Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 17 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7 (ОС СН)
Меры защиты информации в информационных системах | Классы защищенности ГИС | Режимы ОС СН | Средства реализации | Способ реализации меры защиты с использованием штатных средств ОС СН | Компоненты ОС СН | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации ОС СН | ||||||
Раздел | Код | Меры защиты информации | 3 | 2 | 1 | Базовый | Усиленный | Максимальный | ||||
1 | I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||||||||||
1 | ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + | + 1а, 2а, 3 | + 1а, 2а, 3, 4 | + | + | + | Средства ОС СН + Орг. Меры + ОРД + СДЗ, токены | Идентификация и аутентификация пользователей осуществляется локально (по pam) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | + | + | + | + | + | Средства ОС СН + ОРД | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация устройств реализуется средствами ОС СН с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, регистрация устройств локально (fly-admin-smc) и централизованно (FreeIPA, ALD), Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.12.4 Настройка принтера и управления печатью, п.17 "Средства разграничения доступа к подключаемым носителям" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc | |
1 | ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + 1а, 2а | + 1а, 2а | + 1б, 2б | + | + | + | Средства ОС СН + Орг.Меры + ОРД | Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD). Управление устройствами локально (fly-admin-smc) и в домене (FreeIPA,ALD) | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + 1б | + 1в | + 1г | + | + | + | Средства ОС СН + Орг.Меры + ОРД При необходимости: СДЗ, токены | Управление средствами аутентификации осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012 При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) Дополнительно: средства поддержки двухфакторной аутентификации | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + | + | + | + | + | + | Средства ОС СН | Защита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсе средствами ОС СН по умолчанию. | Защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | РП:1: п.2.1 "Графический вход в систему" Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm |
1 | ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + | + | + | + | + | + | Средства ОС СН + Орг. Меры + ОРД При необходимости: СДЗ, токены | Идентификация и аутентификация внешних пользователей осуществляется локально или централизованно с помощью организации единого пространства пользователей. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.7 | Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа | - | + | + | Средства ОС СН | Идентификация всех объектов и устройств и применение результатов идентификации производится ОС СН по умолчанию в том числе при реализации механизмов управления доступом, контроля целостности, резервного копирования и регистрации событий безопасности, связанных с этими объектами доступа. Аутентификация запускаемых и исполняемых модулей реализуется с использованием механизма контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнения (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . Аутентификация объектов файловой системы, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа реализуется с использованием механизма контроля целостности файлов при их открытии на основе ЭП в расширенных атрибутах файловой системы (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . | Контроль исполняемых файлов (ЗПС) Контроль расширенных атрибутов (ЗПС) | ОП: п.4.1.9 "Контроль целостности", п.4.1.10.1 "Замкнутая программная среда", п.4.1.10.2 "Системные ограничения и блокировки" РКСЗ.1: п.2 "Идентификация и аутентификация", п.16.1 "Замкнутая программная среда" | |||
2 | II. Управление доступом субъектов доступа к объектам доступа (УПД) | |||||||||||
2 | УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + 1,2 | + 1, 2, 3а | + 1, 2, 3б | + | + | + | Средства ОС СН + ОРД | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. | Управление локальными пользователями (fly-admin-smc), Управление доменным пользователями (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/R4AS (ALD) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + 1, 2, 3 | + 1, 2, 3 | + 1, 2, 3, 4 | + | + | + | Средства ОС СН + ОРД | Монитор обращений из состава ОС СН предусматривает дискреционное, мандатное (мандатное управление доступом доступно только для режима "Смоленск") и ролевое управление доступом, а также реализацию мандатного контроля целостности (режим МКЦ доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. Разделение полномочий (ролей) пользователей, назначение минимально необходимых прав и привилегий осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией. | Дискреционное управление доступом, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA) Дополнительно: мандатное управление доступом, МКЦ, управление доступом в БД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД" |
2 | УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + | + | + | + | + | МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | Управление информационными потоками осуществляется с использованием встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для режима "Смоленск»). | Средства межсетевого экранирования (astra-ufw-control) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие" | |
2 | УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + | + | + 1 | + | + | + | ОРД + Средства ОС СН | Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + | + | + 1 | + | + | + | Средства ОС СН + ОРД | Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + | + | + 1 | + | + | + | Средства ОС СН + ОРД | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.7 | Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации | - | - | - | Сторонними программными средствами | - | - | - | |||
2 | УПД.8 | Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему | + | + | + | Средства ОС СН | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | Средства управление рабочим столом Fly (fly-notify-prevlogin) | РА.1: п.11.6 "Рабочий стол Fly" см. Вывод уведомления о предыдущем входе в систему https://wiki.astralinux.ru/x/eoxsAw (fly-notify-prevlogin) | |||
2 | УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы | + 1а, 3 | + | + | + | Средства ОС СН + ОРД | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга. | Системные ограничения ulimits (fly-admin-smc), средства аудита (auditd, zabbix) | РКСЗ.1: п.16.4.3. "Установка квот на использование системных ресурсов" РА.1: п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog | ||
2 | УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | + | + 1а, 2 | + 1б, 2 | + | + | + | Средства ОС СН + ОРД | Блокирование сеанса доступа пользователя по истечении заданного администратором времени бездействия осуществляется автоматически или по запросу. | Средства управление рабочим столом Fly (fly-admin-theme) | РА.1: п.11.6 "Рабочий стол Fly" РКСЗ.1: п.17.2 "Указания по эксплуатации ОС" Справка ОС СН по утилите настройки элементов рабочего стола fly-admin-theme |
2 | УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + | + | + | + | + | + | Средства ОС СН + ОРД, СДЗ | По умолчанию пользователям запрещены любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему и параметров системного загрузчика Grub. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | ОП: п.4.1.2 "Идентификация и аутентификация" РП:1: п.2.1 "Графический вход в систему" РКСЗ.1: п.4.16 "Настройка загрузчика GRUB 2" п.16.4.10 "Управление автоматическим входом", п.16.4.12 "Управление загрузкой ядра hardened" п.16.4.18 "Отключение отображения меню загрузчика" Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2 https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) |
2 | УПД.12 | Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки | - | - | + | Средства ОС СН + ОРД | В ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). | Мандатное управление доступом | РКСЗ.1: п.4.2 "Мандатное управление доступом" | |||
2 | УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + 2, 3 | + 2, 3, 5 | + 1, 2, 3, 5 | + | + | + | VPN-решения/ Средства ОС СН + ОРД | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ (VPN-решения) | РА.1: п.6.10 "Средство создания защищенных каналов" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
2 | УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + 1 | + 1, 3 | + 1, 3, 4, 5 | + | + | + | Орг-Тех.Меры + ОРД + Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступа и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
2 | УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + | + 1, 2 | + 1, 2 | + | + | + | Орг-Тех.Меры + ОРД + Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + 1а, 1б | + 1а, 1б | + 1а, 1б | - | - | - | Орг-Тех.Меры | - | - | - |
2 | УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | + 1 | + 2 | - | - | - | СДЗ, дополнительно: Средства ОС СН | Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками ОС СН. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control) | РКСЗ.1:п.16.4 "Функции безопасности системы" | |
3 | III. Ограничение программной среды (ОПС) | |||||||||||
3 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения | + 1, 2, 3 | - | + | + | Средства ОС СН + ОРД, СДЗ | Управление запуском (обращениями) в информационной системе разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), системным и графическим киоском, а также средствами системных блокировок, настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управление запуском сервисов, системных служб, приложениями, планированием запуска задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock, astra-sysrq-lock, astra-ptrace-lock, astra-lkrg-control, astra-modban-lock, astra-noautonet-control, astra-nobootmenu-control, astra-commands-lock, astra-nochmodx-lock, astra-noautonet-control), grub (fly-admin-grub2) управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планированием запуска задач (fly-admin-cron) | РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.4 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy) Справка ОС СН по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron | ||
3 | ОПС.2 | unshare workbook | + | + 1 | + | + | + | Средства ОС СН + ОРД | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки в информационную систему разрешенного программного обеспечения может быть реализован с использованием средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями. | Управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев») https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |
3 | ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | + | + | + | + | + | + | Средства ОС СН + ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. | Управление программными пакетами (synaptik), проверка целостности системы (fly-admin-int-check) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев» fly-admin-repo) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check |
3 | ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | - | + | + | Средства ОС СН + ОРД | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (доступен для режимов ОС СН "Воронеж" и "Смоленск") и встроенного в ядро ОС СН механизма изоляции процессов. | Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки" | |||
4 | IV. Защита машинных носителей информации (ЗНИ) | |||||||||||
4 | ЗНИ.1 | Учет машинных носителей информации | + | + 1а | + 1а, 1б | - | - | - | Орг.Меры, ОРД | - | - | - |
4 | ЗНИ.2 | Управление доступом к машинным носителям информации | + | + | + | - | - | - | Орг.Меры, ОРД | - | - | - |
4 | ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | - | - | - | Орг.Меры, ОРД | - | - | - | |||
4 | ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах | - | - | - | Орг-тех.меры | - | - | - | |||
4 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) | + | + 1 | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых вешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev), управление драйверами | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |
4 | ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |||
4 | ЗНИ.7 | Контроль подключения машинных носителей информации | + | + | + | Средства ОС СН + ОРД | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev, astra-mount-lock) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.4.20 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |||
4 | ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | + 1,5б | + 1, 5в | + 1, 2, 3, 5г | + | + | + | Орг-тех.меры, Средства ОС СН + ОРД, Усиление 5в, 5г: сторонние средства гарантированного уничтожения информации | Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей, средств затирания данных. | Средства затирания данных (dd, shred) Дополнительно: Механизм очистки памяти (astra-secdel-control) | РКСЗ.1: п.8 "Защита памяти" Справка ОС СН по работе с утилитой форматирования внешних носителей fly-admin-format |
5 | V. Регистрация событий безопасности (РСБ) | |||||||||||
5 | РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + | + 1,3, 4а | + 1, 2, 3, 4б | - | - | - | ОРД | События безопасности, подлежащие регистрации, и сроки их хранения определяются администратором. | - | - |
5 | РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + | + 1а | + 1а | - | - | - | ОРД | Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администратором. | - | - |
5 | РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения | + | + 1 | + 1 | + | + | + | Средства ОС СН + ОРД, SIEM | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog |
5 | РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | + | + | + 1а, 2 | + | + | + | Средства ОС СН + ОРД | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности. | Средства аудита (zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) |
5 | РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | + | + | + 1 | + | + | + | Средства ОС СН + ОРД, Орг.меры, SIEM, СОВ | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и системы обнаружения вторжений. | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с программой просмотра файлов журналов ksystemlog |
5 | РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | + | + | + 1 | + | + | + | Средства ОС СН | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в ОС СН служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) | РА.1: п.6.7 (Службы точного времени) https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени) |
5 | РСБ.7 | Защита информации о событиях безопасности | + | + 1 | + 1 | + | + | + | Средства ОС СН + ОРД | Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита. | Средства аудита (auditd, zabbix), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog |
5 | РСБ.8 | Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе | + | + | + | Средства ОС СН + ОРД | Возможность осуществления просмотра и анализа информации о действиях пользователей предоставляется администратору (пользователям в соответствии с установленными правилами разграничения доступа) с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | |||
6 | VI. Антивирусная защита (АВЗ) | |||||||||||
6 | АВЗ.1 | Реализация антивирусной защиты | + 1 | + 1, 2 | + 1, 2 | - | - | - | АВЗ | - | - | - |
6 | АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + 1 | + 1 | - | - | - | АВЗ | - | - | - |
7 | VII. Обнаружение вторжений (СОВ) | |||||||||||
7 | СОВ.1 | Обнаружение вторжений | + 2 | + 2 | - | - | - | СОВ | - | - | - | |
7 | СОВ.2 | Обновление базы решающих правил | + | + 1, 2, 3 | - | - | - | СОВ | - | - | - | |
8 | VIII. Контроль (анализ) защищенности информации (АНЗ) | |||||||||||
8 | АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | + 1,4 | + 1, 2,4 | + 1, 2,4,7 | + | + | + | Средства анализа (контроля) защищенности (сканеры безопасности), ОРД, Орг.меры, Средства ОС СН | Выявление и оперативное устранение уязвимостей ОС СН производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76, и ГОСТ Р 56939. | Обновление ОС, fly-astra-update, fly-update-notifier | ОП: п.3 "Порядок обновления ОС" Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update, с утилитой "Проверка обновлений" fly-update-notifier https://wiki.astralinux.ru/x/2xZIB (fly-astra-update) |
8 | АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + | + | + | + | + | + | Средства ОС СН + ОРД | Обновление безопасности производится администратором согласно документации на ОС СН. Контроль целостности обновлений ОС СН может быть реализован с использованием регламентного контроля целостности с использованием функции хэширования и сверки полученного значения с эталонным, указанным в специальном файле с контрольными суммами, входящем в состав обновлений безопасности, а также организацией доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи для режима ЗПС (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Контроль установки обновлений ОС выполняется одним из следующих способов: - в «ручном» режиме путём сравнивания списка установленных обновлений со списком обновлений, зафиксированным в журнале установки обновлений; - автоматизированный контроль установленных обновлений с использованием программы "Проверка обновлений"; - автоматизированный контроль установленных обновлений с использованием программных средств (например, Ansible), предусмотренных к использованию условиями эксплуатации обновляемого программного обеспечения или с применением сертифицированных ФСТЭК России средств анализа защищенности (сканеров безопасности). | Обновление ОС, контроль целостности сторонних файлов (gostsum) Дополнительно: Ansible, доверенный репозиторий (МКЦ) | ОП: п.3.2 "Внеочередное (оперативное) обновление" РА.1: п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для ОС СН) Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update |
8 | АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + | + 1 | + 1 | + | + | + | Средства ОС СН + ОРД | Контроль работоспособности встроенного комплекса средств защиты информации ОС СН осуществляется с помощью автоматического и регламентного тестирования функций безопасности, контролем соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации, и восстановлением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов в соответствии с ОЦЛ.3 | Тестирование СЗИ Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) средства управления конфигурациями (Ansible/Puppet/Foreman) | РКСЗ.2 РА.1: п.16 "Резервное копирование и восстановление данных", п.6.11 "Средство удаленного администрирования Ansible" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) |
8 | АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + | + 1 | + 1, 2 | + | + | + | Средствами ОС СН, ОРД, Орг.мерами (визуальной проверкой может обеспечиваться контроль состава технических средств и средств защиты информации, требуемые, соблюдение правил эксплуатации и неизменности конфигурации ИС в ходе эксплуатации, контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации) | Контроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ - в соответствии с РСБ.3. Контроль установленного в ОС оборудования можно осуществлять с использованием специализированных утилит. | Контроль целостности (afick, fly-admin-int-check), средства аудита (auditd, zabbix), средства контроля установленного оборудования (lspci, lshw, lsusb). | ОП: п.4.1.9 "Контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита", РКСЗ.1: п.9 "Контроль целостности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) https://wiki.astralinux.ru/x/k4-NAw (определение оборудования) Справка по работе с утилитой проверки целостности fly-admin-int-check |
8 | АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | + | + 1 | + 1 | + | + | + | Средства ОС СН + ОРД, Орг.меры | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6 | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
9 | IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | |||||||||||
9 | ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | + 1, 3 | + 1, 3 | + | + | + | Средствами ОС СН, Орг.меры (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | Контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum), Тестирование СЗИ Дополнительно: ЗПС | РКСЗ.1: п.9 "Контроль целостности" РКСЗ.2 https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка по работе с утилитой проверки целостности fly-admin-int-check | |
9 | ОЦЛ.2 | Контроль целостности информации, содержащейся в базах данных информационной системы | + | + | + | Средствами ОС СН, ОРД, Орг.меры (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3») | Контроль целостности информации реализуется с использованием средств регламентного контроля целостности. | Контроль целостности (afick) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности" | |||
9 | ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | + | + | + 1 | + | + | + | Средства ОС СН, ОРД | В целях обеспечения возможности восстановления работоспособности системы используется режим восстановления и средства резервного копирования. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck), режим восстановления ОС Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.16 "Резервное копирование и восстановление данных" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) |
9 | ОЦЛ.4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) | + | + | - | - | - | Сторонние ПС | - | - | - | |
9 | ОЦЛ.5 | Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы | - | - | + | Средствами ОС СН, Орг.меры, ОРД | Контроль содержания информации, основанный на свойствах объектов доступа, осуществляется согласно установленной политики дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, контроль подключения съемных машинных носителей информации, Защищенный комплекс программ печати и маркировки документов (cups) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов" | |||
9 | ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему | + | - | - | + | Средствами ОС СН, ОРД, Орг.меры, возможна реализация на уровне прикладного ПО. | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной метки объекта (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2" | ||
9 | ОЦЛ.7 | Контроль точности, полноты и правильности данных, вводимых в информационную систему | + | + | + | Прикладное ПО, Средства ОС СН (СУБД) | Контроль точности, полноты и правильности данных, вводимых в информационную систему путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и (или) иных правил ввода информации в информационную систему (допустимые наборы символов, размерность, область числовых значений, допустимые значения, количество символов) для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию осуществляется с использованием прикладного ПО и средств СУБД. | СУБД | РА.2 | |||
9 | ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | + | + | + | Прикладное ПО, Средства ОС СН | Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |||
10 | X. Обеспечение доступности информации (ОДТ) | |||||||||||
10 | ОДТ.1 | Использование отказоустойчивых технических средств | + | + | + | + | Орг-тех.меры, ОРД Дополнительно: Средства ОС СН | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. | Системные ограничения ulimits (fly-admin-smc), средства аудита (zabbix) Дополнительно: Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA) | РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой безопасности fly-admin-smc | ||
10 | ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||
10 | ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | + | + 1 | + | + | + | Орг.меры, ОРД, Средства ОС СН | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов, и принятия мер по восстановлению отказавших средств в соответствии с ОЦЛ.3. | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | |
10 | ОДТ.4 | Периодическое резервное копирование информации на резервные машинные носители информации | + 1, 2 | + 1, 3 | + | + | + | Орг.меры, Средства ОС СН, ОРД | Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | |
10 | ОДТ.5 | Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала | + | + 1 | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Резервное копирование осуществляется с использованием программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы, и сервисов планирования выполнения заданий. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron | |
10 | ОДТ.6 | Кластеризация информационной системы и (или) ее сегментов | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), репликация в домене (FreeIPA) | ОП: п.4.1.15 "Обеспечение работы в отказоустойчивом режиме" РА1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.8.3.8.2 "Создание резервного сервера FreeIPA" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | |||
10 | ОДТ.7 | Контроль состояния и качества предоставления уполномоченным лицом (провайдером) вычислительных ресурсов (мощностей), в том числе по передаче информации | + | + | - | - | - | Орг.меры, ОРД | - | - | - | |
12 | XII. Защита технических средств (ЗТС) | |||||||||||
12 | ЗТС.1 | Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам | - | - | - | Орг-тех.меры | - | - | - | |||
12 | ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | + | + | + | - | - | - | Орг-тех.меры | - | - | - |
12 | ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | + | + | + | - | - | - | Орг-тех.меры, СДЗ | - | - | - |
12 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | - | - | - | Орг-тех.меры | - | - | - |
12 | ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | + | - | - | - | Орг-тех.меры | - | - | - | ||
13 | XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |||||||||||
13 | ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы | + 3 | + 3 | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется согласно ОРД локально или централизованно с использованием средств управления политикой безопасности. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, дискреционное управление доступом, средства организации домена Дополнительно: Системный и графический киоск | см. раздел II. УПД РА.1: п.3.3 "Управление пользователями", п.4.1.3 "Организация ЕПП" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности", https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | |
13 | ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | + | + | + | Средства ОС СН | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды" | |||
13 | ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + | + | + | + | + | + | Орг-тех.меры (СКЗИ), ОРД, Средства ОС СН | Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использованием защищенных каналов, реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ, Средства контроля целостности (сервис электронной подписи) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.9.5 «Сервис электронной подписи» https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
13 | ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Доверенный канал обеспечивается: - локально функциями аутентификации и сохранением контекста; - в ЛВС при сетевом доступе встроенными в ОС СН средствами создания защищенных каналов и (или) средствами организации ЕПП; - при межсетевом доступе внешними средствами создания защищенных каналов. | OpenVPN, СКЗИ, Средства организации ЕПП | РА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" РКСЗ.1: п.7.1 "Изоляция процессов" | |||
13 | ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | + | + 1 | + 1, 2 | + | + | + | Орг-тех.меры (СКЗИ), Средства ОС СН | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов. | Средства межсетевого экранирования (astra-ufw-control), дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом" РА.1: п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
13 | ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами | - | - | + | Орг-тех.меры (СКЗИ, МЭ и/или средств однонаправленной передачи информации, поддерживающими форматы атрибутов безопасности), Средства ОС СН | Защита реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Передача и контроль целостности атрибутов информации осуществляется ОС СН в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками - доступно только для режима "Смоленск"). Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением средств защиты канала передачи информации | Мандатное управление доступом (передача и контроль меток конфиденциальности при передаче информации по сети), Средства межсетевого экранирования (astra-ufw-control), СКЗИ (OpenVPN) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.4.10 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока" | |||
13 | ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | + 1 | + 1, 2 | - | + | + | Средства ОС СН + ОРД | В составе установочного диска ОС СН отсутствуют средства связанные с технологиями мобильного кода использующими Java, ActiveX, VBScript. Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничения программной среды, в частности созданием «замкнутой программной среды» (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | Средства аудита (auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock), ЗПС | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.4 "Функции безопасности системы" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) | |
13 | ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | + | + | - | - | - | Орг-тех.меры, ОРД | - | - | - | |
13 | ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | + | + | - | - | - | Орг-тех.меры, ОРД | - | - | - | |
13 | ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам | + | + | + | Средства ОС СН | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | РА.1: п.6.5 "Служба DNS" https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9) | |||
13 | ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | + | + 1 | + | + | + | Орг-тех.меры (СКЗИ, МЭ), Средства ОС СН | Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использованием защищенных каналов и проверкой целостности передаваемых пакетов совместно со средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. | OpenVPN, СКЗИ, Средства межсетевого экранирования (astra-ufw-control), Организация ЕПП (Kerberos) | РКСЗ.1: п.11 "Фильтрация сетевого потока" РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП" | |
13 | ЗИС.12 | Исключение возможности отрицания пользователем факта отправки информации другому пользователю | + | + | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | |
13 | ЗИС.13 | Исключение возможности отрицания пользователем факта получения информации от другого пользователя | + | + | - | - | - | Орг-тех.меры (СКЗИ) | - | - | - | |
13 | ЗИС.14 | Использование устройств терминального доступа для обработки информации | + | + | + | Орг-тех.меры, СКЗИ, Средства ОС СН | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | https://wiki.astralinux.ru/x/EIQyAw | |||
13 | ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации | + | + | + | + | + | Средства ОС СН | Защита файлов, не подлежащих изменению, реализуется средствами контроля целостности объектов файловой системы, средствами ограничения программной среды (режим ЗПС -доступен в режимах ОС СН "Воронеж" и "Смоленск"), установкой правил разграничения доступа. | Контроль целостности (Afick), Дополнительно: Контроль расширенных атрибутов (ЗПС), МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды" | |
13 | ЗИС.16 | Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов | - | - | + | Средства ОС СН | В ОС СН идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76. Условиями исключения скрытых каналов является реализуемая ОС СН политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой областей оперативной памяти и обеспечение запуска процессов в замкнутой относительно остальных процессов среде по памяти (режимы МКЦ и механизм очистки освобождаемой внешней памяти доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Очистка памяти (secdel), режим киоска, блокировка запуска программ df,chattr,arp,ip | РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.4.11 "Блокировка запуска программ пользователя" | |||
13 | ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | + | + | - | - | - | Орг-тех.меры, МЭ | Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) | |
13 | ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения | - | + | + | Средства ОС СН, орг-тех.меры | Обеспечение загрузки и исполнения программного обеспечения и контроль целостности программного обеспечения осуществляется средствами управления доступом к подключаемым устройствам и средствами контроля целостности (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . | Средства разграничения доступа к подключаемым устройствам, Контроль целостности (Afick), ЗПС | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.16 "Ограничение программной среды", доп: п.16.4.21 "Включение на файловой системе режима работы "только чтение" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) https://wiki.astralinux.ru/x/HAKtAg (Cъемные USB-носители) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc | |||
13 | ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | + | + | + | Средства ОС СН | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | Изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов" | |||
13 | ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | + | + | + | + | + | + | Орг-тех.меры, ОРД, Средства ОС СН | Ограничение на использование в информационной системе беспроводных соединений реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступом и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе программой управления санкциями PolicyKit-1 |
13 | ЗИС.21 | Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы | + | - | + | + | Средства ОС СН | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (механизм очистки освобождаемой внешней памяти доступен только для режимов ОС СН "Воронеж" и "Смоленск") и встроенного в ядро ОС СН механизма изоляции процессов. | Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки" | ||
13 | ЗИС.22 | Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы | + | + | + | + | + | Орг-тех.меры, Средства ОС СН | Обеспечение защиты от угроз, направленных на отказ в обслуживании, реализуется в базовом режиме настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей, и, для обеспечения усиленной защиты, обеспечением замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). | Режим киоска, ограничивающие функции безопасности (механизмы защиты и блокировок) Дополнительно: ЗПС | РКСЗ.1: п.16 "Ограничение программной среды" https://wiki.astralinux.ru/x/LoKhAQ (Настройка механизмов защиты и блокировок) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) | |
13 | ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями | + 1, 2, 3, 4а, 4б, 4в, 5 | + 1, 2, 3, 4а, 4б, 4в, 4г, 4д, 5, 6, 7 | - | - | - | Орг-тех.меры, МЭ, средства однонаправленной передачи, криптошлюзы | - | - | - | |
13 | ЗИС.24 | Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения | + | + | + | + | + | Орг-тех.меры, Средства ОС СН, Прикладное ПО | Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности обеспечивается применением средств организации домена, а также использованием сетевых и прикладных сервисов из состава ОС СН | Средства организации ЕПП (FreeIPA,ALD, Samba), Защищенный комплекс программ гипертекстовой обработки данных (Apache2), СУБД, Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.10 "Защищенный комплекс программ гипертекстовой обработки данных", п.12 "Защищенный комплекс программ печати и маркировки документов" ОП: п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП" РА.2 https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) | |
13 | ЗИС.25 | Использование в информационной системе или ее сегментах различных типов общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды) | + | + | + | Орг-тех.меры, Средства ОС СН, Средства виртуализации | Возможность использования в информационной системе различных типов программного обеспечения реализуется с помощью использования виртуальной инфраструктуры, в составе которой возможно функционирование «недоверенных» гостевых операционных систем в доверенной среде ОС СН | Средства виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |||
13 | ЗИС.26 | Использование прикладного и специального программного обеспечения, имеющих возможность функционирования в средах различных операционных систем | - | - | - | Сторонние средства (ПО «клиент-серверной» архитектуры («тонкого» клиента), имеющих возможность функционирования в средах различных операционных систем) | - | - | - | |||
13 | ЗИС.27 | Создание (эмуляция) ложных информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации | - | - | - | Средства создания ложных информационных объектов,МЭ | - | - | - | |||
13 | ЗИС.28 | Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы | - | - | - | Средства создания ложных информационных объектов,МЭ | - | - | - | |||
13 | ЗИС.29 | Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системы | + | + | + | Орг-меры, Средства ОС СН | В случае возникновения отказов перевод информационной системы в заранее определенную конфигурацию осуществляется с использованием средств восстановления ОС СН и с применением наборов базовых конфигураций. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), средства управления конфигурациями (Ansible/Puppet/Foreman) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD", п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | |||
13 | ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе | + | + | + | + | + | + | Средства ОС СН, орг-меры | Защита реализуется в зависимости от мобильного технического средства (типа мобильного технического средства) мерами по идентификации и аутентификации в соответствии с ИАФ.1 и ИАФ.5, управлению доступом в соответствии с УПД.2, УПД.5, УПД.13 и УПД.15, ограничению программной среды в соответствии с ОПС.3, защите машинных носителей информации в соответствии с ЗНИ.1, ЗНИ.2, ЗНИ.4, ЗНИ.8, регистрации событий безопасности в соответствии с РСБ.1, РСБ.2, РСБ.3 и РСБ.5, контролю (анализу) защищенности в соответствии с АНЗ.1, АНЗ.2 и АНЗ.3, обеспечению целостности в соответствии с ОЦЛ.1. | Средства разграничения доступа к подключаемым устройствам, Средства затирания данных (dd, shred) | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
11 | XI. Защита среды виртуализации (ЗСВ) | |||||||||||
11 | ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + | + 1 | + 1 | + | + | + | Средства ОС СН | Идентификация и аутентификация в виртуальной инфраструктуре осуществляется согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7. | Защита среды виртуализации, Идентификация и аутентификация, Средства виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации", п.2 "Идентификация и аутентификация" РА.1: п.9 "Виртуализация среды исполнения" |
11 | ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + 1, 2 | + 1, 2 | + 1, 2 | + | + | + | Средства ОС СН | Управление доступом осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13 с использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. | Защита среды виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) |
11 | ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + | + | + | + | + | + | Средства ОС СН | Регистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5 с использованием интерфейсов управления средствами виртуализации, штатных средств протоколирования и аудита. | Защита среды виртуализации, средства аудита (auditd, zabbix) | РКСЗ.1: п.5 "Защита среды виртуализации" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) |
11 | ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | + | + 1, 2 | + | + | + | Средства ОС СН, МЭ, СКЗИ | Управление информационными потоками осуществляется согласно УПД.3, ЗИС.3с использованием встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений, технологий KVM, средствами создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables) и средств управления виртуальной инфраструктурой. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. | Средства виртуализации (Libvirt), фильтрация сетевого потока, средства аудита (auditd, zabbix) | РКСЗ.1: п.5 "Защита среды виртуализации" РКСЗ.1: п.11 "Фильтрация сетевого потока" | |
11 | ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | - | + | + | Средства ОС СН, СДЗ | Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), настройками подсистемы эмуляции аппаратного обеспечения и контролем целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузки. | Контроль целостности (Afick), гипервизор KVM, подсистема Qemu ЗПС | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |||
11 | ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + 1 | + 1, 2 | + | + | + | Орг.меры, Средства ОС СН | Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации. | Средства виртуализации (Libvirt), Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.5 "Защита среды виртуализации" РА.1: п.9 "Виртуализация среды исполнения", п.4.3.2 "Администрирование многопользовательской и многозадачной среды" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |
11 | ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | + 3 | + 1, 3 | + | + | + | Средства ОС СН | Контроль целостности виртуальной инфраструктуры и ее конфигураций реализуется средствами создания замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") , настройками подсистемы эмуляции аппаратного обеспечения и контролем целостности образов виртуальных машин. | Контроль целостности (Afick), гипервизор KVM, подсистема Qemu, («read-only режим» с контролем целостности файлов образов ВМ) Дополнительно: ЗПС | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |
11 | ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | + | + 1, 2, 3 | + | + | + | Орг-тех.меры, Средства ОС СН | Резервное копирование реализуется с использованием встроенных в ОС СН средства резервного копирования, средств кластеризации и создания распределенных хранилищ информации. | Средства резервного копирования (Bacula, dd, tar, luckyback, rsync), Резервирование в домене (ALD, FreeIPA), средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | |
11 | ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + | + 1 | + 1 | - | - | - | САВЗ | - | - | - |
11 | ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей | + | + | + 2 | + | + | + | Орг-тех.меры, Средства ОС СН | Разбиение виртуальной инфраструктуры на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec). Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) |