованных файлов в соответствии с установленными правилами разграничения доступа. Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | ЗПС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), Средства аудита (auditd, zabbix) Дискреционное управление доступом. Контроль расширенных атрибутов (ЗПС) | РА.1: п.5 "Управление программными пакетами", п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.3 "Дискреционное управление доступом", п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |||
6 | Приказ 31 | АВЗ.4 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | - | - | - | АВЗ | - | - | - | |
6 | Приказ 239 | АВЗ.4 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | - | - | - | АВЗ | - | - | - | |
6 | Приказ 31 | АВЗ.5 | Использование средств антивирусной защиты различных производителей | + | - | - | - | АВЗ | - | - | - | |||
6 | Приказ 239 | АВЗ.5 | Использование средств антивирусной защиты различных производителей | + | - | - | - | АВЗ | - | - | - | |||
7 | Приказ 17 | VII. Обнаружение вторжений (СОВ) | ||||||||||||
7 | Приказ 21 | VII. Обнаружение вторжений (СОВ) | ||||||||||||
7 | Приказ 31 | VII. Предотвращение вторжений (компьютерных атак) (СОВ) | ||||||||||||
7 | Приказ 239 | VII. Предотвращение вторжений (компьютерных атак) (СОВ) | ||||||||||||
7 | Приказ 31 | СОВ.0 | Разработка политики предотвращения вторжений (компьютерных атак) | + | + | - | - | - | Орг.Меры, ОРД | Политика предотвращения вторжений (компьютерных атак) разрабатывается администратором и регламентируется в ОРД. | - | - | ||
7 | Приказ 239 | СОВ.0 | Регламентация правил и процедур предотвращения вторжений (компьютерных атак) | + | + | - | - | - | Орг.Меры, ОРД | Политика предотвращения вторжений (компьютерных атак) разрабатывается администратором и регламентируется в ОРД. | - | - | ||
7 | Приказ 17 | СОВ.1 | Обнаружение вторжений | + 2 | + 2 | - | - | - | СОВ | - | - | - | ||
7 | Приказ 21 | COB.1 | Обнаружение вторжений | + | + | - | - | - | СОВ | - | - | - | ||
7 | Приказ 31 | СОВ.1 | Обнаружение и предотвращение компьютерных атак | + | + | - | - | - | СОВ | - | - | - | ||
7 | Приказ 239 | СОВ.1 | Обнаружение и предотвращение компьютерных атак | + | + | - | - | - | СОВ | - | - | - | ||
7 | Приказ 17 | СОВ.2 | Обновление базы решающих правил | + | + 1, 2, 3 | - | - | - | СОВ | - | - | - | ||
7 | Приказ 31 | СОВ.2 | Обновление базы решающих правил | + | + | - | - | - | СОВ | - | - | - | ||
7 | Приказ 239 | СОВ.2 | Обновление базы решающих правил | + | + | - | - | - | СОВ | - | - | - | ||
7 | Приказ 21 | COB.2 | Обновление базы решающих правил | + | + | - | - | - | СОВ | - | - | - | ||
8 | Приказ 17 | VIII. Контроль (анализ) защищенности информации (АНЗ) | ||||||||||||
8 | Приказ 21 | VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | ||||||||||||
8 | Приказ 17 | АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | + 1,4 | + 1, 2,4 | + 1, 2,4,7 | + | + | + | Средства анализа (контроля) защищенности (сканеры безопасности), ОРД, Орг.меры, Средства ОС СН | Выявление и оперативное устранение уязвимостей ОС СН производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131, и ГОСТ Р 56939. | Обновление ОС, fly-astra-update, fly-update-notifier | ОП: п.3 "Порядок обновления ОС" Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update, с утилитой "Проверка обновлений" fly-update-notifier https://wiki.astralinux.ru/x/2xZIB (fly-astra-update) | |
8 | Приказ 21 | АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | + | + | + | + | + | + | Средства анализа (контроля) защищенности (сканеры безопасности), ОРД, Орг.меры, Средства ОС СН | Выявление и оперативное устранение уязвимостей ОС СН производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131, и ГОСТ Р 56939. | Обновление ОС, fly-astra-update, fly-update-notifier | ОП: п.3 "Порядок обновления ОС" Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update, с утилитой "Проверка обновлений" fly-update-notifier https://wiki.astralinux.ru/x/2xZIB (fly-astra-update) | |
8 | Приказ 17 | АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Обновление безопасности производится администратором согласно документации на ОС СН. Контроль целостности обновлений ОС СН может быть реализован с использованием регламентного контроля целостности с использованием функции хэширования и сверки полученного значения с эталонным, указанным в специальном файле с контрольными суммами, входящем в состав обновлений безопасности, а также организацией доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи для режима ЗПС (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Контроль установки обновлений ОС выполняется одним из следующих способов: - в «ручном» режиме путём сравнивания списка установленных обновлений со списком обновлений, зафиксированным в журнале установки обновлений; - автоматизированный контроль установленных обновлений с использованием программы "Проверка обновлений"; - автоматизированный контроль установленных обновлений с использованием программных средств (например, Ansible), предусмотренных к использованию условиями эксплуатации обновляемого программного обеспечения или с применением сертифицированных ФСТЭК России средств анализа защищённости (сканеров безопасности). | Обновление ОС, контроль целостности сторонних файлов (gostsum) Дополнительно: Ansible, доверенный репозиторий (МКЦ) | ОП: п.3.2 "Внеочередное (оперативное) обновление" РА.1: п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для ОС СН) Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update |
8 | Приказ 21 | АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + | + | + | + | + | + | + | Средства ОС СН + ОРД | Обновление безопасности производится администратором согласно документации на ОС СН. Контроль целостности обновлений ОС СН может быть реализован с использованием средств регламентного контроля целостности с использованием функции хэширования и сверки полученного значения с эталонным, указанным в специальном файле с контрольными суммами, входящем в состав обновлений безопасности, а также организацией доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи для режима ЗПС (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Контроль установки обновлений ОС выполняется одним из следующих способов: - в «ручном» режиме путём сравнивания списка установленных обновлений со списком обновлений, зафиксированным в журнале установки обновлений; - автоматизированный контроль установленных обновлений с использованием программных средств (например, Ansible), предусмотренных к использованию условиями эксплуатации обновляемого программного обеспечения или с применением сертифицированных ФСТЭК России средств анализа защищённости (сканеров безопасности). | Обновление ОС, контроль целостности сторонних файлов (gostsum) Дополнительно: Ansible, доверенный репозиторий (МКЦ) | ОП: п.3.2 "Внеочередное (оперативное) обновление" РА.1: п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для ОС СН) Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update |
8 | Приказ 17 | АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + | + 1 | + 1 | + | + | + | Средства ОС СН + ОРД | Контроль работоспособности встроенного комплекса средств защиты информации ОС СН осуществляется с помощью автоматического и регламентного тестирования функций безопасности, контролем соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации, и восстановлением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов в соответствии с ОЦЛ.3 | Тестирование СЗИ Cредства резервного копирования (Bacula, dd, tar, luckyback, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) средства управления конфигурациями (Ansible/Puppet/Foreman) | РКСЗ.2 РА.1: п.16 "Резервное копирование и восстановление данных", п.6.11 "Средство удаленного администрирования Ansible" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) | |
8 | Приказ 21 | АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + | + | + | + | + | + | Средства ОС СН + ОРД | Контроль работоспособности встроенного комплекса средств защиты информации ОС СН осуществляется с помощью автоматического и регламентного тестирования функций безопасности, контролем соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации, и восстановлением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов в соответствии с ОЦЛ.3 | Тестирование СЗИ Cредства резервного копирования (Bacula, dd, tar, luckyback, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) средства управления конфигурациями (Ansible/Puppet/Foreman) | РКСЗ.2 РА.1: п.16 "Резервное копирование и восстановление данных", п.6.11 "Средство удаленного администрирования Ansible" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) | |
8 | Приказ 17 | АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + | + 1 | + 1, 2 | + | + | + | Средствами ОС СН, ОРД, Орг.мерами (визуальной проверкой может обеспечиваться контроль состава технических средств и средств защиты информации, требуемые, соблюдение правил эксплуатации и неизменности конфигурации ИС в ходе эксплуатации, контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации) | Контроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ - в соответствии с РСБ.3. Контроль установленного в ОС оборудования можно осуществлять с использованием специализированных утилит. | Контроль целостности (afick, fly-admin-int-check), средства аудита (auditd, zabbix), средства контроля установленного оборудования (lspci, lshw, lsusb). | ОП: п.4.1.9 "Контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита", РКСЗ.1: п.9 "Контроль целостности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) https://wiki.astralinux.ru/x/njFIB (определение оборудования) Справка по работе с утилитой проверки целостности fly-admin-int-check | |
8 | Приказ 21 | АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + | + | + | + | + | + | Средствами ОС СН, ОРД, Орг.мерами (визуальной проверкой может обеспечиваться контроль состава технических средств и средств защиты информации, требуемые, соблюдение правил эксплуатации и неизменности конфигурации ИС в ходе эксплуатации, контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации) | Контроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ - в соответствии с РСБ.3. Контроль установленного в ОС оборудования можно осуществлять с использованием специализированных утилит. | Контроль целостности (afick, fly-admin-int-check), средства аудита (auditd, zabbix), скрипты контроля установленного оборудования (lspci, lshw, lsusb). | ОП: п.4.1.9 "Контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.9 "Контроль целостности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) https://wiki.astralinux.ru/x/njFIB (определение оборудования) Справка по работе с утилитой проверки целостности fly-admin-int-check | |
8 | Приказ 17 | АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | + | + 1 | + 1 | + | + | + | Средства ОС СН + ОРД, Орг.меры | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6 | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |
8 | Приказ 21 | АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе | + | + | + | + | + | Средства ОС СН + ОРД, Орг.меры | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6 | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | ||
9 | Приказ 17 | IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | ||||||||||||
9 | Приказ 21 | IХ.Обеспечение целостности информационной системы и персональных данных (ОЦЛ) | ||||||||||||
8 | Приказ 31 | VIII. Обеспечение целостности (ОЦЛ) | ||||||||||||
8 | Приказ 239 | VIII. Обеспечение целостности (ОЦЛ) | ||||||||||||
8 | Приказ 31 | ОЦЛ.0 | Разработка политики обеспечения целостности | + | + | + | - | - | - | Орг.Меры, ОРД | Политика обеспечения целостности разрабатывается администратором и регламентируется в ОРД. | - | - | |
8 | Приказ 239 | ОЦЛ.0 | Регламентация правил и процедур обеспечения целостности | + | + | + | - | - | - | Орг.Меры, ОРД | Политика обеспечения целостности разрабатывается администратором и регламентируется в ОРД. | - | - | |
9 | Приказ 17 | ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | + 1, 3 | + 1, 3 | + | + | + | Средствами ОС СН, Орг.меры (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | Контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), Тестирование СЗИ Дополнительно: ЗПС | РКСЗ.1: п.9 "Контроль целостности" РКСЗ.2 https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка по работе с утилитой проверки целостности fly-admin-int-check | ||
9 | Приказ 21 | ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | + | + | + | + | + | Средствами ОС СН, Орг.меры (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | Контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), Тестирование СЗИ Дополнительно: ЗПС | РКСЗ.1: п.9 "Контроль целостности" РКСЗ.2 https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка по работе с утилитой проверки целостности fly-admin-int-check | ||
8 | Приказ 31 | ОЦЛ.1 | Контроль целостности программного обеспечения | + | + | + | + | + | + | Средствами ОС СН, Орг.меры (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | Контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), Тестирование СЗИ Дополнительно: ЗПС | РКСЗ.1: п.9 "Контроль целостности" РКСЗ.2 https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка по работе с утилитой проверки целостности fly-admin-int-check | |
8 | Приказ 239 | ОЦЛ.1 | Контроль целостности программного обеспечения | + | + | + | + | + | + | Средствами ОС СН, Орг.меры (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | Контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), Тестирование СЗИ Дополнительно: ЗПС | РКСЗ.1: п.9 "Контроль целостности" РКСЗ.2 https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка по работе с утилитой проверки целостности fly-admin-int-check | |
9 | Приказ 17 | ОЦЛ.2 | Контроль целостности информации, содержащейся в базах данных информационной системы | + | + | + | Средствами ОС СН, ОРД, Орг.меры (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3») | Контроль целостности информации реализуется с использованием средств регламентного контроля целостности. | Контроль целостности (afick) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности" | ||||
9 | Приказ 21 | ОЦЛ.2 | Контроль целостности персональных данных, содержащихся в базах данных информационной системы | + | + | + | Средствами ОС СН, ОРД, Орг.меры | Контроль целостности информации реализуется с использованием средств динамического и регламентного контроля целостности. | Контроль целостности (afick) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности" | ||||
8 | Приказ 31 | ОЦЛ.2 | Контроль целостности информации | + | + | + | Средствами ОС СН, ОРД, Орг.меры | Контроль целостности информации реализуется с использованием средств динамического и регламентного контроля целостности. | Контроль целостности (afick) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности" | ||||
8 | Приказ 239 | ОЦЛ.2 | Контроль целостности информации | + | + | + | Средствами ОС СН, ОРД, Орг.меры | Контроль целостности информации реализуется с использованием средств динамического и регламентного контроля целостности. | Контроль целостности (afick) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности" | ||||
9 | Приказ 17 | ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | + | + | + | + 1 | + | + | + | Средства ОС СН, ОРД | В целях обеспечения возможности восстановления работоспособности системы используется режим восстановления и средства резервного копирования. | Cредства резервного копирования (Bacula, dd, tar, luckyback, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck), режим восстановления ОС Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.16 "Резервное копирование и восстановление данных" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) |
9 | Приказ 21 | ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | + | + | + | Средства ОС СН, ОРД | В целях обеспечения возможности восстановления работоспособности системы используется режим восстановления и средства резервного копирования. | Cредства резервного копирования (Bacula, dd, tar, luckyback, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck), режим восстановления ОС Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.16 "Резервное копирование и восстановление данных" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) | ||||
8 | Приказ 31 | ОЦЛ.3 | Ограничения по вводу информации в информационную (автоматизированную) систему | + | - | - | + | Средствами ОС СН, ОРД, Орг.меры, возможна реализация на уровне прикладного ПО. | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной̆ метки объекта (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦ, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2" | |||
8 | Приказ 239 | ОЦЛ.3 | Ограничения по вводу информации в информационную (автоматизированную) систему | + | - | - | + | Средствами ОС СН, ОРД, Орг.меры, возможна реализация на уровне прикладного ПО. | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной̆ метки объекта (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦ, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2" | |||
9 | Приказ 17 | ОЦЛ.4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) | + | + | - | - | - | Сторонние ПС | - | - | - | ||
9 | Приказ 21 | ОЦЛ.4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) | + | + | - | - | - | Сторонние ПС | - | - | - | ||
8 | Приказ 31 | ОЦЛ.4 | Контроль данных, вводимых в информационную (автоматизированную) систему | + | + | + | + | + | Прикладное ПО, Средства ОС СН, возможна реализация на уровне прикладного ПО. | Контроль данных, вводимых в информационную (автоматизированную) систему, осуществляется согласно установленной политики управления доступом с использованием прикладного ПО, средств СУБД, средств протоколирования и аудита событий ОС СН. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) РА.2 | ||
8 | Приказ 239 | ОЦЛ.4 | Контроль данных, вводимых в информационную (автоматизированную) систему | + | + | + | + | + | Прикладное ПО, Средства ОС СН, возможна реализация на уровне прикладного ПО. | Контроль данных, вводимых в информационную (автоматизированную) систему, осуществляется согласно установленной политики управления доступом с использованием прикладного ПО, средств СУБД, средств протоколирования и аудита событий ОС СН. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) РА.2 | ||
9 | Приказ 17 | ОЦЛ.5 | Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы | - | - | + | Средствами ОС СН, Орг.меры, ОРД | Контроль содержания информации, основанный на свойствах объектов доступа, осуществляется согласно установленной политики дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, контроль подключения съемных машинных носителей информации, Защищенный комплекс программ печати и маркировки документов (cups) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов" | ||||
9 | Приказ 21 | ОЦЛ.5 | Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов),методов), и исключение неправомерной передачи информации из информационной системы | - | - | + | Средствами ОС СН, Орг.меры, ОРД | Контроль содержания информации, основанный на свойствах объектов доступа, осуществляется согласно установленной политики дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, контроль подключения съемных машинных носителей информации, Защищенный комплекс программ печати и маркировки документов (cups) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов" | ||||
8 | Приказ 31 | ОЦЛ.5 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | + | + | + | + | + | Прикладное ПО, Средства ОС СН, возможна реализация на уровне прикладного ПО. | Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||
8 | Приказ 239 | ОЦЛ.5 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | + | + | + | + | + | Прикладное ПО, Средства ОС СН, возможна реализация на уровне прикладного ПО. | Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||
9 | Приказ 17 | ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему | + | - | - | + | Средствами ОС СН, ОРД, Орг.меры, возможна реализация на уровне прикладного ПО. | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной̆ метки объекта (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2" | |||
9 | Приказ 21 | ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему | - | - | + | Средствами ОС СН, ОРД, Орг.меры, возможна реализация на уровне прикладного ПО. | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной̆ метки объекта (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2" | ||||
8 | Приказ 31 | ОЦЛ.6 | Обезличивание и (или) деидентификация информации | - | - | - | Сторонние ПС | - | - | - | ||||
8 | Приказ 239 | ОЦЛ.6 | Обезличивание и (или) деидентификация информации | - | - | - | Сторонние ПС | - | - | - | ||||
9 | Приказ 17 | ОЦЛ.7 | Контроль точности, полноты и правильности данных, вводимых в информационную систему | + | + | + | Прикладное ПО, Средства ОС СН (СУБД) | Контроль точности, полноты и правильности данных, вводимых в информационную систему путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и (или) иных правил ввода информации в информационную систему (допустимые наборы символов, размерность, область числовых значений, допустимые значения, количество символов) для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию осуществляется с использованием прикладного ПО и средств СУБД. | СУБД | РА.2 | ||||
9 | Приказ 21 | ОЦЛ.7 | Контроль точности, полноты и правильности данных, вводимых в информационную систему | + | + | + | Прикладное ПО, Средства ОС СН (СУБД) | Контроль точности, полноты и правильности данных, вводимых в информационную систему путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и (или) иных правил ввода информации в информационную систему (допустимые наборы символов, размерность, область числовых значений, допустимые значения, количество символов) для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию осуществляется с использованием прикладного ПО и средств СУБД. | СУБД | РА.2 | ||||
9 | Приказ 17 | ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | + | + | + | Прикладное ПО, Средства ОС СН | Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||||
9 | Приказ 21 | ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных и предупреждение пользователей об ошибочных действиях | + | + | + | Прикладное ПО, Средства ОС СН | Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||||
10 | Приказ 17 | X. Обеспечение доступности информации (ОДТ) | ||||||||||||
10 | Приказ 21 | X. Обеспечение доступности персональных данных (ОДТ) | ||||||||||||
9 | Приказ 31 | IX. Обеспечение доступности (ОДТ) | ||||||||||||
9 | Приказ 239 | IX. Обеспечение доступности (ОДТ) | ||||||||||||
9 | Приказ 31 | ОДТ.0 | Разработка политики обеспечения доступности | + | + | + | - | - | - | Орг.Меры, ОРД | Политика обеспечения доступности разрабатывается администратором и регламентируется в ОРД. | - | - | |
9 | Приказ 239 | ОДТ.0 | Регламентация правил и процедур обеспечения доступности | + | + | + | - | - | - | Орг.Меры, ОРД | Политика обеспечения доступности разрабатывается администратором и регламентируется в ОРД. | - | - | |
10 | Приказ 17 | ОДТ.1 | Использование отказоустойчивых технических средств | + | + | + | + | Орг-тех.меры, ОРД Дополнительно: Средства ОС СН | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. | Системные ограничения ulimits (fly-admin-smc), средства аудита (zabbix) Дополнительно: Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA) | РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | |||
10 | Приказ 21 | ОДТ.1 | Использование отказоустойчивых технических средств | + | + | + | Орг-тех.меры, ОРД Дополнительно: Средства ОС СН | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. | Системные ограничения ulimits (fly-admin-smc), средства аудита (zabbix) Дополнительно: Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA) | РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | ||||
9 | Приказ 31 | ОДТ.1 | Использование отказоустойчивых технических средств | + | + | + | + | + | Орг-тех.меры, ОРД Дополнительно: Средства ОС СН | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. | Системные ограничения ulimits (fly-admin-smc), средства аудита (zabbix) Дополнительно: Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA) | РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | ||
9 | Приказ 239 | ОДТ.1 | Использование отказоустойчивых технических средств | + | + | + | + | + | Орг-тех.меры, ОРД Дополнительно: Средства ОС СН | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. | Системные ограничения ulimits (fly-admin-smc), средства аудита (zabbix) Дополнительно: Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA) | РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc | ||
10 | Приказ 17 | ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | |||
10 | Приказ 21 | ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||||
9 | Приказ 31 | ОДТ.2 | Резервирование средств и систем | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||
9 | Приказ 239 | ОДТ.2 | Резервирование средств и систем | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||
10 | Приказ 17 | ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | + | + 1 | + | + | + | Орг.меры, ОРД, Средства ОС СН | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов, и принятия мер по восстановлению отказавших средств в соответствии с ОЦЛ.3. | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | ||
10 | Приказ 21 | ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | + | + | + | + | Орг.меры, ОРД, Средства ОС СН | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов. | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | |||
9 | Приказ 31 | ОДТ.3 | Контроль безотказного функционирования средств и систем | + | + | + | + | + | Орг.меры, ОРД, Средства ОС СН | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов, и принятию мер по восстановлению отказавших средств в соответствии с ОЦЛ.3 | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | ||
9 | Приказ 239 | ОДТ.3 | Контроль безотказного функционирования средств и систем | + | + | + | + | + | Орг.меры, ОРД, Средства ОС СН | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов, и принятию мер по восстановлению отказавших средств в соответствии с ОЦЛ.3 | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | ||
10 | Приказ 17 | ОДТ.4 | Периодическое резервное копирование информации на резервные машинные носители информации | + 1, 2 | + 1, 3 | + | + | + | Орг.меры, Средства ОС СН, ОРД | Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | ||
10 | Приказ 21 | ОДТ.4 | Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных | + | + | + | + | + | Орг.меры, Средства ОС СН, ОРД | Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | ||
9 | Приказ 31 | ОДТ.4 | Резервное копирование информации | + | + | + | + | + | + | Орг.меры, Средства ОС СН, ОРД | Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | |
9 | Приказ 239 | ОДТ.4 | Резервное копирование информации | + | + | + | + | + | + | Орг.меры, Средства ОС СН, ОРД | Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | |
10 | Приказ 17 | ОДТ.5 | Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала | + | + 1 | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Резервное копирование осуществляется с использованием программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы, и сервисов планирования выполнения заданий. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron | ||
10 | Приказ 21 | ОДТ.5 | Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Резервное копирование осуществляется с использованием программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы, и сервисов планирования выполнения заданий. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron | ||
9 | Приказ 31 | ОДТ.5 | Обеспечение возможности восстановления информации | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Восстановление информации осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron | |
9 | Приказ 239 | ОДТ.5 | Обеспечение возможности восстановления информации | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Восстановление информации осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron | |
10 | Приказ 17 | ОДТ.6 | Кластеризация информационной системы и (или) ее сегментов | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), репликация в домене (FreeIPA) | ОП: п.4.1.15 "Обеспечение работы в отказоустойчивом режиме" РА1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.8.3.8.2 "Создание резервного сервера FreeIPA" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||||
9 | Приказ 31 | ОДТ.6 | Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Восстановление информации осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron | |
9 | Приказ 239 | ОДТ.6 | Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях | + | + | + | + | + | + | Восстановление информации осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron | ||
10 | Приказ 17 | ОДТ.7 | Контроль состояния и качества предоставления уполномоченным лицом (провайдером) вычислительных ресурсов (мощностей), в том числе по передаче информации | + | + | - | - | - | Орг.меры, ОРД | - | - | - | ||
9 | Приказ 31 | ОДТ.7 | Кластеризация информационной (автоматизированной) системы | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), репликация в домене (FreeIPA) | ОП: п.4.1.15 "Обеспечение работы в отказоустойчивом режиме" РА1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.8.3.8.2 "Создание резервного сервера FreeIPA" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||||
9 | Приказ 239 | ОДТ.7 | Кластеризация информационной (автоматизированной) системы | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), репликация в домене (FreeIPA) | ОП: п.4.1.15 "Обеспечение работы в отказоустойчивом режиме" РА1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.8.3.8.2 "Создание резервного сервера FreeIPA" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||||
9 | Приказ 31 | ОДТ.8 | Контроль предоставляемых вычислительных ресурсов и каналов связи | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности вычислительных ресурсов и каналов связи осуществляется с использованием средств централизованного протоколирования и аудита. | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | |
9 | Приказ 239 | ОДТ.8 | Контроль предоставляемых вычислительных ресурсов и каналов связи | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности вычислительных ресурсов и каналов связи осуществляется с использованием средств централизованного протоколирования и аудита. | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | |
12 | Приказ 17 | XII. Защита технических средств (ЗТС) | ||||||||||||
12 | Приказ 21 | XII. Защита технических средств (ЗТС) | ||||||||||||
10 | Приказ 31 | X. Защита технических средств и систем (ЗТС) | ||||||||||||
10 | Приказ 239 | X. Защита технических средств и систем (ЗТС) | ||||||||||||
10 | Приказ 31 | ЗТС.0 | Разработка политики защиты технических средств и систем | + | + | + | - | - | - | Орг.Меры, ОРД | Политика защиты технических средств и систем разрабатывается администратором и регламентируется в ОРД. | - | - | |
10 | Приказ 239 | ЗТС.0 | Регламентация правил и процедур защиты технических средств и систем | + | + | + | - | - | - | Орг.Меры, ОРД | Политика защиты технических средств и систем разрабатывается администратором и регламентируется в ОРД. | - | - | |
12 | Приказ 17 | ЗТС.1 | Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам | - | - | - | Орг-тех.меры | - | - | - | ||||
12 | Приказ 21 | ЗТС.1 | Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам | - | - | - | Орг-тех.меры | - | - | - | ||||
10 | Приказ 31 | ЗТС.1 | Защита информации от утечки по техническим каналам | - | - | - | Орг-тех.меры | - | - | - | ||||
10 | Приказ 239 | ЗТС.1 | Защита информации от утечки по техническим каналам | - | - | - | Орг-тех.меры | - | - | - | ||||
12 | Приказ 17 | ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | + | + | + | + | - | - | - | Орг-тех.меры | - | - | - |
12 | Приказ 21 | ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | - | - | - | Орг-тех.меры | - | - | - | ||||
10 | Приказ 31 | ЗТС.2 | Организация контролируемой зоны | + | + | + | - | - | - | Орг-тех.меры | - | - | - | |
10 | Приказ 239 | ЗТС.2 | Организация контролируемой зоны | + | + | + | - | - | - | Орг-тех.меры | - | - | - | |
12 | Приказ 17 | ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | + | + | + | + | - | - | - | Орг-тех.меры, СДЗ | - | - | - |
12 | Приказ 21 | ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | + | + | + | + | - | - | - | Орг-тех.меры, СДЗ | - | - | - |
10 | Приказ 31 | ЗТС.3 | Управление физическим доступом | + | + | + | - | - | - | Орг-тех.меры | - | - | - | |
10 | Приказ 239 | ЗТС.3 | Управление физическим доступом | + | + | + | - | - | - | Орг-тех.меры | - | - | - | |
12 | Приказ 17 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | + | - | - | - | Орг-тех.меры | - | - | - |
12 | Приказ 21 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | + | - | - | - | Орг-тех.меры | - | - | - |
10 | Приказ 31 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | - | - | - | Орг-тех.меры | - | - | - | |
10 | Приказ 239 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | - | - | - | Орг-тех.меры | - | - | - | |
12 | Приказ 17 | ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | + | - | - | - | Орг-тех.меры | - | - | - | |||
12 | Приказ 21 | ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | - | - | - | Орг-тех.меры | - | - | - | ||||
10 | Приказ 31 | ЗТС.5 | Защита от внешних воздействий | + | + | + | - | - | - | Орг-тех.меры | - | - | - | |
10 | Приказ 239 | ЗТС.5 | Защита от внешних воздействий | + | + | + | - | - | - | Орг-тех.меры | - | - | - | |
10 | Приказ 31 | ЗТС.6 | Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации | - | - | - | Орг-тех.меры | - | - | - | ||||
10 | Приказ 239 | ЗТС.6 | Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации | - | - | - | Орг-тех.меры | - | - | - | ||||
13 | Приказ 17 | XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | ||||||||||||
13 | Приказ 21 | XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | ||||||||||||
11 | Приказ 31 | XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС) | ||||||||||||
11 | Приказ 239 | XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС) | ||||||||||||
11 | Приказ 31 | ЗИС.0 | Разработка политики защиты информационной (автоматизированной) системы и ее компонентов | + | + | + | - | - | - | Орг.Меры, ОРД | Политика защиты информационной (автоматизированной) системы и ее компонентов разрабатывается администратором и регламентируется в ОРД. | - | - | |
11 | Приказ 239 | ЗИС.0 | Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов | + | + | + | - | - | - | Орг.Меры, ОРД | Политика защиты информационной (автоматизированной) системы и ее компонентов разрабатывается администратором и регламентируется в ОРД. | - | - | |
13 | Приказ 17 | ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы | + 3 | + 3 | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется согласно ОРД локально или централизованно с использованием средств управления политикой безопасности. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, дискреционное управление доступом, средства организации домена Дополнительно: Системный и графический киоск | см. раздел II. УПД РА.1: п.3.3 "Управление пользователями", п.4.1.3 "Организация ЕПП" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности", https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | ||
13 | Приказ 21 | ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется согласно ОРД локально или централизованно с использованием средств управления политикой безопасности. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, дискреционное управление доступом, средства организации домена Дополнительно: Системный и графический киоск | см. раздел II. УПД РА.1: п.3.3 "Управление пользователями", п.4.1.3 "Организация ЕПП" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности", https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | |||
11 | Приказ 31 | ЗИС.1 | Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется согласно ОРД локально или централизованно с использованием средств управления политикой безопасности. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, дискреционное управление доступом, средства организации домена Дополнительно: Системный и графический киоск | см. раздел II. УПД РА.1: п.3.3 "Управление пользователями", п.4.1.3 "Организация ЕПП" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности", https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | |
11 | Приказ 239 | ЗИС.1 | Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется согласно ОРД локально или централизованно с использованием средств управления политикой безопасности. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, дискреционное управление доступом, средства организации домена Дополнительно: Системный и графический киоск | см. раздел II. УПД РА.1: п.3.3 "Управление пользователями", п.4.1.3 "Организация ЕПП" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности", https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) Справка ОС СН по утилите управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | |
13 | Приказ 17 | ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | + | + | + | Средства ОС СН | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды" | ||||
13 | Приказ 21 | ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | + | + | + | Средства ОС СН | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды" | ||||
11 | Приказ 31 | ЗИС.2 | Защита периметра информационной (автоматизированной) системы | + | + | + | - | - | - | Орг-тех.меры, МЭ, СОВ | - | - | - | |
11 | Приказ 239 | ЗИС.2 | Защита периметра информационной (автоматизированной) системы | + | + | + | - | - | - | Орг-тех.меры, МЭ, СОВ | - | - | - | |
13 | Приказ 17 | ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + | + | + | + | + | + | + | Орг-тех.меры (СКЗИ), ОРД, Средства ОС СН | Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использованием защищенных каналов, реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ, Средства контроля целостности (сервис электронной подписи) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.9.5 «Сервис электронной подписи» https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
13 | Приказ 21 | ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + | + | + | + | + | + | + | Орг-тех.меры (СКЗИ), ОРД, Средства ОС СН | Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использованием защищенных каналов, реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ, Средства контроля целостности (сервис электронной подписи) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.9.5 «Сервис электронной подписи» https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
11 | Приказ 31 | ЗИС.3 | Эшелонированная защита информационной (автоматизированной) системы | + | + | + | + | + | + | Орг-тех.меры, МЭ, СОВ, сдердства ОС СН | Эшелонированная защита обеспечивается применением в информационной системе сертифицированных средств защиты информации, таких как средства сетевой защиты информации (межсетевые экраны, системы обнаружения/предотвращения вторжений), средства антивирусной защиты, средства для автоматизации по работе с событиями и инцидентами, применением операционной системы защищённого исполнения. На базовом уровне из состава ОС СН для построения эшелонированной защиты применяются механизмы контроля вывода информации на носители информации, контроля информационных потоков. Для повышения уровня защиты средствами ОС СН реализуется создание замкнутой программной среды и применение режима мандатного контроля целостности (режимы ЗПС, МКЦ доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Средства разграничения доступа к подключаемым устройствам, Средства межсетевого экранирования (astra-ufw-control), Защищенный комплекс программ печати и маркировки документов (cups), Дискреционное управление доступом. Дополнительно: МКЦ, ЗПС | РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов", п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.4.10 "Сетевое взаимодействие", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством", п.16 "Ограничение программной среды https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc | |
11 | Приказ 239 | ЗИС.3 | Эшелонированная защита информационной (автоматизированной) системы | + | + | + | + | + | + | Орг-тех.меры, МЭ, СОВ | Эшелонированная защита обеспечивается применением в информационной системе сертифицированных средств защиты информации, таких как средства сетевой защиты информации (межсетевые экраны, системы обнаружения/предотвращения вторжений), средства антивирусной защиты, средства для автоматизации по работе с событиями и инцидентами, применением операционной системы защищённого исполнения. На базовом уровне из состава ОС СН для построения эшелонированной защиты применяются механизмы контроля вывода информации на носители информации, контроля информационных потоков. Для повышения уровня защиты средствами ОС СН реализуется создание замкнутой программной среды и применение режима мандатного контроля целостности (режимы ЗПС, МКЦ доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Средства разграничения доступа к подключаемым устройствам, Средства межсетевого экранирования (astra-ufw-control), Защищенный комплекс программ печати и маркировки документов (cups), Дискреционное управление доступом. Дополнительно: МКЦ, ЗПС | РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов", п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.4.10 "Сетевое взаимодействие", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством", п.16 "Ограничение программной среды https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc | |
13 | Приказ 17 | ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Доверенный канал обеспечивается: - локально функциями аутентификации и сохранением контекста; - в ЛВС при сетевом доступе встроенными в ОС СН средствами создания защищенных каналов и (или) средствами организации ЕПП; - при межсетевом доступе внешними средствами создания защищенных каналов. | OpenVPN, СКЗИ, Средства организации ЕПП | РА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" РКСЗ.1: п.7.1 "Изоляция процессов" | ||||
13 | Приказ 21 | ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Доверенный канал обеспечивается: - локально функциями аутентификации и сохранением контекста; - в ЛВС при сетевом доступе встроенными в ОС СН средствами создания защищенных каналов и (или) средствами организации ЕПП; - при межсетевом доступе внешними средствами создания защищенных каналов. | OpenVPN, СКЗИ, Средства организации ЕПП | РА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" РКСЗ.1: п.7.1 "Изоляция процессов" | ||||
11 | Приказ 31 | ЗИС.4 | Сегментирование информационной (автоматизированной) системы | + | + | + | + | + | Орг-тех.меры, МЭ Дополнительно: Средства ОС СН | Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) | ||
11 | Приказ 239 | ЗИС.4 | Сегментирование информационной (автоматизированной) системы | + | + | + | + | + | Орг-тех.меры, МЭ Дополнительно: Средства ОС СН | Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) | ||
13 | Приказ 17 | ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | + | + | + 1 | + 1, 2 | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов. | Средства межсетевого экранирования (astra-ufw-control), дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом" РА.1: п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе с утилитами управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
13 | Приказ 21 | ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов. | Средства межсетевого экранирования (astra-ufw-control), дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом" РА.1: п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе с утилитами управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | ||||
11 | Приказ 31 | ЗИС.5 | Организация демилитаризованной зоны | + | + | + | - | - | - | Орг-тех.меры, МЭ | - | - | - | |
11 | Приказ 239 | ЗИС.5 | Организация демилитаризованной зоны | + | + | + | - | - | - | Орг-тех.меры, МЭ | - | - | - | |
13 | Приказ 17 | ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами | - | - | + | Орг-тех.меры (серт СКЗИ, МЭ и/или средств однонаправленной передачи информации, поддерживающими форматы атрибутов безопасности), Средства ОС СН | Защита реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Передача и контроль целостности атрибутов информации осуществляется ОС СН в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками - доступно только для режима "Смоленск"). Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением средств защиты канала передачи информации | Мандатное управление доступом (передача и контроль меток конфиденциальности при передаче информации по сети), Средства межсетевого экранирования (astra-ufw-control), СКЗИ (OpenVPN) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.4.10 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока" | ||||
13 | Приказ 21 | ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с персональными данными, при обмене ими с иными информационными системами | - | - | + | Орг-тех.меры (серт СКЗИ, МЭ и/или средств однонаправленной передачи информации, поддерживающими форматы атрибутов безопасности), Средства ОС СН, | Защита реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Передача и контроль целостности атрибутов информации осуществляется ОС СН в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками - доступно только для режима "Смоленск"). Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением средств защиты канала передачи информации | Мандатное управление доступом (передача и контроль меток конфиденциальности при передаче информации по сети), Средства межсетевого экранирования (astra-ufw-control), СКЗИ (OpenVPN) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.4.10 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока" | ||||
11 | Приказ 31 | ЗИС.6 | Управление сетевыми потоками | + | + | + | Сертифицированные МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | Фильтрацию сетевых потоков в ОС CН осуществляет встроенный в ядро ОС СН фильтр сетевых пакетов и монитор обращений. Управление сетевыми потоками в информационной системе (фильтрация, маршрутизация, контроль соединений) обеспечивается: - на уровне узла средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для режима "Смоленск"); - на уровне сетевого и межсетевого разграничения доступа - внешними средствами межсетевого экранирования, средствами однонаправленной передачи информации. | Средства межсетевого экранирования (astra-ufw-control) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие" | ||||
11 | Приказ 239 | ЗИС.6 | Управление сетевыми потоками | + | + | + | + | + | + | Сертифицированные МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | Фильтрацию сетевых потоков в ОС CН осуществляет встроенный в ядро ОС СН фильтр сетевых пакетов и монитор обращений. Управление сетевыми потоками в информационной системе (фильтрация, маршрутизация, контроль соединений) обеспечивается: - на уровне узла средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для режима "Смоленск"); - на уровне сетевого и межсетевого разграничения доступа - внешними средствами межсетевого экранирования, средствами однонаправленной передачи информации. | Средства межсетевого экранирования (astra-ufw-control) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие" | |
13 | Приказ 17 | ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | + 1 | + 1, 2 | - | + | + | Средства ОС СН + ОРД | В составе установочного диска ОС СН отсутствуют средства связанные с технологиями мобильного кода использующими Java, ActiveX, VBScript. Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничения программной среды, в частности созданием «замкнутой программной среды» (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | Средства аудита (auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock), ЗПС | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.4 "Функции безопасности системы" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) | ||
13 | Приказ 21 | ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | - | + | + | Средства ОС СН + ОРД | В составе установочного диска ОС СН отсутствуют средства связанные с технологиями мобильного кода использующими Java, ActiveX, VBScript. Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничения программной среды, в частности созданием «замкнутой программной среды» (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | Средства аудита (auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock), ЗПС | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.4 "Функции безопасности системы" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) | ||||
11 | Приказ 31 | ЗИС.7 | Использование эмулятора среды функционирования программного обеспечения ("песочница") | + | + | + | АВЗ, Средства ОС СН | Эмуляция среды функционирования реализуется средствами виртуализации. | Контейнерная изоляция (lxc, docker, firejail) | РКСЗ.1: п.5 "Защита среды виртуализации", п.2 "Идентификация и аутентификация" РА.1: п.9 "Виртуализация среды исполнения" https://wiki.astralinux.ru/x/XoU_Bw "Применение системы изоляции.." | ||||
11 | Приказ 239 | ЗИС.7 | Использование эмулятора среды функционирования программного обеспечения ("песочница") | + | + | + | АВЗ, Средства ОС СН | Эмуляция среды функционирования реализуется средствами виртуализации. | Контейнерная изоляция (lxc, docker, firejail) | РКСЗ.1: п.5 "Защита среды виртуализации", п.2 "Идентификация и аутентификация" РА.1: п.9 "Виртуализация среды исполнения" https://wiki.astralinux.ru/x/XoU_Bw "Применение системы изоляции.." | ||||
13 | Приказ 17 | ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | + | + | - | - | - | Орг-тех.меры, ОРД | - | - | - | ||
13 | Приказ 21 | ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | - | - | - | Орг-тех.меры, ОРД | - | - | - | ||||
11 | Приказ 31 | ЗИС.8 | Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы | + | + | + | - | - | - | Средства создания ложных информационных объектов, МЭ | - | - | - | |
11 | Приказ 239 | ЗИС.8 | Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы | + | + | + | - | - | - | Средства создания ложных информационных объектов,МЭ | - | - | - | |
13 | Приказ 17 | ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | + | + | - | - | - | Орг-тех.меры, ОРД | - | - | - | ||
13 | Приказ 21 | ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | - | - | - | Орг-тех.меры, ОРД | - | - | - | ||||
11 | Приказ 31 | ЗИС.9 | Создание гетерогенной среды | + | + | + | Орг-тех.меры, Средства ОС СН, Средства виртуализации | Возможность использования в информационной системе различных типов программного обеспечения реализуется с помощью использования виртуальной инфраструктуры, в составе которой возможно функционирование «недоверенных» гостевых операционных систем в доверенной среде ОС СН. | Средства виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | ||||
11 | Приказ 239 | ЗИС.9 | Создание гетерогенной среды | + | + | + | Орг-тех.меры, Средства ОС СН, Средства виртуализации | Возможность использования в информационной системе различных типов программного обеспечения реализуется с помощью использования виртуальной инфраструктуры, в составе которой возможно функционирование «недоверенных» гостевых операционных систем в доверенной среде ОС СН. | Средства виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | ||||
13 | Приказ 17 | ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам | + | + | + | Средства ОС СН | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | РА.1: п.6.5 "Служба DNS" https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9) | ||||
13 | Приказ 21 | ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам | + | + | + | Средства ОС СН | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | РА.1: п.6.5 "Служба DNS" https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9) | ||||
11 | Приказ 31 | ЗИС.10 | Использование программного обеспечения, функционирующего в средах различных операционных систем | - | - | - | Орг-тех.меры | - | - | - | ||||
11 | Приказ 239 | ЗИС.10 | Использование программного обеспечения, функционирующего в средах различных операционных систем | - | - | - | Орг-тех.меры | - | - | - | ||||
13 | Приказ 17 | ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | + | + 1 | + | + | + | Орг-тех.меры (СКЗИ, МЭ), Средства ОС СН | Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использованием защищенных каналов и проверкой целостности передаваемых пакетов совместно со средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. | OpenVPN, СКЗИ, Средства межсетевого экранирования (astra-ufw-control), Организация ЕПП (Kerberos) | РКСЗ.1: п.11 "Фильтрация сетевого потока" РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП" | ||
13 | Приказ 21 | ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | + | + | + | + | + | Орг-тех.меры (СКЗИ, МЭ), Средства ОС СН | Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использованием защищенных каналов и проверкой целостности передаваемых пакетов совместно со средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. | OpenVPN, СКЗИ, Средства межсетевого экранирования (astra-ufw-control), Организация ЕПП (Kerberos) | РКСЗ.1: п.11 "Фильтрация сетевого потока" РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП" | ||
11 | Приказ 31 | ЗИС.11 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | + | + | + | Средства ОС СН | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды" | ||||
11 | Приказ 239 | ЗИС.11 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | + | + | + | Средства ОС СН | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды" | ||||
13 | Приказ 17 | ЗИС.12 | Исключение возможности отрицания пользователем факта отправки информации другому пользователю | + | + | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | ||
13 | Приказ 21 | ЗИС.12 | Исключение возможности отрицания пользователем факта отправки персональных данных другому пользователю | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | ||||
11 | Приказ 31 | ЗИС.12 | Изоляция процессов (выполнение программ) в выделенной области памяти | + | + | + | Средства ОС СН | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | Изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов" | ||||
11 | Приказ 239 | ЗИС.12 | Изоляция процессов (выполнение программ) в выделенной области памяти | + | + | + | Средства ОС СН | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | Изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов" | ||||
13 | Приказ 17 | ЗИС.13 | Исключение возможности отрицания пользователем факта получения информации от другого пользователя | + | + | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | ||
13 | Приказ 21 | ЗИС.13 | Исключение возможности отрицания пользователем факта получения персональных данных от другого пользователя | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | ||||
11 | Приказ 31 | ЗИС.13 | Защита неизменяемых данных | + | + | + | + | + | Средства ОС СН | Защита файлов, не подлежащих изменению, реализуется на базовом уровне применением правил дискреционного разграничения доступа, на усиленном и максимальном уровне защиты - средствами мандатного контроля целостности объектов файловой системы и средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") совместно с дискреционным разграничением доступа. | Дискреционное управление доступом, Дополнительно: Контроль расширенных атрибутов (ЗПС), Мандатный контроль целостности (МКЦ) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды" | ||
11 | Приказ 239 | ЗИС.13 | Защита неизменяемых данных | + | + | + | + | + | Средства ОС СН, СКЗИ | Защита файлов, не подлежащих изменению, реализуется на базовом уровне применением правил дискреционного разграничения доступа, на усиленном и максимальном уровне защиты - средствами мандатного контроля целостности объектов файловой системы и средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") совместно с дискреционным разграничением доступа. | Контроль целостности (Afick), Дополнительно: Контроль расширенных атрибутов (ЗПС), Мандатный контроль целостности (МКЦ) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды" | ||
13 | Приказ 17 | ЗИС.14 | Использование устройств терминального доступа для обработки информации | + | + | + | Орг-тех.меры, СКЗИ, Средства ОС СН | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | https://wiki.astralinux.ru/x/EIQyAw | ||||
13 | Приказ 21 | ЗИС.14 | Использование устройств терминального доступа для обработки персональных данных | + | + | + | Орг-тех.меры, СКЗИ, Средства ОС СН | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | https://wiki.astralinux.ru/x/EIQyAw | ||||
11 | Приказ 31 | ЗИС.14 | Использование неперезаписываемых машинных носителей информации | - | - | - | Орг-тех.меры | - | - | - | ||||
11 | Приказ 239 | ЗИС.14 | Использование неперезаписываемых машинных носителей информации | - | - | - | Орг-тех.меры | - | - | - | ||||
13 | Приказ 17 | ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации | + | + | + | + | + | Средства ОС СН | Защита файлов, не подлежащих изменению, реализуется средствами контроля целостности объектов файловой системы, средствами ограничения программной среды (режим ЗПС -доступен в режимах ОС СН "Воронеж" и "Смоленск"), установкой правил разграничения доступа. | Контроль целостности (Afick), Дополнительно: Контроль расширенных атрибутов (ЗПС), МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды" | ||
13 | Приказ 21 | ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных | + | + | + | + | + | Средства ОС СН, СКЗИ | Защита файлов, не подлежащих изменению, реализуется средствами контроля целостности объектов файловой системы, средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), установкой правил разграничения доступа. | Контроль целостности (Afick), Дополнительно: Контроль расширенных атрибутов (ЗПС), МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды" | ||
11 | Приказ 31 | ЗИС.15 | Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек | - | - | - | Орг-тех.меры, Сторонние ПС | - | - | - | ||||
11 | Приказ 239 | ЗИС.15 | Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек | - | - | - | Орг-тех.меры, Сторонние ПС | - | - | - | ||||
13 | Приказ 17 | ЗИС.16 | Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов | - | - | + | Средства ОС СН | В ОС СН идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131. Условиями исключения скрытых каналов является реализуемая ОС СН политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой̆ областей оперативной̆ памяти и обеспечение запуска процессов в замкнутой̆ относительно остальных процессов среде по памяти (режимы МКЦ и механизм очистки освобождаемой внешней памяти доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Очистка памяти (secdel), режим киоска, блокировка запуска программ df,chattr,arp,ip | РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.4.11 "Блокировка запуска программ пользователя" | ||||
13 | Приказ 21 | ЗИС.16 | Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов | - | - | + | Средства ОС СН | В ОС СН идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131. Условиями исключения скрытых каналов является реализуемая ОС СН политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой̆ областей оперативной̆ памяти и обеспечение запуска процессов в замкнутой̆ относительно остальных процессов среде по памяти (режимы МКЦ и механизм очистки освобождаемой внешней памяти доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Очистка памяти (secdel), режим киоска, блокировка запуска программ df,chattr,arp,ip | РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.4.11 "Блокировка запуска программ пользователя" | ||||
11 | Приказ 31 | ЗИС.16 | Защита от спама | + | + | - | - | - | Сторонние ПС | - | - | - | ||
11 | Приказ 239 | ЗИС.16 | Защита от спама | + | + | - | - | - | Сторонние ПС | - | - | - | ||
13 | Приказ 17 | ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | + | + | - | - | - | Орг-тех.меры, МЭ | Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) | ||
13 | Приказ 21 | ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | + | + | - | - | - | Орг-тех.меры, МЭ | Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) | ||
11 | Приказ 31 | ЗИС.17 | Защита информации от утечек | + | + | + | Средства ОС СН, орг-тех.меры | На базовом уровне защита информации от утечек реализуется комплексным применением инструментов по защите машинных носителей информации, фильтрации сетевых потоков, вывода документов на печать в соответствии с установленными правилами разграничения доступа. На максимальном уровне защита информации от утечек реализуется дополнительным применением мандатного разграничения доступа с использованием классификационных меток при передаче информации по сети (фильтрации сетевых потоков), сопоставлении мандатного контекста пользователей с уровнем и категориями конфиденциальности, установленными для устройств, и маркировкой документов при их выводе на печать (мандатное управление доступом доступно только для режима "Смоленск"). | Средства разграничения доступа к подключаемым устройствам, Средства межсетевого экранирования (astra-ufw-control), Защищенный комплекс программ печати и маркировки документов (cups), Дискреционное управление доступом. Дополнительно: Мандатное управление доступом | РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов", п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.4.10 "Сетевое взаимодействие", п.12 "Маркировка документов", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc | ||||
11 | Приказ 239 | ЗИС.17 | Защита информации от утечек | + | + | + | Средства ОС СН, орг-тех.меры | На базовом уровне защита информации от утечек реализуется комплексным применением инструментов по защите машинных носителей информации, фильтрации сетевых потоков, вывода документов на печать в соответствии с установленными правилами разграничения доступа. На максимальном уровне защита информации от утечек реализуется дополнительным применением мандатного разграничения доступа с использованием классификационных меток при передаче информации по сети (фильтрации сетевых потоков), сопоставлении мандатного контекста пользователей с уровнем и категориями конфиденциальности, установленными для устройств, и маркировкой документов при их выводе на печать (мандатное управление доступом доступно только для режима "Смоленск"). | Средства разграничения доступа к подключаемым устройствам, Средства межсетевого экранирования (astra-ufw-control), Защищенный комплекс программ печати и маркировки документов (cups), Дискреционное управление доступом, Мандатное управление доступом | РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов", п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.4.10 "Сетевое взаимодействие", п.12 "Маркировка документов", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc | ||||
13 | Приказ 17 | ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения | - | + | + | Средства ОС СН, орг-тех.меры | Обеспечение загрузки и исполнения программного обеспечения и контроль целостности программного обеспечения осуществляется средствами управления доступом к подключаемым устройствам и средствами контроля целостности (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . | Средства разграничения доступа к подключаемым устройствам, Контроль целостности (Afick), ЗПС | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.16 "Ограничение программной среды", доп: п.16.4.21 "Включение на файловой системе режима работы "только чтение" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc | ||||
13 | Приказ 21 | ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспечения | - | + | + | Средства ОС СН, орг-тех.меры | Обеспечение загрузки и исполнения программного обеспечения и контроль целостности программного обеспечения осуществляется средствами управления доступом к подключаемым устройствам и средствами контроля целостности (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . | Средства разграничения доступа к подключаемым устройствам, Контроль целостности (Afick), ЗПС | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.16 "Ограничение программной среды", доп: п.16.4.21 "Включение на файловой системе режима работы "только чтение" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc | ||||
11 | Приказ 31 | ЗИС.18 | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию | + | + | + | Средства ОС СН, МЭ | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию, реализуется с помощью средств фильтрации сетевых потоков и защищенным комплексом программ гипертекстовой обработки данных. | Защищенный комплекс программ гипертекстовой обработки данных (Apache2), Фильтрация сетевого потока (astra-ufw-control) | РА.1: п.10 "Защищенный комплекс программ гипертекстовой обработки данных" РКСЗ.1: п.11 "Фильтрация сетевого потока" | ||||
11 | Приказ 239 | ЗИС.18 | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию | + | + | + | Средства ОС СН, МЭ | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию, реализуется с помощью средств фильтрации сетевых потоков и защищенным комплексом программ гипертекстовой обработки данных. | Защищенный комплекс программ гипертекстовой обработки данных (Apache2), Фильтрация сетевого потока (astra-ufw-control) | РА.1: п.10 "Защищенный комплекс программ гипертекстовой обработки данных" РКСЗ.1: п.11 "Фильтрация сетевого потока" | ||||
13 | Приказ 17 | ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | + | + | + | Средства ОС СН | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | Изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов" | ||||
13 | Приказ 21 | ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | + | + | + | Средства ОС СН | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | Изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов" | ||||
11 | Приказ 31 | ЗИС.19 | Защита информации при ее передаче по каналам связи | + | + | + | + | + | + | Орг-тех.меры (СКЗИ), ОРД, Средства ОС СН | Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использованием защищенных каналов, реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ, Средства контроля целостности (сервис электронной подписи) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.9.5 «Сервис электронной подписи» https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | |
11 | Приказ 239 | ЗИС.19 | Защита информации при ее передаче по каналам связи | + | + | + | + | + | + | Орг-тех.меры (СКЗИ), ОРД, Средства ОС СН | Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использованием защищенных каналов, реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ, Средства контроля целостности (сервис электронной подписи) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.9.5 «Сервис электронной подписи» https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | |
13 | Приказ 17 | ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Ограничение на использование в информационной системе беспроводных соединений реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступом и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе программой управления санкциями PolicyKit-1 | |
13 | Приказ 21 | ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Ограничение на использование в информационной системе беспроводных соединений реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступом и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе программой управления санкциями PolicyKit-1 | |
11 | Приказ 31 | ЗИС.20 | Обеспечение доверенных канала, маршрута | + | + | + | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Доверенный канал обеспечивается - локально функциями аутентификации и сохранением контекста; - в ЛВС при сетевом доступе встроенными в ОС СН средствами создания защищенных каналов и (или) средствами организации ЕПП; - при межсетевом доступе внешними средствами создания защищенных каналов. | OpenVPN, СКЗИ, Средства организации ЕПП | РА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные службы, состояния и команды" РКСЗ.1: п.7.1 "Изоляция процессов" | |
11 | Приказ 239 | ЗИС.20 | Обеспечение доверенных канала, маршрута | + | + | + | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Доверенный канал обеспечивается - локально функциями аутентификации и сохранением контекста; - в ЛВС при сетевом доступе встроенными в ОС СН средствами создания защищенных каналов и (или) средствами организации ЕПП; - при межсетевом доступе внешними средствами создания защищенных каналов. | OpenVPN, СКЗИ, Средства организации ЕПП | РА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные службы, состояния и команды" РКСЗ.1: п.7.1 "Изоляция процессов" | |
13 | Приказ 17 | ЗИС.21 | Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы | + | - | + | + | Средства ОС СН | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (механизм очистки освобождаемой внешней памяти доступен только для режимов ОС СН "Воронеж" и "Смоленск") и встроенного в ядро ОС СН механизма изоляции процессов. | Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки" | |||
11 | Приказ 31 | ЗИС.21 | Запрет несанкционированной удаленной активации периферийных устройств | + | + | + | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов. | Средства межсетевого экранирования (astra-ufw-control), дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом" РА.1: п.3 "Системные компоненты", п.4 "Системные службы, состояния и команды" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе с утилитами управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | |
11 | Приказ 239 | ЗИС.21 | Запрет несанкционированной удаленной активации периферийных устройств | + | + | + | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов. | Средства межсетевого экранирования (astra-ufw-control), дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом" РА.1: п.3 "Системные компоненты", п.4 "Системные службы, состояния и команды" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе с утилитами управления политикой̆ безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | |
13 | Приказ 17 | ЗИС.22 | Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Обеспечение защиты от угроз, направленных на отказ в обслуживании, реализуется в базовом режиме настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей, и, для обеспечения усиленной защиты, обеспечением замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). | Режим киоска, ограничивающие функции безопасности (механизмы защиты и блокировок) Дополнительно: ЗПС | РКСЗ.1: п.16 "Ограничение программной среды" https://wiki.astralinux.ru/x/LoKhAQ (Настройка механизмов защиты и блокировок) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) | ||
11 | Приказ 31 | ЗИС.22 | Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами | - | - | + | Орг-тех.меры (серт СКЗИ, МЭ и/или средств однонаправленной передачи информации, поддерживающими форматы атрибутов безопасности), Средства ОС СН | Передача и контроль целостности атрибутов информации осуществляется в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками - доступно только для режима ОС СН "Смоленск"). | Мандатное управление доступом (передача и контроль меток конфиденциальности при передаче информации по сети), Средства межсетевого экранирования (astra-ufw-control) СКЗИ (OpenVPN) | РКСЗ.1: п.4.2 "Мандатное управление доступом", п.4.10 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока" | ||||
11 | Приказ 239 | ЗИС.22 | Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами | - | - | + | Орг-тех.меры (серт СКЗИ, МЭ и/или средств однонаправленной передачи информации, поддерживающими форматы атрибутов безопасности), Средства ОС СН | Передача и контроль целостности атрибутов информации осуществляется в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками - доступно только для режима ОС СН "Смоленск"). | Мандатное управление доступом (передача и контроль меток конфиденциальности при передаче информации по сети), Средства межсетевого экранирования (astra-ufw-control) СКЗИ (OpenVPN) | РКСЗ.1: п.4.2 "Мандатное управление доступом", п.4.10 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока" | ||||
13 | Приказ 17 | ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями | + 1, 2, 3, 4а, 4б, 4в, 5 | + 1, 2, 3, 4а, 4б, 4в, 4г, 4д, 5, 6, 7 | - | - | - | Орг-тех.меры, МЭ, средства однонаправленной передачи, криптошлюзы | - | - | - | ||
11 | Приказ 31 | ЗИС.23 | Контроль использования мобильного кода | + | + | - | + | + | Средства ОС СН + ОРД | В составе установочного диска ОС СН отсутствуют средства связанные с технологиями мобильного кода использующими Java, ActiveX, VBScript. Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничения программной среды, в частности созданием «замкнутой программной среды» (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | Средства аудита (auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock), ЗПС | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.4 "Функции безопасности системы" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) | ||
11 | Приказ 239 | ЗИС.23 | Контроль использования мобильного кода | - | + | + | Средства ОС СН + ОРД | В составе установочного диска ОС СН отсутствуют средства связанные с технологиями мобильного кода использующими Java, ActiveX, VBScript. Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничения программной среды, в частности созданием «замкнутой программной среды» (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | Средства аудита (auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock), ЗПС | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.4 "Функции безопасности системы" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) | ||||
13 | Приказ 17 | ЗИС.24 | Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения | + | + | + | + | + | Орг-тех.меры, Средства ОС СН, Прикладное ПО | Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности обеспечивается применением средств организации домена, а также использованием сетевых и прикладных сервисов из состава ОС СН | Средства организации ЕПП (FreeIPA,ALD, Samba), Защищенный комплекс программ гипертекстовой обработки данных (Apache2), СУБД, Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.10 "Защищенный комплекс программ гипертекстовой обработки данных", п.12 "Защищенный комплекс программ печати и маркировки документов" ОП: п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП" РА.2 https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) | ||
11 | Приказ 31 | ЗИС.24 | Контроль передачи речевой информации | + | + | - | - | - | Орг-тех.меры, ОРД | - | - | - | ||
11 | Приказ 239 | ЗИС.24 | Контроль передачи речевой информации | - | - | - | Орг-тех.меры, ОРД | - | - | - | ||||
13 | Приказ 17 | ЗИС.25 | Использование в информационной системе или ее сегментах различных типов общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды) | + | + | + | Орг-тех.меры, Средства ОС СН, Средства виртуализации | Возможность использования в информационной системе различных типов программного обеспечения реализуется с помощью использования виртуальной инфраструктуры, в составе которой возможно функционирование «недоверенных» гостевых операционных систем в доверенной среде ОС СН | Средства виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | ||||
11 | Приказ 31 | ЗИС.25 | Контроль передачи видеоинформации | + | + | - | - | - | Орг-тех.меры, ОРД | - | - | - | ||
11 | Приказ 239 | ЗИС.25 | Контроль передачи видеоинформации | - | - | - | Орг-тех.меры, ОРД | - | - | - | ||||
13 | Приказ 17 | ЗИС.26 | Использование прикладного и специального программного обеспечения, имеющих возможность функционирования в средах различных операционных систем | - | - | - | Сторонние средства (ПО «клиент-серверной» архитектуры («тонкого» клиента), имеющих возможность функционирования в средах различных операционных систем) | - | - | - | ||||
11 | Приказ 31 | ЗИС.26 | Подтверждение происхождения источника информации | + | + | + | Средства ОС СН | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | РА.1: п.6.5 "Служба DNS" https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9) | ||||
11 | Приказ 239 | ЗИС.26 | Подтверждение происхождения источника информации | + | + | + | Средства ОС СН | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | РА.1: п.6.5 "Служба DNS" https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9) | ||||
13 | Приказ 17 | ЗИС.27 | Создание (эмуляция) ложных информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации | - | - | - | Средства создания ложных информационных объектов,МЭ | - | - | - | ||||
11 | Приказ 31 | ЗИС.27 | Обеспечение подлинности сетевых соединений | + | + | + | + | + | Орг-тех.меры (СКЗИ, МЭ), Средства ОС СН | Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использованием защищенных каналов и проверкой целостности передаваемых пакетов совместно со средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. | OpenVPN, СКЗИ, Средства межсетевого экранирования (astra-ufw-control), Организация ЕПП (Kerberos) | РКСЗ.1: п.11 "Фильтрация сетевого потока" РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП" | ||
11 | Приказ 239 | ЗИС.27 | Обеспечение подлинности сетевых соединений | + | + | + | + | + | Орг-тех.меры (СКЗИ, МЭ), Средства ОС СН | Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использованием защищенных каналов и проверкой целостности передаваемых пакетов совместно со средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. | OpenVPN, СКЗИ, Средства межсетевого экранирования (astra-ufw-control), Организация ЕПП (Kerberos) | РКСЗ.1: п.11 "Фильтрация сетевого потока" РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП" | ||
13 | Приказ 17 | ЗИС.28 | Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы | - | - | - | Средства создания ложных информационных объектов,МЭ | - | - | - | ||||
11 | Приказ 31 | ЗИС.28 | Исключение возможности отрицания отправки информации | + | + | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | ||
11 | Приказ 239 | ЗИС.28 | Исключение возможности отрицания отправки информации | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | ||||
13 | Приказ 17 | ЗИС.29 | Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системы | + | + | + | Орг-меры, Средства ОС СН | В случае возникновения отказов перевод информационной системы в заранее определенную конфигурацию осуществляется с использованием средств восстановления ОС СН и с применением наборов базовых конфигураций. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), средства управления конфигурациями (Ansible/Puppet/Foreman) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD", п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | ||||
11 | Приказ 31 | ЗИС.29 | Исключение возможности отрицания получения информации | + | + | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | ||
11 | Приказ 239 | ЗИС.29 | Исключение возможности отрицания получения информации | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | ||||
13 | Приказ 17 | ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе | + | + | + | + | + | + | Средства ОС СН, орг-меры | Защита реализуется в зависимости от мобильного технического средства (типа мобильного технического средства) мерами по идентификации и аутентификации в соответствии с ИАФ.1 и ИАФ.5, управлению доступом в соответствии с УПД.2, УПД.5, УПД.13 и УПД.15, ограничению программной среды в соответствии с ОПС.3, защите машинных носителей информации в соответствии с ЗНИ.1, ЗНИ.2, ЗНИ.4, ЗНИ.8, регистрации событий безопасности в соответствии с РСБ.1, РСБ.2, РСБ.3 и РСБ.5, контролю (анализу) защищенности в соответствии с АНЗ.1, АНЗ.2 и АНЗ.3, обеспечению целостности в соответствии с ОЦЛ.1. | Средства разграничения доступа к подключаемым устройствам, Средства затирания данных (dd, shred) | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |
11 | Приказ 31 | ЗИС.30 | Использование устройств терминального доступа | + | + | + | Орг-тех.меры, СКЗИ, Средства ОС СН | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | https://wiki.astralinux.ru/x/EIQyAw | ||||
11 | Приказ 239 | ЗИС.30 | Использование устройств терминального доступа | + | + | + | Орг-тех.меры, СКЗИ, Средства ОС СН | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | https://wiki.astralinux.ru/x/EIQyAw | ||||
11 | Приказ 31 | ЗИС.31 | Защита от скрытых каналов передачи информации | + | - | - | + | Средства ОС СН | В ОС СН идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131. Условиями исключения скрытых каналов является реализуемая ОС СН политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой̆ областей оперативной̆ памяти и обеспечение запуска процессов в замкнутой̆ относительно остальных процессов среде по памяти (режимы МКЦ, механизм очистки освобождаемой внешней памяти доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Очистка памяти (secdel), режим киоска, блокировка запуска программ df,chattr,arp,ip | РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.4.11 "Блокировка запуска программ пользователя" | |||
11 | Приказ 239 | ЗИС.31 | Защита от скрытых каналов передачи информации | - | - | + | Средства ОС СН | В ОС СН идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131. Условиями исключения скрытых каналов является реализуемая ОС СН политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой̆ областей оперативной̆ памяти и обеспечение запуска процессов в замкнутой̆ относительно остальных процессов среде по памяти (режимы МКЦ, механизм очистки освобождаемой внешней памяти доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Очистка памяти (secdel), режим киоска, блокировка запуска программ df,chattr,arp,ip | РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.4.11 "Блокировка запуска программ пользователя" | ||||
11 | Приказ 31 | ЗИС.32 | Защита беспроводных соединений | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Ограничение на использование в информационной системе беспроводных соединений реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступом и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе программой управления санкциями PolicyKit-1 | |
11 | Приказ 239 | ЗИС.32 | Защита беспроводных соединений | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Ограничение на использование в информационной системе беспроводных соединений реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступом и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе программой управления санкциями PolicyKit-1 | |
11 | Приказ 31 | ЗИС.33 | Исключение доступа через общие ресурсы | + | + | + | + | Средства ОС СН | Исключение доступа через общие ресурсы реализуется монитором обращений из состава ОС СН совместно с применением средств организации домена, а также применением мандатного управления доступом для максимального уровня защиты (мандатное управление доступом доступно только для режима "Смоленск"). | Средства организации ЕПП ( Samba), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом" | |||
11 | Приказ 239 | ЗИС.33 | Исключение доступа через общие ресурсы | + | + | + | + | Средства ОС СН | Исключение доступа через общие ресурсы реализуется монитором обращений из состава ОС СН совместно с применением средств организации домена, а также применением мандатного управления доступом для максимального уровня защиты (мандатное управление доступом доступно только для режима "Смоленск"). | Средства организации ЕПП ( Samba), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом" | |||
11 | Приказ 31 | ЗИС.34 | Защита от угроз отказа в обслуживании (DOS, DDOS-атак) | + | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Обеспечение защиты от угроз, направленных на отказ в обслуживании, реализуется в базовом режиме настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей, и, для обеспечения усиленной защиты, обеспечением замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). | Режим киоска, ограничивающие функции безопасности (механизмы защиты и блокировок) Дополнительно: ЗПС | РКСЗ.1: п.16 "Ограничение программной среды" https://wiki.astralinux.ru/x/LoKhAQ (Настройка механизмов защиты и блокировок) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) | |
11 | Приказ 239 | ЗИС.34 | Защита от угроз отказа в обслуживании (DOS, DDOS-атак) | + | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Обеспечение защиты от угроз, направленных на отказ в обслуживании, реализуется в базовом режиме настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей, и, для обеспечения усиленной защиты, обеспечением замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). | Режим киоска, ограничивающие функции безопасности (механизмы защиты и блокировок) Дополнительно: ЗПС | РКСЗ.1: п.16 "Ограничение программной среды" https://wiki.astralinux.ru/x/LoKhAQ (Настройка механизмов защиты и блокировок) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) | |
11 | Приказ 31 | ЗИС.35 | Управление сетевыми соединениями | + | + | + | + | + | Средства ОС СН, ОРД., Сертифицированные МЭ | Управление сетевыми соединениями обеспечивается средствами ОС СН, реализующими функции управления базовыми сетевыми службами, а также функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. | Базовые сетевые службы, Средства межсетевого экранирования (astra-ufw-control) | РА.1: п.6 Базовые сетевые службы, РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие" | ||
11 | Приказ 239 | ЗИС.35 | Управление сетевыми соединениями | + | + | + | + | + | + | Средства ОС СН, ОРД., Сертифицированные МЭ | Управление сетевыми соединениями обеспечивается средствами ОС СН, реализующими функции управления базовыми сетевыми службами, а также функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. | Базовые сетевые службы, Средства межсетевого экранирования (astra-ufw-control) | РА.1: п.6 Базовые сетевые службы, РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие" | |
11 | Приказ 31 | ЗИС.36 | Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем | - | - | - | Средства создания ложных информационных объектов, МЭ | - | - | - | ||||
11 | Приказ 239 | ЗИС.36 | Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем | - | - | - | Средства создания ложных информационных объектов,МЭ | - | - | - | ||||
11 | Приказ 31 | ЗИС.37 | Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев) | + | + | + | Орг-меры, Средства ОС СН | В случае возникновения отказов перевод информационной системы осуществляется с использованием средств восстановления ОС СН и с применением наборов базовых конфигураций. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), средства управления конфигурациями (Ansible/Puppet/Foreman) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD", п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | ||||
11 | Приказ 239 | ЗИС.37 | Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев) | + | + | + | Орг-меры, Средства ОС СН | В случае возникновения отказов перевод информационной системы осуществляется с использованием средств восстановления ОС СН и с применением наборов базовых конфигураций. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), средства управления конфигурациями (Ansible/Puppet/Foreman) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD", п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | ||||
11 | Приказ 31 | ЗИС.38 | Защита информации при использовании мобильных устройств | + | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Защита реализуется в соответствии с политикой управления доступом и правилами разграничения доступа к внешним машинным носителям. | Средства разграничения доступа к подключаемым устройствам | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |
11 | Приказ 239 | ЗИС.38 | Защита информации при использовании мобильных устройств | + | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Защита реализуется в соответствии с политикой управления доступом и правилами разграничения доступа к внешним машинным носителям. | Средства разграничения доступа к подключаемым устройствам | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |
11 | Приказ 31 | ЗИС.39 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | + | + | + | + | Средства ОС СН | Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации. | Защита среды виртуализации | РКСЗ.1: п.3 "Дискреционное управление доступом", п.5 "Защита среды виртуализации" РА.1: п.9 "Виртуализация среды исполнения" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |
11 | Приказ 239 | ЗИС.39 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | + | + | + | + | Средства ОС СН | Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации. | Защита среды виртуализации | РКСЗ.1: п.3 "Дискреционное управление доступом", п.5 "Защита среды виртуализации" РА.1: п.9 "Виртуализация среды исполнения" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |
11 | Приказ 17 | XI. Защита среды виртуализации (ЗСВ) | ||||||||||||
11 | Приказ 21 | XI. Защита среды виртуализации (ЗСВ) | ||||||||||||
11 | Приказ 17 | ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + | + | + 1 | + 1 | + | + | + | Средства ОС СН | Идентификация и аутентификация в виртуальной инфраструктуре осуществляется согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7. | Защита среды виртуализации, Идентификация и аутентификация, Cредства виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации", п.2 "Идентификация и аутентификация" РА.1: п.9 "Виртуализация среды исполнения" |
11 | Приказ 21 | ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + | + | + | + | + | + | + | Средства ОС СН | Идентификация и аутентификация в виртуальной инфраструктуре осуществляется согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7. | Защита среды виртуализации, Идентификация и аутентификация, Cредства виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации", п.2 "Идентификация и аутентификация" РА.1: п.9 "Виртуализация среды исполнения" |
11 | Приказ 17 | ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + | + 1, 2 | + 1, 2 | + 1, 2 | + | + | + | Средства ОС СН | Управление доступом осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13 с использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. | Защита среды виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) |
11 | Приказ 21 | ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + | + | + | + | + | + | + | Средства ОС СН | Управление доступом осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13 с использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. | Защита среды виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) |
11 | Приказ 17 | ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + | + | + | + | + | + | Средства ОС СН | Регистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5 с использованием интерфейсов управления средствами виртуализации, штатных средств протоколирования и аудита. | Защита среды виртуализации, средства аудита (auditd, zabbix) | РКСЗ.1: п.5 "Защита среды виртуализации" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
11 | Приказ 21 | ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + | + | + | + | + | + | Средства ОС СН | Регистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5 с использованием интерфейсов управления средствами виртуализации, штатных средств протоколирования и аудита. | Защита среды виртуализации, средства аудита (auditd, zabbix) | РКСЗ.1: п.5 "Защита среды виртуализации" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
11 | Приказ 17 | ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | + | + 1, 2 | + | + | + | Средства ОС СН, МЭ, СКЗИ | Управление информационными потоками осуществляется согласно УПД.3, ЗИС.3с использованием встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений, технологий KVM, средствами создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables) и средств управления виртуальной инфраструктурой. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. | Средства виртуализации (Libvirt), фильтрация сетевого потока, средства аудита (auditd, zabbix) | РКСЗ.1: п.5 "Защита среды виртуализации" РКСЗ.1: п.11 "Фильтрация сетевого потока" | ||
11 | Приказ 21 | ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | + | + | + | Средства ОС СН, МЭ, СКЗИ | Управление информационными потоками осуществляется согласно УПД.3, ЗИС.3с использованием встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений, технологий KVM, средствами создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables) и средств управления виртуальной инфраструктурой. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. | Средства виртуализации (Libvirt), фильтрация сетевого потока, средства аудита (auditd, zabbix) | РКСЗ.1: п.5 "Защита среды виртуализации" РКСЗ.1: п.11 "Фильтрация сетевого потока" | ||||
11 | Приказ 17 | ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | - | + | + | Средства ОС СН, СДЗ | Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), настройками подсистемы эмуляции аппаратного обеспечения и контролем целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузки. | Контроль целостности (Afick), гипервизор KVM, подсистема Qemu ЗПС | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | ||||
11 | Приказ 21 | ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | - | + | + | Средства ОС СН, СДЗ | Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), настройками подсистемы эмуляции аппаратного обеспечения и контролем целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузки. | Контроль целостности (Afick), гипервизор KVM, подсистема Qemu ЗПС | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | ||||
11 | Приказ 17 | ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + 1 | + 1, 2 | + | + | + | Орг.меры, Средства ОС СН | Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации. | Средства виртуализации (Libvirt), Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.5 "Защита среды виртуализации" РА.1: п.9 "Виртуализация среды исполнения", п.4.3.2 "Администрирование многопользовательской и многозадачной среды" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | ||
11 | Приказ 21 | ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | + | + | + | Орг.меры, Средства ОС СН | Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации. | Средства виртуализации (Libvirt), Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.5 "Защита среды виртуализации" РА.1: п.9 "Виртуализация среды исполнения", п.4.3.2 "Администрирование многопользовательской и многозадачной среды" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | ||
11 | Приказ 17 | ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | + 3 | + 1, 3 | + | + | + | Средства ОС СН | Контроль целостности виртуальной инфраструктуры и ее конфигураций реализуется средствами создания замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") , настройками подсистемы эмуляции аппаратного обеспечения и контролем целостности образов виртуальных машин. | Контроль целостности (Afick), гипервизор KVM, подсистема Qemu, («read-only режим» с контролем целостности файлов образов ВМ) Дополнительно: ЗПС | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | ||
11 | Приказ 21 | ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | + | + | + | + | + | Средства ОС СН | Контроль целостности виртуальной инфраструктуры и ее конфигураций реализуется средствами создания замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") , настройками подсистемы эмуляции аппаратного обеспечения и контролем целостности образов виртуальных машин. | Контроль целостности (Afick), гипервизор KVM, подсистема Qemu, («read-only режим» с контролем целостности файлов образов ВМ) Дополнительно: ЗПС | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | ||
11 | Приказ 17 | ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | + | + 1, 2, 3 | + | + | + | Орг-тех.меры, Средства ОС СН | Резервное копирование реализуется с использованием встроенных в ОС СН средства резервного копирования, средств кластеризации и создания распределенных хранилищ информации. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||
11 | Приказ 21 | ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Резервное копирование реализуется с использованием встроенных в ОС СН средства резервного копирования, средств кластеризации и создания распределенных хранилищ информации. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||
11 | Приказ 17 | ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + | + 1 | + 1 | - | - | - | САВЗ | - | - | - | |
11 | Приказ 21 | ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + | + | + | - | - | - | САВЗ | - | - | - | |
11 | Приказ 17 | ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей | + | + | + 2 | + | + | + | Орг-тех.меры, Средства ОС СН | Разбиение виртуальной инфраструктуры на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec). Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) | |
11 | Приказ 21 | ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | + | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Разбиение виртуальной инфраструктуры на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec). Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) | |
14 | Приказ 21 | XIV. Выявление инцидентов и реагирование на них (ИНЦ) | ||||||||||||
12 | Приказ 31 | XII. Реагирование на компьютерные инциденты (ИНЦ) | ||||||||||||
12 | Приказ 239 | XII. Реагирование на компьютерные инциденты (ИНЦ) | ||||||||||||
12 | Приказ 31 | ИНЦ.0 | Разработка политики реагирования на компьютерные инциденты | + | + | + | - | - | - | Орг.меры | - | - | - | |
12 | Приказ 239 | ИНЦ.0 | Регламентация правил и процедур реагирования на компьютерные инциденты | + | + | + | - | - | - | Орг.меры | - | - | - | |
14 | Приказ 21 | ИНЦ.1 | Определение лиц, ответственных за выявление инцидентов и реагирование на них | + | + | - | - | - | Орг.меры | - | - | - | ||
12 | Приказ 31 | ИНЦ.1 | Выявление компьютерных инцидентов | + | + | + | + | + | + | Средства ОС СН, SIEM | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | |
12 | Приказ 239 | ИНЦ.1 | Выявление компьютерных инцидентов | + | + | + | + | + | + | Средства ОС СН, SIEM | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | |
14 | Приказ 21 | ИНЦ.2 | Обнаружение, идентификация и регистрация инцидентов | + | + | + | + | + | Средства ОС СН, SIEM | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | ||
12 | Приказ 31 | ИНЦ.2 | Информирование о компьютерных инцидентах | + | + | + | + | + | + | Средства ОС СН, SIEM | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | |
12 | Приказ 239 | ИНЦ.2 | Информирование о компьютерных инцидентах | + | + | + | + | + | + | Средства ОС СН, SIEM | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | |
14 | Приказ 21 | ИНЦ.3 | Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами | + | + | - | - | - | Орг.меры | - | - | - | ||
12 | Приказ 31 | ИНЦ.3 | Анализ компьютерных инцидентов | + | + | + | + | + | + | Средства ОС СН, SIEM | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | |
12 | Приказ 239 | ИНЦ.3 | Анализ компьютерных инцидентов | + | + | + | + | + | + | Средства ОС СН, SIEM | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | |
14 | Приказ 21 | ИНЦ.4 | Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий | + | + | - | - | - | Орг.меры | - | - | - | ||
12 | Приказ 31 | ИНЦ.4 | Устранение последствий компьютерных инцидентов | + | + | + | - | - | - | Орг.меры | - | - | - | |
12 | Приказ 239 | ИНЦ.4 | Устранение последствий компьютерных инцидентов | + | + | + | - | - | - | Орг.меры | - | - | - | |
14 | Приказ 21 | ИНЦ.5 | Принятие мер по устранению последствий инцидентов | + | + | - | - | - | Орг.меры | - | - | - | ||
12 | Приказ 31 | ИНЦ.5 | Принятие мер по предотвращению повторного возникновения компьютерных инцидентов | + | + | + | - | - | - | Орг.меры | - | - | - | |
12 | Приказ 239 | ИНЦ.5 | Принятие мер по предотвращению повторного возникновения компьютерных инцидентов | + | + | + | - | - | - | Орг.меры | - | - | - | |
14 | Приказ 21 | ИНЦ.6 | Планирование и принятие мер по предотвращению повторного возникновения инцидентов | + | + | - | - | - | Орг.меры | - | - | - | ||
12 | Приказ 31 | ИНЦ.6 | Хранение и защита информации о компьютерных инцидентах | + | + | + | + | Средства ОС СН, SIEM | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | |||
12 | Приказ 239 | ИНЦ.6 | Хранение и защита информации о компьютерных инцидентах | + | + | + | + | + | + | Средства ОС СН, SIEM | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | |
15 | Приказ 21 | XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | ||||||||||||
13 | Приказ 31 | XIII. Управление конфигурацией (УКФ) | ||||||||||||
13 | Приказ 239 | XIII. Управление конфигурацией (УКФ) | ||||||||||||
13 | Приказ 31 | УКФ.0 | Разработка политики управления конфигурацией информационной (автоматизированной) системы | + | + | + | - | - | - | Орг.меры | - | - | - | |
13 | Приказ 239 | УКФ.0 | Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы | + | + | + | - | - | - | Орг.меры | - | - | - | |
15 | Приказ 21 | УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | + | + | + | - | - | - | Орг.меры | - | - | - | |
13 | Приказ 31 | УКФ.1 | Идентификация объектов управления конфигурацией | - | - | - | Орг.меры | - | - | - | ||||
13 | Приказ 239 | УКФ.1 | Идентификация объектов управления конфигурацией | - | - | - | Орг.меры | - | - | - | ||||
15 | Приказ 21 | УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты персональных данных | + | + | + | + | + | + | Средства ОС СН | Управление изменениями конфигурации, применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы c использованием программных средств управления конфигурациями. Управление изменениями осуществляется в соответствии с установленными правилами разграничения доступа, изменения учитываются при регистрации событий безопасности, связанных с этими изменениями. | Cредства управления конфигурациями (Ansible/Puppet/Foreman), Средства аудита (auditd, zabbix) | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible", п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
13 | Приказ 31 | УКФ.2 | Управление изменениями | + | + | + | + | + | + | Средства ОС СН | Управление изменениями конфигурации, применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы c использованием программных средств управления конфигурациями. Управление изменениями осуществляется в соответствии с установленными правилами разграничения доступа, изменения учитываются при регистрации событий безопасности, связанных с этими изменениями. | Cредства управления конфигурациями (Ansible/Puppet/Foreman), Средства аудита (auditd, zabbix) | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible", п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
13 | Приказ 239 | УКФ.2 | Управление изменениями | + | + | + | + | + | + | Средства ОС СН | Управление изменениями конфигурации, применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы c использованием программных средств управления конфигурациями. Управление изменениями осуществляется в соответствии с установленными правилами разграничения доступа, изменения учитываются при регистрации событий безопасности, связанных с этими изменениями. | Cредства управления конфигурациями (Ansible/Puppet/Foreman), Средства аудита (auditd, zabbix) | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible", п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
15 | Приказ 21 | УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | + | + | + | - | - | - | Орг.меры | - | - | - | |
13 | Приказ 31 | УКФ.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения | + | + | + | + | + | + | Средства ОС СН + ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. | Управление программными пакетами (synaptik), проверка целостности системы (fly-admin-int-check) Дополнительно: доверенный репозиторий (ЗПС) | РА.1: п.5 "Управление программными пакетами" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев») https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |
13 | Приказ 239 | УКФ.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения | + | + | + | + | + | + | Средства ОС СН + ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. | Управление программными пакетами (synaptik), проверка целостности системы (fly-admin-int-check) Дополнительно: доверенный репозиторий (ЗПС) | РА.1: п.5 "Управление программными пакетами" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев») https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |
15 | Приказ 21 | УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных | + | + | + | - | - | - | Орг.меры | - | - | - | |
13 | Приказ 31 | УКФ.4 | Контроль действий по внесению изменений | + | + | + | Орг.меры, Средства ОС СН | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности. Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | ||||
13 | Приказ 239 | УКФ.4 | Контроль действий по внесению изменений | + | + | + | Орг.меры, Средства ОС СН | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности. Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | ||||
14 | Приказ 31 | XIV. Управление обновлениями программного обеспечения (ОПО) | ||||||||||||
14 | Приказ 239 | XIV. Управление обновлениями программного обеспечения (ОПО) | ||||||||||||
14 | Приказ 31 | ОПО.0 | Разработка политики управления обновлениями программного обеспечения | + | + | + | - | - | - | Орг.меры | - | - | - | |
14 | Приказ 239 | ОПО.0 | Регламентация правил и процедур управления обновлениями программного обеспечения | + | + | + | - | - | - | Орг.меры | - | - | - | |
14 | Приказ 31 | ОПО.1 | Поиск, получение обновлений программного обеспечения от доверенного источника | + | + | + | + | + | + | Средства ОС СН + ОРД | Обновление безопасности производится администратором согласно документации на ОС СН. Источником обновлений ОС СН в соответствии с требованиями нормативных документов ФСТЭК России является официальный интернет-ресурс разработчика. | Обновление ОС | ОП: п.3 "Порядок обновления ОС" https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для ОС СН) Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update | |
14 | Приказ 239 | ОПО.1 | Поиск, получение обновлений программного обеспечения от доверенного источника | + | + | + | + | + | + | Средства ОС СН + ОРД | Обновление безопасности производится администратором согласно документации на ОС СН. Источником обновлений ОС СН в соответствии с требованиями нормативных документов ФСТЭК России является официальный интернет-ресурс разработчика. | Обновление ОС | ОП: п.3 "Порядок обновления ОС" https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для ОС СН) Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update | |
14 | Приказ 31 | ОПО.2 | Контроль целостности обновлений программного обеспечения | + | + | + | + | + | + | Средства ОС СН + ОРД | Контроль целостности обновлений безопасности в составе информационных (автоматизированных) систем потребителей осуществляется следующим порядком: - до установки обновления — проведением проверки электронной подписи обновления; - после установки обновления — проведением динамического контроля целостности файлов с использованием электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности с использованием функции хэширования и сверки полученного значения с эталонным, указанным в специальном файле с контрольными суммами, входящем в состав обновлений безопасности. Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы c использованием программных средств управления конфигурациями. | Обновление ОС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.3 "Порядок обновления ОС", п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Редактор репозиториев) https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |
14 | Приказ 239 | ОПО.2 | Контроль целостности обновлений программного обеспечения | + | + | + | + | + | + | Средства ОС СН + ОРД | Контроль целостности обновлений безопасности в составе информационных (автоматизированных) систем потребителей осуществляется следующим порядком: - до установки обновления — проведением проверки электронной подписи обновления; - после установки обновления — проведением динамического контроля целостности файлов с использованием электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности с использованием функции хэширования и сверки полученного значения с эталонным, указанным в специальном файле с контрольными суммами, входящем в состав обновлений безопасности. Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы c использованием программных средств управления конфигурациями. | Обновление ОС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.3 "Порядок обновления ОС", п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Редактор репозиториев) https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |
14 | Приказ 31 | ОПО.3 | Тестирование обновлений программного обеспечения | + | + | + | + | + | + | Средства ОС СН + ОРД | Контроль работоспособности встроенного комплекса средств защиты информации ОС СН осуществляется с помощью автоматического и регламентного тестирования функций безопасности. | Тестирование СЗИ | РКСЗ.2 | |
14 | Приказ 239 | ОПО.3 | Тестирование обновлений программного обеспечения | + | + | + | + | + | + | Средства ОС СН + ОРД | Контроль работоспособности встроенного комплекса средств защиты информации ОС СН осуществляется с помощью автоматического и регламентного тестирования функций безопасности. | Тестирование СЗИ | РКСЗ.2 | |
14 | Приказ 31 | ОПО.4 | Установка обновлений программного обеспечения | + | + | + | + | + | + | Средства ОС СН + ОРД | Обновление безопасности производится администратором согласно документации на ОС СН в ручном или автоматическом режиме. | Обновление ОС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.3 "Порядок обновления ОС", п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Редактор репозиториев) https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |
14 | Приказ 239 | ОПО.4 | Установка обновлений программного обеспечения | + | + | + | + | + | + | Средства ОС СН + ОРД | Обновление безопасности производится администратором согласно документации на ОС СН в ручном или автоматическом режиме. | Обновление ОС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum_from_deb), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.3 "Порядок обновления ОС", п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Редактор репозиториев) https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/JInNAw (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |
15 | Приказ 31 | XV. Планирование мероприятий по обеспечению безопасности (ПЛН) | ||||||||||||
15 | Приказ 239 | XV. Планирование мероприятий по обеспечению безопасности (ПЛН) | ||||||||||||
15 | Приказ 31 | ПЛН.0 | Разработка политики планирования мероприятий по обеспечению защиты информации | + | + | + | - | - | - | Орг.меры | - | - | - | |
15 | Приказ 239 | ПЛН.0 | Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации | + | + | + | - | - | - | Орг.меры | - | - | - | |
15 | Приказ 31 | ПЛН.1 | Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации | + | + | + | - | - | - | Орг.меры | - | - | - | |
15 | Приказ 239 | ПЛН.1 | Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации | + | + | + | - | - | - | Орг.меры | - | - | - | |
15 | Приказ 31 | ПЛН.2 | Контроль выполнения мероприятий по обеспечению защиты информации | + | + | + | - | - | - | Орг.меры | - | - | - | |
15 | Приказ 239 | ПЛН.2 | Контроль выполнения мероприятий по обеспечению защиты информации | + | + | + | - | - | - | Орг.меры | - | - | - | |
16 | Приказ 31 | XVI. Обеспечение действий в нештатных ситуациях (ДНС) | ||||||||||||
16 | Приказ 239 | XVI. Обеспечение действий в нештатных ситуациях (ДНС) | ||||||||||||
16 | Приказ 31 | ДНС.0 | Разработка политики обеспечения действий в нештатных ситуациях | + | + | + | - | - | - | Орг.меры | - | - | - | |
16 | Приказ 239 | ДНС.0 | Регламентация правил и процедур обеспечения действий в нештатных ситуациях | + | + | + | - | - | - | Орг.меры | - | - | - | |
16 | Приказ 31 | ДНС.1 | Разработка плана действий в нештатных ситуациях | + | + | + | - | - | - | Орг.меры | - | - | - | |
16 | Приказ 239 | ДНС.1 | Разработка плана действий в нештатных ситуациях | + | + | + | - | - | - | Орг.меры | - | - | - | |
16 | Приказ 31 | ДНС.2 | Обучение и отработка действий персонала в нештатных ситуациях | + | + | + | - | - | - | Орг.меры | - | - | - | |
16 | Приказ 239 | ДНС.2 | Обучение и отработка действий персонала в нештатных ситуациях | + | + | + | - | - | - | Орг.меры | - | - | - | |
16 | Приказ 31 | ДНС.3 | Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций | + | + | - | - | - | Орг-тех.меры | - | - | - | ||
16 | Приказ 239 | ДНС.3 | Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций | + | + | - | - | - | Орг-тех.меры | - | - | - | ||
16 | Приказ 31 | ДНС.4 | Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||
16 | Приказ 239 | ДНС.4 | Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||
16 | Приказ 31 | ДНС.5 | Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron | |
16 | Приказ 239 | ДНС.5 | Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron | ||
16 | Приказ 31 | ДНС.6 | Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения | + | + | + | - | - | - | Орг.меры | - | - | - | |
16 | Приказ 239 | ДНС.6 | Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения | + | + | + | - | - | - | Орг.меры | - | - | - | |
17 | Приказ 31 | XVII. Информирование и обучение персонала (ИПО) | ||||||||||||
17 | Приказ 239 | XVII. Информирование и обучение персонала (ИПО) | ||||||||||||
17 | Приказ 31 | ИПО.0 | Разработка политики информирования и обучения персонала | + | + | + | - | - | - | Орг.меры | - | - | - | |
17 | Приказ 239 | ИПО.0 | Регламентация правил и процедур информирования и обучения персонала | + | + | + | - | - | - | Орг.меры | - | - | - | |
17 | Приказ 31 | ИПО.1 | Информирование персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + | - | - | - | Орг.меры | - | - | - | |
17 | Приказ 239 | ИПО.1 | Информирование персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + | - | - | - | Орг.меры | - | - | - | |
17 | Приказ 31 | ИПО.2 | Обучение персонала правилам безопасной работы | + | + | + | - | - | - | Орг.меры | - | - | - | |
17 | Приказ 239 | ИПО.2 | Обучение персонала правилам безопасной работы | + | + | + | - | - | - | Орг.меры | - | - | - | |
17 | Приказ 31 | ИПО.3 | Проведение практических занятий с персоналом по правилам безопасной работы | + | + | - | - | - | Орг.меры | - | - | - | ||
17 | Приказ 239 | ИПО.3 | Проведение практических занятий с персоналом по правилам безопасной работы | + | + | - | - | - | Орг.меры | - | - | - | ||
17 | Приказ 31 | ИПО.4 | Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + | - | - | - | Орг.меры | - | - | - | |
17 | Приказ 239 | ИПО.4 | Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + | - | - | - | Орг.меры | - | - | - |