Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 21 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Принятые обозначения и сокращения
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 21 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Содержание мер по обеспечению безопасности персональных данных | Уровни защищенности ИСПДн | Средства реализации | Уровни защищенности Astra Linux | Способ реализации меры защиты с использованием штатных средств Astra Linux | Компоненты Astra Linux | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации Astra Linux | ||||||
Раздел | Код | Меры по обеспечению безопасности | 4 | 3 | 2 | 1 | Усиленный ("Воронеж") | Максимальный ("Смоленск") | ||||
1 | I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||||||||||
1 | ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + | + | + | + | Средства Astra Linux + Организационные мероприятия При необходимости: СДЗ, токены | + | + | Идентификация и аутентификация пользователей осуществляется локально (по PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | + | + | Средства Astra Linux + ОРД | + | + | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификация. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация устройств реализуется средствами Astra Linux с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev, fstab), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, регистрации устройств локально (fly-admin-smc), и централизованно (FreeIPA, ALD) Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.12.4 Настройка принтера и управления печатью, п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в Astra Linux) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc | ||
1 | ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + | + | + | + | Средства Astra Linux + Организационные мероприятия + ОРД | + | + | Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD). Управление устройствами локально (fly-admin-smc) и в домене (FreeIPA,ALD) | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + | + | + | + | Средства Astra Linux + Организационные мероприятия + ОРД При необходимости: СДЗ, токены | + | + | Управление средствами аутентификации осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Для защиты аутентификационной информации в Astra Linux по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012 При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) Дополнительно: средства поддержки двухфакторной аутентификации | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + | + | + | + | Средства Astra Linux | + | + | Защита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсе средствами Astra Linux по умолчанию. | Защищенная графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | РП:1: п.2.1 "Графический вход в систему" Справка Astra Linux по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm |
1 | ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + | + | + | + | Средства Astra Linux + Организационные мероприятия + ОРД При необходимости: СДЗ, токены | + | + | Идентификация и аутентификация внешних пользователей осуществляется локально или централизованно с помощью организации единого пространства пользователей. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
2 | II. Управление доступом субъектов доступа к объектам доступа (УПД) | |||||||||||
2 | УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + | + | + | + | Средства Astra Linux + ОРД | + | + | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. | Управление локальными пользователями (fly-admin-smc), Управление доменным пользователями (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/R4AS (ALD) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + | + | + | + | Средства Astra Linux + ОРД | + | + | Монитор обращений из состава Astra Linux предусматривает дискреционное, мандатное (мандатное управление доступом доступно только для уровня защищенности "Максимальный" ("Смоленск")) и ролевое управление доступом, а также реализацию мандатного контроля целостности (режим МКЦ доступен для уровней защищенности Astra Linux "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")). Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. Разделение полномочий (ролей) пользователей, назначение минимально необходимых прав и привилегий осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией. | Дискреционное управление доступом, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA) Дополнительно: мандатное управление доступом, МКЦ, управление доступом в БД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД" |
2 | УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + | + | + | + | МЭ или средства однонаправленной передачи, Средства Astra Linux, ОРД. | + | + | Реализуется с применением сертифицированных МЭ. Дополнительно может использоваться функция фильтрации сетевых потоков Astra Linux. Управление информационными потоками осуществляется с использованием встроенного в ядро Astra Linux фильтра сетевых пакетов (netfilter) и монитора обращений. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables).Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для уровня защищенности Astra Linux "Максимальный»). | Сертифицированные МЭ, средства фильтрации сетевых потоков Astra Linux. | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие" |
2 | УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + | + | + | + | ОРД + Средства Astra Linux | + | + | Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + | + | + | + | Средства Astra Linux + ОРД | + | + | Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + | + | + | + | Средства Astra Linux + ОРД | + | + | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.7 | Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных | Сторонними программными средствами | - | - | - | - | - | ||||
2 | УПД.8 | Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему | Средства Astra Linux | + | + | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | Средства управление рабочим столом Fly (fly-notify-prevlogin) | РА.1: п.11.6 "Рабочий стол Fly" см. Вывод уведомления о предыдущем входе в систему https://wiki.astralinux.ru/x/eoxsAw (fly-notify-prevlogin) | ||||
2 | УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы | Средства Astra Linux + ОРД | + | + | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга | Системные ограничения ulimits (fly-admin-smc), средства аудита (auditd, zabbix) | РКСЗ.1: п.16.4.3. "Установка квот на использование системных ресурсов" РА.1: п.15 "Средства централизованного протоколирования и аудита" Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog | ||||
2 | УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | + | + | + | Средства Astra Linux + ОРД | + | + | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу. | Средства управление рабочим столом Fly (fly-admin-theme) | РА.1: п.11.6 "Рабочий стол Fly" РКСЗ.1: п.17.2 "Указания по эксплуатации ОС" Справка Astra Linux по утилите настройки элементов рабочего стола fly-admin-theme | |
2 | УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + | + | + | Средства Astra Linux + ОРД При необходимости: СДЗ | + | + | По умолчанию пользователям запрещены любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему и параметров системного загрузчика Grub. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | ОП: п.4.1.2 "Идентификация и аутентификация" РП:1: п.2.1 "Графический вход в систему" РКСЗ.1: п.4.16 "Настройка загрузчика GRUB 2" п.16.4.10 "Управление автоматическим входом", п.16.4.12 "Управление загрузкой ядра hardened" п.16.4.18 "Отключение отображения меню загрузчика" Справка Astra Linux по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2 https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) | |
2 | УПД.12 | Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки | Средства Astra Linux + ОРД | - | + | В Astra Linux реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). | Мандатное управление доступом | РКСЗ.1: п.4.2 "Мандатное управление доступом" | ||||
2 | УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + | + | + | + | VPN-решения/ Средства Astra Linux + ОРД | + | + | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами Astra Linux, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | СКЗИ | РА.1: п.6.10 "Средство создания защищенных каналов" https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
2 | УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + | + | + | + | Организационно-технические мероприятия + ОРД + Средства Astra Linux | + | + | Реализуется средствами Astra Linux, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступа и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка Astra Linux по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
2 | УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + | + | + | + | Организационно-технические мероприятия + ОРД + Средства Astra Linux | + | + | Реализуется средствами Astra Linux, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в Astra Linux) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
2 | УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | + | + | СДЗ, дополнительно: Средства Astra Linux | - | - | Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками Astra Linux. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control) | РКСЗ.1:п.16.4 "Функции безопасности системы" | ||
3 | III. Ограничение программной среды (ОПС) | |||||||||||
3 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения | Средства Astra Linux + ОРД, СДЗ | + | + | Управление запуском (обращениями) в информационной системе разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды (режим ЗПС доступен для уровней защищенности Astra Linux "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")), системным и графическим киоском, а также средствами системных блокировок, настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управление запуском сервисов, системных служб, приложениями, планированием запуска задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock, astra-sysrq-lock, astra-ptrace-lock, astra-lkrg-control, astra-modban-lock, astra-noautonet-control, astra-nobootmenu-control, astra-commands-lock, astra-nochmodx-lock, astra-noautonet-control), grub (fly-admin-grub2) управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планированием запуска задач (fly-admin-cron) | РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.4 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy) Справка Astra Linux по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron | ||||
3 | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | + | + | Средства Astra Linux + ОРД | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки в информационную систему разрешенного программного обеспечения может быть реализован с использованием средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен для уровней защищенности Astra Linux "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")). Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями. | Управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев»)https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка Astra Linux по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | ||
3 | ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | + | Средства Astra Linux + ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен для уровней защищенности Astra Linux "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")). Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. | Управление программными пакетами (synaptik), проверка целостности системы (fly-admin-int-check) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев» fly-admin-repo) Справка Astra Linux по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |||
3 | ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | Средства Astra Linux + ОРД | + | + | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (доступен для уровней защищенности Astra Linux "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")) и встроенного в ядро Astra Linux механизма изоляции процессов. | Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки" | ||||
4 | IV. Защита машинных носителей персональных данных (ЗНИ) | |||||||||||
4 | ЗНИ.1 | Учет машинных носителей персональных данных | + | + | Организационные мероприятия, ОРД | - | - | - | - | - | ||
4 | ЗНИ.2 | Управление доступом к машинным носителям персональных данных | + | + | Организационные мероприятия, ОРД | - | - | - | - | - | ||
4 | ЗНИ.3 | Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны | Организационные мероприятия, ОРД | - | - | - | - | - | ||||
4 | ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах | Организационно-технические мероприятия | - | - | - | - | - | ||||
4 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Реализуется средствами Astra Linux, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа | Средства разграничения доступа к подключаемым устройствам (udev, fstab), управление драйверами | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в Astra Linux) | ||||
4 | ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители персональных данных | Средства Astra Linux + ОРД | + | + | Реализуется средствами Astra Linux, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в Astra Linux) | ||||
4 | ЗНИ.7 | Контроль подключения машинных носителей персональных данных | Средства Astra Linux + ОРД | + | + | Реализуется средствами Astra Linux, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev, astra-mount-lock) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.4.20 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в Astra Linux) | ||||
4 | ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | + | + | + | Средства Astra Linux + ОРД | + | + | Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей, средств затирания данных. | Средства затирания данных (dd, shred) Дополнительно: Механизм очистки памяти (astra-secdel-control) | РКСЗ.1: п.8 "Защита памяти" Справка Astra Linux по работе с утилитой форматирования внешних носителей fly-admin-format | |
5 | V. Регистрация событий безопасности (РСБ) | |||||||||||
5 | РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + | + | + | + | ОРД | - | - | События безопасности, подлежащие регистрации, и сроки их хранения определяются администратором. | - | - |
5 | РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + | + | + | + | ОРД | - | - | Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администратором. | - | - |
5 | РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | + | + | + | + | Средства Astra Linux + ОРД, SIEM | + | + | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog |
5 | РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | Средства Astra Linux + ОРД | + | + | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности. | Средства аудита (zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||||
5 | РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | + | + | Средства Astra Linux + ОРД, Организационные мероприятия, SIEM | + | + | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с программой просмотра файлов журналов ksystemlog | ||
5 | РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | Средства Astra Linux | + | + | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в Astra Linux служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) | РА.1: п.6.7 (Службы точного времени) https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени) | ||||
5 | РСБ.7 | Защита информации о событиях безопасности | + | + | + | + | Средства Astra Linux + ОРД | + | + | Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита. | Средства аудита (auditd, zabbix), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.3 "Дискреционное управление доступом",п.4.2 "Мандатное управление доступом" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с программой просмотра файлов журналов ksystemlog |
6 | VI. Антивирусная защита (АВЗ) | |||||||||||
6 | АВЗ.1 | Реализация антивирусной защиты | + | + | + | + | САВЗ | - | - | - | - | - |
6 | АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | + | САВЗ | - | - | - | - | - |
7 | VII. Обнаружение вторжений (СОВ) | |||||||||||
7 | COB.1 | Обнаружение вторжений | + | + | СОВ | - | - | - | - | - | ||
7 | COB.2 | Обновление базы решающих правил | + | + | СОВ | - | - | - | - | - | ||
8 | VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |||||||||||
8 | АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | + | + | + | Средства анализа (контроля) защищенности (сканеры безопасности), ОРД, Организационные мероприятия, Средства Astra Linux | + | + | Выявление и оперативное устранение уязвимостей Astra Linux производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76, и ГОСТ Р 56939. | Обновление ОС, fly-astra-update, fly-update-notifier | ОП: п.3 "Порядок обновления ОС" Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update, с утилитой "Проверка обновлений" fly-update-notifier https://wiki.astralinux.ru/x/2xZIB (fly-astra-update) | |
8 | АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + | + | + | + | Средства Astra Linux + ОРД | + | + | Обновление безопасности производится администратором согласно документации на Astra Linux. Контроль целостности обновлений Astra Linux может быть реализован с использованием средств регламентного контроля целостности с использованием функции хэширования и сверки полученного значения с эталонным, указанным в специальном файле с контрольными суммами, входящем в состав обновлений безопасности, а также организацией доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи для режима ЗПС (режим ЗПС доступен для уровней защищенности Astra Linux "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")). Контроль установки обновлений Astra Linux выполняется одним из следующих способов: - в «ручном» режиме путём сравнивания списка установленных обновлений со списком обновлений, зафиксированным в журнале установки обновлений; - автоматизированный контроль установленных обновлений с использованием программных средств (например, Ansible), предусмотренных к использованию условиями эксплуатации обновляемого программного обеспечения или с применением сертифицированных ФСТЭК России средств анализа защищенности (сканеров безопасности). | Обновление ОС, контроль целостности сторонних файлов (gostsum) Дополнительно: Ansible, доверенный репозиторий (МКЦ) | ОП: п.3.2 "Внеочередное (оперативное) обновление" РА.1: п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для Astra Linux) Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update |
8 | АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + | + | + | Средства Astra Linux + ОРД | + | + | Контроль работоспособности встроенного комплекса средств защиты информации Astra Linux осуществляется с помощью автоматического и регламентного тестирования функций безопасности, контролем соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации, и восстановлением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов в соответствии с ОЦЛ.3 | Тестирование СЗИ Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) средства управления конфигурациями (Ansible/Puppet/Foreman) | РКСЗ.2 РА.1: п.16 "Резервное копирование и восстановление данных", п.6.11 "Средство удаленного администрирования Ansible" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) | |
8 | АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + | + | + | Средствами Astra Linux, ОРД, Орг.мерами (визуальной проверкой может обеспечиваться контроль состава технических средств и средств защиты информации, требуемые, соблюдение правил эксплуатации и неизменности конфигурации ИС в ходе эксплуатации, контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации) | + | + | Контроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ - в соответствии с РСБ.3. Контроль установленного в Astra Linux оборудования можно осуществлять с использованием специализированных утилит. | Контроль целостности (afick, fly-admin-int-check), средства аудита (auditd, zabbix), скрипты контроля установленного оборудования (lspci, lshw, lsusb). | ОП: п.4.1.9 "Контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.9 "Контроль целостности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) https://wiki.astralinux.ru/x/njFIB (определение оборудования) Справка по работе с утилитой проверки целостности fly-admin-int-check | |
8 | АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе | + | + | Средства Astra Linux + ОРД, Организационные мероприятия | + | + | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6 | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc | ||
9 | IХ. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) | |||||||||||
9 | ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | + | + | Средствами Astra Linux, Организационные мероприятия (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | + | + | Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического (режим ЗПС доступен для уровней защищенности Astra Linux "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")) и регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | Контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum), Тестирование СЗИ Дополнительно: ЗПС | РКСЗ.1: п.9 "Контроль целостности" РКСЗ.2 https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка по работе с утилитой проверки целостности fly-admin-int-check | ||
9 | ОЦЛ.2 | Контроль целостности персональных данных, содержащихся в базах данных информационной системы | Средствами Astra Linux, ОРД, Организационные мероприятия | + | + | Контроль целостности информации реализуется с использованием средств динамического и регламентного контроля целостности. | Контроль целостности (afick) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности" | ||||
9 | ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | Средства Astra Linux, ОРД | + | + | В целях обеспечения возможности восстановления работоспособности системы используется режим восстановления и средства резервного копирования. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck), режим восстановления ОС Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.16 "Резервное копирование и восстановление данных" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) | ||||
9 | ОЦЛ.4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) | + | + | Сторонние ПС | - | - | - | - | - | ||
9 | ОЦЛ.5 | Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов),методов), и исключение неправомерной передачи информации из информационной системы | Средствами Astra Linux, Организационные мероприятия, ОРД | - | + | Контроль содержания информации, основанный на свойствах объектов доступа, осуществляется согласно установленной политики дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для уровня защищенности Astra Linux "Максимальный" ("Смоленск")). | Мандатное управление доступом, Дискреционное управление доступом, контроль подключения съемных машинных носителей информации, Защищенный комплекс программ печати и маркировки документов (cups) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов" | ||||
9 | ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему | Средствами Astra Linux, ОРД, Организационные мероприятия, возможна реализация на уровне прикладного ПО. | - | + | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной метки объекта (мандатное управление доступом доступно только для уровня защищенности Astra Linux "Максимальный" ("Смоленск")). | Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2" | ||||
9 | ОЦЛ.7 | Контроль точности, полноты и правильности данных, вводимых в информационную систему | Прикладное ПО, Средства Astra Linux (СУБД) | + | + | Контроль точности, полноты и правильности данных, вводимых в информационную систему путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и (или) иных правил ввода информации в информационную систему (допустимые наборы символов, размерность, область числовых значений, допустимые значения, количество символов) для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию осуществляется с использованием прикладного ПО и средств СУБД. | СУБД | РА.2 | ||||
9 | ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных и предупреждение пользователей об ошибочных действиях | Прикладное ПО, Средства Astra Linux | + | + | Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||||
10 | X. Обеспечение доступности персональных данных (ОДТ) | |||||||||||
10 | ОДТ.1 | Использование отказоустойчивых технических средств | Организационно-технические мероприятия, ОРД Дополнительно: Средства Astra Linux | + | + | Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. | Системные ограничения ulimits (fly-admin-smc), средства аудита (zabbix) Дополнительно: Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA) | РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.15 "Средства централизованного протоколирования и аудита" Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc | ||||
10 | ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Средства организации ЕПП Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В Astra Linux существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить Astra Linux с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав Astra Linux входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | ||||
10 | ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | + | Организационные мероприятия, ОРД, Средства Astra Linux | + | + | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов. | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с программой просмотра файлов журналов ksystemlog | |||
10 | ОДТ.4 | Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных | + | + | Организационные мероприятия, Средства Astra Linux, ОРД | + | + | Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | ||
10 | ОДТ.5 | Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Резервное копирование осуществляется с использованием программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы, и сервисов планирования выполнения заданий. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка Astra Linux по работе с утилитой планирования запуска задач fly-admin-cron | ||
12 | XII. Защита технических средств (ЗТС) | |||||||||||
12 | ЗТС.1 | Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам | Организационно-технические мероприятия | - | - | - | - | - | ||||
12 | ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | Организационно-технические мероприятия | - | - | - | - | - | ||||
12 | ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | + | + | + | + | Организационно-технические мероприятия, СДЗ | - | - | - | - | - |
12 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
12 | ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | Организационно-технические мероприятия | - | - | - | - | - | ||||
13 | XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |||||||||||
13 | ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется согласно ОРД локально или централизованно с использованием средств управления политикой безопасности. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, дискреционное управление доступом, средства организации домена Дополнительно: Системный и графический киоск | см. раздел II. УПД РА.1: п.3.3 "Управление пользователями", п.4.1.3 "Организация ЕПП" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности", https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | |||
13 | ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | Средства Astra Linux | + | + | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды" | ||||
13 | ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + | + | + | + | Организационно-технические мероприятия (СКЗИ), ОРД, Средства Astra Linux | + | + | Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использованием защищенных каналов, реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами Astra Linux, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | СКЗИ, Средства контроля целостности (сервис электронной подписи) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.9.5 «Сервис электронной подписи» https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
13 | ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) | Организационно-технические мероприятия (СКЗИ), Средства Astra Linux | + | + | Доверенный канал обеспечивается: - локально функциями аутентификации и сохранением контекста; - в ЛВС при сетевом доступе встроенными в Astra Linux средствами создания защищенных каналов и (или) средствами организации ЕПП; - при межсетевом доступе внешними средствами создания защищенных каналов. | СКЗИ, Средства организации ЕПП | РА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" РКСЗ.1: п.7.1 "Изоляция процессов" | ||||
13 | ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | Организационно-технические мероприятия (СКЗИ), Средства Astra Linux | + | + | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов. | Средства межсетевого экранирования (astra-ufw-control), дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом" РА.1: п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка Astra Linux по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | ||||
13 | ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с персональными данными, при обмене ими с иными информационными системами | Организационно-технические мероприятия (СКЗИ, МЭ и/или средств однонаправленной передачи информации, поддерживающими форматы атрибутов безопасности), Средства Astra Linux, | - | + | Защита реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Передача и контроль целостности атрибутов информации осуществляется Astra Linux в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками - доступно только для уровня защищенности Astra Linux "Максимальный" ("Смоленск")). Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением средств защиты канала передачи информации | Мандатное управление доступом (передача и контроль меток конфиденциальности при передаче информации по сети), сертифицированные МЭ, СКЗИ | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.4.10 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока" | ||||
13 | ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | Средства Astra Linux + ОРД | + | + | Управление информационными потоками осуществляется с использованием встроенного в ядро Astra Linux фильтра сетевых пакетов (netfilter) и монитора обращений. Управление правилами осуществляется администратором с использованием средств управления встроенным фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для уровня защищенности Astra Linux "Максимальный»). | Средства аудита (auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock), ЗПС | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.4 "Функции безопасности системы" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) | ||||
13 | ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | Организационно-технические мероприятия, ОРД | - | - | - | - | - | ||||
13 | ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | Организационно-технические мероприятия, ОРД | - | - | - | - | - | ||||
13 | ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам | Средства Astra Linux | + | + | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | РА.1: п.6.5 "Служба DNS" https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9) | ||||
13 | ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | + | + | Организационно-технические мероприятия (СКЗИ, МЭ), Средства Astra Linux | + | + | Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использованием защищенных каналов и проверкой целостности передаваемых пакетов совместно со средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. | СКЗИ, МЭ, Организация ЕПП (Kerberos) | РКСЗ.1: п.11 "Фильтрация сетевого потока" РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП" | ||
13 | ЗИС.12 | Исключение возможности отрицания пользователем факта отправки персональных данных другому пользователю | Организационно-технические мероприятия (СКЗИ) | - | - | - | - | - | ||||
13 | ЗИС.13 | Исключение возможности отрицания пользователем факта получения персональных данных от другого пользователя | Организационно-технические мероприятия (СКЗИ) | - | - | - | - | - | ||||
13 | ЗИС.14 | Использование устройств терминального доступа для обработки персональных данных | Организационно-технические мероприятия, СКЗИ, Средства Astra Linux | + | + | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | https://wiki.astralinux.ru/x/EIQyAw | ||||
13 | ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных | + | + | Средства Astra Linux, СКЗИ | + | + | Защита файлов, не подлежащих изменению, реализуется средствами контроля целостности объектов файловой системы, средствами ограничения программной среды (режим ЗПС доступен для уровней защищенности Astra Linux "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")), установкой правил разграничения доступа. | Контроль целостности (Afick), Дополнительно: Контроль расширенных атрибутов (ЗПС), МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды" | ||
13 | ЗИС.16 | Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов | Средства Astra Linux | - | + | В Astra Linux идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76. Условиями исключения скрытых каналов является реализуемая Astra Linux политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для уровня защищенности Astra Linux "Максимальный" ("Смоленск")), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой областей оперативной памяти и обеспечение запуска процессов в замкнутой относительно остальных процессов среде по памяти (режимы МКЦ и механизм очистки освобождаемой внешней памяти доступны для уровней защищенности Astra Linux "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Очистка памяти (secdel), режим киоска, блокировка запуска программ df,chattr,arp,ip | РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.4.11 "Блокировка запуска программ пользователя" | ||||
13 | ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | + | + | Организационно-технические мероприятия, МЭ | - | - | Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств Astra Linux, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) | ||
13 | ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспечения | Средства Astra Linux, Организационно-технические мероприятия | + | + | Обеспечение загрузки и исполнения программного обеспечения и контроль целостности программного обеспечения осуществляется средствами управления доступом к подключаемым устройствам и средствами контроля целостности (режим ЗПС доступен для уровней защищенности Astra Linux "Усиленный" ("Воронеж") и "Максимальный" ("Смоленск")) . | Средства разграничения доступа к подключаемым устройствам, Контроль целостности (Afick), ЗПС | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.16 "Ограничение программной среды", доп: п.16.4.21 "Включение на файловой системе режима работы "только чтение" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в Astra Linux) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc | ||||
13 | ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | Средства Astra Linux | + | + | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре Astra Linux. | Изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов" | ||||
13 | ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | + | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Ограничение на использование в информационной системе беспроводных соединений реализуется средствами Astra Linux, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступом и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка Astra Linux по работе программой управления санкциями PolicyKit-1 | |
11 | XI. Защита среды виртуализации (ЗСВ) | |||||||||||
11 | ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + | + | + | + | Средства Astra Linux | + | + | Идентификация и аутентификация пользователей осуществляется с использованием встроенных в ОС СН механизмов идентификации и аутентификации пользователей согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7 с учетом требований ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения». Доступ к серверу виртуализации libvirt для управления средствами виртуализации и доступ непосредственно к рабочему столу виртуальной машины при их локальном и удаленном обращении осуществляется только после прохождения процессов идентификации и аутентификации субъектов доступа в ОС СН. Взаимная идентификация и аутентификация пользователей и средства виртуализации при удаленном доступе возможна c использованием удаленной SSH-аутентификации, а также с использованием сетевого протокола сквозной доверенной аутентификации в ЕПП (удаленная SASL аутентификация с поддержкой Kerberos). Аутентификация объектов доступа в виртуальной инфраструктуре, запускаемых и исполняемых модулей программного обеспечения виртуальной инфраструктуры реализуется с использованием: - механизма контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на исполнение; - механизма контроля целостности файлов при их открытии на основе ЭП в расширенных атрибутах файловой системы; - механизма контроля целостности средства виртуализации «отпечаток конфигу | Защита среды виртуализации (идентификация и аутентификация пользователей при доступе к виртуальной инфраструктуре), Средства виртуализации (KVM, QEMU, libvirt), средства управления виртуализацией (virt-manager, virsh), Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС), Механизм контроля целостности в средстве виртуализации «отпечаток конфигурации» | РКСЗ.1: п.5.4 "Идентификация и аутентификация пользователей в среде виртуализации", п.5.5 "Доверенная загрузка виртуальных машин", п.5.6 "Контроль целостности в среде виртуализации". РА.1: п.9.1.7 "Идентификация и аутентификация при доступе к серверу виртуализации libvirt" РА.1: п.9.1.8 "Идентификация и аутентификация при доступе к рабочему столу виртуальных машин", п. 9.1.10 "Доверенная загрузка виртуальных машин", п. 9.1.11 "Контроль целостности в среде виртуализации" Справочный центр: https://wiki.astralinux.ru/x/cQIy (Виртуализация QEMU/KVM в Astra Linux) |
11 | ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + | + | + | + | Средства Astra Linux | + | + | Работа в среде виртуализации libvirt подчиняется правилам дискреционного управления доступом и возможна только после прохождения обязательной процедуры идентификации и аутентификации. Монитор обращений контролирует доступ к средствам управления виртуальной инфраструктурой, виртуальным машинам (ВМ), файлам-образам ВМ, виртуальному аппаратному обеспечению, к гипервизору и служебным данным. Дискреционное управление доступом при работе с сервером виртуализации libvirt осуществляется драйвером доступа parsec, специально разработанным с использованием прикладного программного интерфейса драйверов доступа libvirt. Основанием для принятия решения о предоставлении доступа к ВМ является сравнение дискреционных атрибутов ВМ и дискреционных атрибутов пользователя с учетом выполняемой операции и режима запуска ВМ. Также в средстве виртуализации реализован механизм ролевого управления доступом, который базируется на совместном применении драйвера доступа parsec и драйвера доступа Polkit, обеспечивающего разграничение возможностей выполнения привилегированных операций с объектами виртуализации. Управление доступом в виртуальной инфраструктуре осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12. | Средства виртуализации (KVM, QEMU, libvirt), Защита среды виртуализации (драйвер дискреционного управления доступом parsec, драйвер ролевого управления polkit), средства управления виртуализацией (virt-manager, virsh) | РКСЗ.1: п.5.1 "Дискреционное и ролевое управление доступом в среде виртуализации", п.5.3 "Режим «только чтение»: запрет модификации образа виртуальной машины" РА.1: п.9.1.9 "Ролевое управления доступом" Справочный центр: https://wiki.astralinux.ru/x/cQIy (Виртуализация QEMU/KVM в Astra Linux) |
В режиме ОС СН "Максимальный" работа в среде виртуализации libvirt подчиняется правилам как дискреционного, так и мандатного управления доступом и возможна только после прохождения обязательной процедуры идентификации и аутентификации. Монитор обращений контролирует доступ к средствам управления виртуальной инфраструктурой, виртуальным машинам (ВМ), файлам-образам ВМ, виртуальному аппаратному обеспечению, к гипервизору и служебным данным. Дискреционное и мандатное управление доступом при работе с сервером виртуализации libvirt осуществляется драйвером доступа parsec, специально разработанным с использованием прикладного программного интерфейса драйверов доступа libvirt. Также в средстве виртуализации реализован механизм ролевого управления доступом, который базируется на совместном применении драйвера доступа parsec и драйвера доступа Polkit, обеспечивающего разграничение возможностей выполнения привилегированных операций с объектами виртуализации. Управление доступом в виртуальной инфраструктуре осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12. | Средства виртуализации (KVM, QEMU, libvirt), Защита среды виртуализации (драйвер дискреционного и мандатного управления доступом parsec, драйвер ролевого управления polkit), средства управления виртуализацией (virt-manager, virsh) | РКСЗ.1: п.5.1 "Дискреционное и ролевое управление доступом в среде виртуализации", п.5.2 "Мандатное управление доступом в среде виртуализации", п.5.3 "Режим «только чтение»: запрет модификации образа виртуальной машины" РА.1: п.9.1.9 "Ролевое управления доступом" Справочный центр: https://wiki.astralinux.ru/x/cQIy (Виртуализация QEMU/KVM в Astra Linux) | ||||||||||
11 | ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + | + | + | Средства Astra Linux | + | + | Регистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5. Сбор, запись и хранение информации о событиях безопасности осуществляются подсистемой регистрации событий ОС СН (службой auditd, модулем фильтрации и обработки syslog-ng-mod-astra с участием демона libvirtd). Регистрация осуществляется согласно заданным правилам в системные журналы в каталогах /var/log/ и /var/log/audit/, а также в защищенный журнал /parsec/log/astra/events/. Определение перечня событий, необходимых для регистрации и учета, выполняется с использованием утилиты fly-admin-events («Настройка регистрации системных событий»). Просмотр и анализ журналов событий безопасности осуществляется администратором с использованием консольных инструментов (ausearch, aureport, aulast, auvirt, journalctl) и графических утилит fly-event-viewer (просмотр журнала /parsec/log/astra/events) и ksystemlog. Информирование администратора о событиях безопасности осуществляется с использованием «Центра уведомлений» (fly-notifications). Реагирование системы на события безопасности задается с использованием утилиты «Настройка регистрации системных событий» (fly-admin-events). Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. | Средства виртуализации (демон libvirtd), Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), Центр уведомлений (fly-notifications) | РКСЗ.1: п.5.7 "Регистрация событий безопасности в среде виртуализации" РА.1: п.9.1.12 "Регистрация событий в среде виртуализации", п.16 "Средства аудита и централизованного протоколирования" Справочный центр: https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
11 | ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | МЭ, Средства Astra Linux, СКЗИ | + | + | Реализуется с применением сертифицированных МЭ. Дополнительно может использоваться функция управления потоками информации в виртуальной инфраструктуре ОС СН. Для управления потоками информации в виртуальной инфраструктуре на канальном и сетевом уровнях применяются следующие встроенные механизмы управления потоками ОС СН, обеспечивающие сетевую фильтрацию того или иного типа: Для реализации меры использование только штатных средств может быть недостаточно. При построении виртуальных инфраструктур рекомендуется применение совместимых с ОС СН сертифицированных МСЭ: https://wiki.astralinux.ru/x/jJJYDw | Сертифицированные МЭ. Средства виртуализации (KVM, QEMU, libvirt), Защита среды виртуализации (драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), VLAN, Open vSwitch, средства управления виртуализацией (virt-manager, virsh). | РКСЗ.1: п.5.9 "Управление потоками информации в среде виртуализации" РА.1: п.9.1.14 "Управление потоками информации в среде виртуализации", п.6.8 "Программный коммутатор Open vSwitch" Справочный центр: https://wiki.astralinux.ru/x/jJJYDw (МЭ в среде виртуализации Astra Linux) | ||||
11 | ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | Средства Astra Linux, СДЗ | + | + | Доверенная загрузка виртуальных машин обеспечивается: - с использованием механизма контроля целостности файлов при их открытии на основе ЭЦП (режим ЗПС) для обеспечения динамического контроля целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода (первичного загрузчика виртуальной машины); - с использованием механизма запрета запуска исполняемых файлов и разделяемых библиотек с неверной ЭЦП, а также без ЭЦ (режим ЗПС) для контроля целостности исполняемых файлов средства виртуализации; - с использованием механизма контроля целостности в средстве виртуализации «отпечаток конфигурации», осуществляющего динамический контроль целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода. При выявлении нарушения целостности объектов контроля осуществляется блокировка их запуска. Для обеспечения доверенной загрузки ЭВМ необходимо использовать средства доверенной загрузки или аппаратно-программные модули доверенной загрузки. | Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС), Защита среды виртуализации (механизм контроля целостности в средстве виртуализации «отпечаток конфигурации») | РКСЗ.1: п.5.5 "Доверенная загрузка виртуальных машин" РА.1: п.9.1.10 "Доверенная загрузка виртуальных машин" | ||||
11 | ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | Организационные мероприятия, Средства Astra Linux | + | + | Средства виртуализации из состава ОС СН поддерживает возможность миграции виртуальных машин с одного физического хоста на другой без остановки ее работы. Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствам виртуализации Libvirt в соответствии с установленными правилами сетевого взаимодействия. В среде виртуализации реализовано создание, модификация, хранение, получение и удаление (в т.ч. централизованное) образов виртуальных машин. Для централизованного хранения образов ВМ используются хранилища данных, построенные на базе кластерной файловой системы ocfs2 или блочных устройств ceph/rbd. | Средства виртуализации (KVM, QEMU, libvirt), средства управления виртуализацией (virt-manager, virsh), Защита среды виртуализации (механизм централизованного хранения образов ВМ, механизм миграции ВМ) | РКСЗ.1: п.5.12 "Централизованное управление образами виртуальных машин и виртуальными машинами" РА.1: п.9.1.16 "Централизованное управление" | ||
11 | ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | + | + | Средства Astra Linux | + | + | Контроль целостности виртуальной инфраструктуры и ее конфигураций реализуется: - с использованием механизма контроля целостности файлов при их открытии на основе ЭЦП (режим ЗПС) для обеспечения динамического контроля целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода (первичного загрузчика виртуальной машины); - с использованием механизма запрета запуска исполняемых файлов и разделяемых библиотек с неверной ЭЦП, а также без ЭЦ (режим ЗПС) для контроля целостности исполняемых файлов средства виртуализации; - с использованием механизма контроля целостности средства виртуализации «отпечаток конфигурации», осуществляющего динамический контроль целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода; - с использованием механизм регламентного контроля целостности AFICK. | Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС), Защита среды виртуализации (механизм контроля целостности в средстве виртуализации «отпечаток конфигурации»), средства регламентного контроля целостности AFICK | РКСЗ.1: п.5.6 "Контроль целостности в среде виртуализации", п.9 "Контроль целостности", п.16.1. "Замкнутая программная среда" РА.1: п. 9.1.11 "Контроль целостности в среде виртуализации" | ||
11 | ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | + | + | Организационно-технические мероприятия, Средства Astra Linux | + | + | Резервное копирование образов виртуальных машин и конфигурации виртуального оборудования виртуальных машин, а также параметров настройки средств виртуализации и сведений о событиях безопасности реализуется с использованием встроенных в средства виртуализации ОС СН механизмов резервного копирования (инструментов командной строки virsh backup-begin, virsh dumpxml и virsh snapshot-create), а также встроенных в ОС СН средств резервного копирования, средств кластеризации и создания распределенных хранилищ информации, механизмов агрегации каналов. | Защита среды виртуализации (механизмы резервного копирования средства виртуализации virsh backup-begin, virsh dumpxml, virsh snapshot-create), Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Cредства обеспечения отказоустойчивости и высокой доступности (Ceph, OCFS2, bounding) | РКСЗ.1 п.5.8 "Резервное копирование в среде виртуализации", п.10 "Надежное функционирование" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.9.1.13 "Резервное копирование в среде виртуализации", п.17 "Резервное копирование и восстановление данных" Справочный центр: https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | ||
11 | ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + | + | + | САВЗ | - | - | Реализуется сертифицированными САВЗ | - | - | |
11 | ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | + | + | + | Организационно-технические мероприятия, Средства Astra Linux | + | + | Разбиение виртуальной инфраструктуры на сегменты может быть обеспечено с использованием штатных средств ОС, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, с применением программного многоуровневого коммутатора Open vSwitch, а также драйвера виртуальных сетей libvirt и драйвера сетевых фильтров nwfilter. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС. При построении виртуальных инфраструктур рекомендуется применение совместимых с ОС СН сертифицированных МСЭ: https://wiki.astralinux.ru/x/jJJYDw | VLAN, Open vSwitch, Защита среды виртуализации (драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Средства организации ЕПП Дополнительно: | РКСЗ.1: п.5.9 "Управление потоками информации в среде виртуализации" РА.1: п.9.1.14 "Управление потоками информации в среде виртуализации", п.6.8 "Программный коммутатор Open vSwitch" Справочный центр: https://wiki.astralinux.ru/x/8w0AB (VLAN) | |
14 | XIV. Выявление инцидентов и реагирование на них (ИНЦ) | |||||||||||
14 | ИНЦ.1 | Определение лиц, ответственных за выявление инцидентов и реагирование на них | + | + | Организационные мероприятия | - | - | - | - | - | ||
14 | ИНЦ.2 | Обнаружение, идентификация и регистрация инцидентов | + | + | Средства Astra Linux, SIEM | + | + | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | ||
14 | ИНЦ.3 | Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами | + | + | Организационные мероприятия | - | - | - | - | - | ||
14 | ИНЦ.4 | Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий | + | + | Организационные мероприятия | - | - | - | - | - | ||
14 | ИНЦ.5 | Принятие мер по устранению последствий инцидентов | + | + | Организационные мероприятия | - | - | - | - | - | ||
14 | ИНЦ.6 | Планирование и принятие мер по предотвращению повторного возникновения инцидентов | + | + | Организационные мероприятия | - | - | - | - | - | ||
15 | XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | |||||||||||
15 | УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | + | + | + | Организационные мероприятия | - | - | - | - | - | |
15 | УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты персональных данных | + | + | + | Средства Astra Linux | + | + | Управление изменениями конфигурации, применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями. Управление изменениями осуществляется в соответствии с установленными правилами разграничения доступа, изменения учитываются при регистрации событий безопасности, связанных с этими изменениями. | Средства управления конфигурациями (Ansible/Puppet/Foreman), Средства аудита (auditd, zabbix) | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible", п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
15 | УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | + | + | + | Организационные мероприятия | - | - | - | - | - | |
15 | УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных | + | + | + | Организационные мероприятия | - | - | - | - | - |