Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Принятые обозначения и сокращения
Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Требования по защите информации | Классы АС | Средства реализации | Уровни защищенности Astra Linux | Способ реализации меры защиты с использованием штатных средств Astra Linux | Компоненты Astra Linux | |||||||||||
Раздел | Подсистемы и функции | Требования | 1Д | 2Б | 3Б | 1Г | 1В | 1Б | 3А | 2А | 1А | Усиленный ("Воронеж") | Максимальный ("Смоленск") | |||
ОВ | ||||||||||||||||
СС | ||||||||||||||||
С | ||||||||||||||||
ДСП | ||||||||||||||||
ПД | ||||||||||||||||
1 | I. Подсистема управления доступом | |||||||||||||||
1 | 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||||||||
1 | - в систему | Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного/временного действия длиной не менее указанного количества буквенно-цифровых символов; | 6 | 6 | 6 | 6 | 6 | 8 | 6 | 6 | Средства Astra Linux | + | + | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Решение задачи идентификации и аутентификации локальных пользователей в Astra Linux основывается на использовании механизма PAM. Если Astra Linux не настроен для работы в ЕПП, то аутентификация осуществляется с помощью локальной БД пользователей. При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Концепция ЕПП подразумевает хранение системной информации о пользователе (включая доступные мандатные уровни и категории) централизованно в службе каталогов LDAP. Для управления пользователями, группами и настройками их атрибутов используется графическая утилита, соответствующие настройки обеспечивают требования к длине пароля. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Управление политикой безопасности fly-admin-smc (Пользователи, Политики учетной записи). Управление доменным пользователями (FreeIPA,ALD) | |
Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов | 8 | Средства Astra Linux СДЗ, Токены | + | + | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Применение многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Средства поддержки двухфакторной аутентификации | ||||||||||
1 | - к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | Должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по физическим адресам (номерам); | + | + | + | + | Средства Astra Linux | + | + | Идентификация терминалов осуществляется по номеру терминала. Идентификация ЭВМ осуществляется средствами Astra Linux по МАС-адресу, по логическим именам, именам в домене. Идентификация узлов сети осуществляется по IP-адресу и МАС-адресу. Идентификация внешних устройств осуществляется по логическим именам, по комбинации имени (соответствующих файлов в /dev), логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, Управление политикой безопасности fly-admin-smc (Устройства и правила) и централизованно (FreeIPA, ALD), управление принтерами (cups) | |||||
Должна осуществляться аппаратурная идентификация и проверка подлинности терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по уникальным встроенным устройствам; | + | Сторонние средства | - | - | - | - | ||||||||||
1 | - к программам, томам, каталогам, файлам, записям, полям записей | Должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам; | + | + | + | + | Средства Astra Linux | + | + | Идентификация программ, томов, каталогов, файлов, записей, полей записи по имени реализовано модулями ядра и встроенной системой безопасности Astra Linux и СУБД из состава Astra Linux и осуществляется по логическим именам томов, каталогов, файлов, записей, полей записей, именам программ и номерам pid. Идентификация всех объектов и устройств и применение результатов идентификации производится Astra Linux по умолчанию в том числе при реализации механизмов управления доступом, контроля целостности, резервного копирования и регистрации событий безопасности, связанных с этими объектами доступа. | Идентификация по логическим именам томов, каталогов, файлов, записей, полей записей, именам программ и номерам pid | |||||
Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа; | + | + | + | + | Средства Astra Linux, ОРД | + | + | Контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа осуществляется средствами Astra Linux и СУБД из состава Astra Linux. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа запрашиваемого субъектом доступа и правил дискреционного разграничения доступа заданных для каждого объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. | Дискреционное разграничение доступа, Ролевое разграничение доступа (СУБД) | |||||||
Должна осуществляться идентификация и проверка подлинности программ, томов, каталогов, файлов, записей, полей записей по именам и контрольным суммам (паролям, ключам); | + | Средства Astra Linux, ОРД | + | + | Аутентификация запускаемых и исполняемых модулей реализуется с использованием механизма контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнения (режим ЗПС). Аутентификация объектов файловой системы, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа реализуется с использованием механизма контроля целостности файлов при их открытии на основе ЭП в расширенных атрибутах файловой системы (режим ЗПС). | Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС) | ||||||||||
1 | 1.2. Управление потоками информации | Должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации. | + | + | + | + | Средства Astra Linux | - | + | В Astra Linux реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Управление потоками осуществляется на основе меток конфиденциальности пользователей с применением мандатной политики Astra Linux и СУБД из состава Astra Linux. Управление потоками информации при доступе субъекта к объекту осуществляется на основе мандатного контекста безопасности субъекта и мандатной метки объекта. | Мандатное управление доступом, Мандатный контроль целостности | |||||
2 | II. Подсистема регистрации и учета | |||||||||||||||
2.1 Регистрация и учет: | ||||||||||||||||
2 | - входа (выхода) субъектов доступа в (из) систему (узел сети) | Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются: | + | + | + | + | + | + | + | + | + | Средства Astra Linux | + | + | Регистрация входа (выхода) субъектов доступа в систему (из системы) осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux. В параметрах регистрации указываются: дата и время события, результат попытки входа, идентификатор пользователя, код при неуспешной попытке. В качестве кода подразумевается имя пользователя UID. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch) | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) |
дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; | + | + | + | + | + | + | + | + | + | + | + | |||||
результат попытки входа: успешный или неуспешный - несанкционированный; | + | + | + | + | + | + | + | + | + | + | ||||||
идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа; | + | + | + | + | + | + | + | + | + | |||||||
код или пароль, предъявленный при неуспешной попытке | + | + | + | + | Средства Astra Linux | + | + | Регистрация дополнительных сообщений о неправильно введенном пароле при прохождении PAM-стека (логине) осуществляется с использованием пакета libpam-addlog | libpam-addlog | |||||||
2 | - выдачи печатных (графических) выходных документов | Должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются: - дата и время выдачи (обращения к подсистеме вывода); - спецификация устройства выдачи [логическое имя (номер) внешнего устройства]; - краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа; | + | + | + | + | + | + | Средства Astra Linux | + | + | Регистрация выдачи печатных (графических) документов на твёрдую копию осуществляется средствами Astra Linux с применением защищенного комплекса программ печати и маркировки документов, средств ведения журналов аудита (/var/log/cups) и записи журнала маркировки (/var/spool/cups/parsec). Управление заданиями на печать и маркировкой документов осуществляется с помощью графической утилиты управление печатью из состава Astra Linux. Маркировка отпечатанных листов документа осуществляется при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава Astra Linux. Просмотр регистрируемых событий осуществляется с использованием средств ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). | Защищенный комплекс программ печати и маркировки документов (cups), Средства аудита (auditd), Системный журнал (ksystemlog) | |||
- идентификатор субъекта доступа, запросившего документ; | + | + | + | + | + | + | + | |||||||||
- объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи успешный (весь объем), неуспешный; | + | + | + | + | + | |||||||||||
- спецификация устройства выдачи [логическое имя (номер) внешнего устройства]; | + | - | + | |||||||||||||
- краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа; | + | - | + | |||||||||||||
Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц). | + | + | + | + | + | Средства Astra Linux | - | + | Маркировка отпечатанных листов документа осуществляется при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава Astra Linux. Выдача печатных документов сопровождается автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц) при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава Astra Linux. Управление заданиями на печать и маркировкой документов осуществляется с помощью графической утилиты управления печатью из состава Astra Linux. Журнал и копии заданий маркировки записываются в каталог /var/spool/cups/parsec | Защищенный комплекс программ печати и маркировки документов (cups) | ||||||
Вместе с выдачей документа должна автоматически оформляться учетная карточка документа с указанием даты выдачи документа, учетных реквизитов документа, краткого содержания (наименования, вида, шифра, кода) и уровня конфиденциальности документа, фамилии лица, выдавшего документ, количества страниц и копий документа (при неполной выдаче документа - фактически выданного количества листов в графе «Брак»). | + | + | Средства Astra Linux | - | + | Автоматическое оформление учетной карточки документа при его выводе на печать осуществляется при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава Astra Linux. | Защищенный комплекс программ печати и маркировки документов (cups) | |||||||||
2 | - запуска (завершения) программ и процессов (заданий, задач) | Должна осуществляться регистрация запуска (завершения) всех / предназначенных для обработки защищаемых файлов программ и процессов (заданий, задач) в АС. В параметрах регистрации указываются: | + | + | + | + | + | + | Средства Astra Linux | + | + | Регистрация запуска (завершения) всех / предназначенных для обработки защищаемых файлов программ и процессов (заданий, задач) в АС осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности. Настройка регистрации событий для пользователей (аудит процессов) осуществляется с помощью локальной и доменной политики безопасности (аудит события «exec»). Настройка аудита событий осуществляется утилитой setfaud, а также утилитой конфигурации аудита system-config-audit. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время запуска, наименование запускаемой программы (расширение), устройство (том, каталог), логин пользователя, статус запуска. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) | |||
дата и время запуска; | + | + | + | + | + | + | + | |||||||||
имя (идентификатор) программы (процесса, задания); | + | + | + | + | + | + | + | |||||||||
идентификатор субъекта доступа, запросившего программу (процесс, задание); | + | + | + | + | + | + | + | |||||||||
результат запуска (успешный, неуспешный - несанкционированный); | + | + | + | + | + | + | + | |||||||||
- полная спецификация соответствующего файла "образа" программы (процесса, задания) - устройство (том, каталог), имя файла (расширение); | + | + | + | |||||||||||||
2 | - доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи | Должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются: - дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная; - идентификатор субъекта доступа; - спецификация защищаемого файла; | + | + | + | + | + | Средства Astra Linux | + | + | Регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Настройка аудита событий осуществляется утилитой setfaud, а также утилитой конфигурации аудита system-config-audit. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время запуска, наименование запускаемой программы, логин пользователя, статус запуска, вид запрашиваемой операции. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) | ||||
- имя программы (процесса, задания, задачи), осуществляющей доступ к файлу; | + | + | + | + | + | |||||||||||
- вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.); | + | + | + | + | + | |||||||||||
2 | - доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | Должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются: | + | + | + | + | + | Средства Astra Linux | + | + | Регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время попытки доступа, идентификатор субъекта доступа, спецификация защищаемого объекта, имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту, вид запрашиваемой операции. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) | ||||
- дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная; | + | + | + | + | + | + | + | |||||||||
- идентификатор субъекта доступа; | + | + | + | + | + | + | + | |||||||||
- спецификация защищаемого объекта [логическое имя (номер)]; | + | + | + | + | + | + | + | |||||||||
- имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту; | + | + | + | + | + | |||||||||||
- вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.); | + | + | + | + | + | |||||||||||
2 | - изменения полномочий субъектов доступа | Должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа. В параметрах регистрации указываются: - дата и время изменения полномочий; - идентификатор субъекта доступа (администратора), осуществившего изменения; | + | + | + | Средства Astra Linux | + | + | Регистрация изменений полномочий субъектов доступа и статуса объектов доступа осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время изменения полномочий, идентификатор субъекта доступа (администратора), осуществившего изменения, идентификатор субъекта, у которого проведено изменение полномочий и вид изменения, спецификация объекта, у которого проведено изменение статуса зашиты и вид изменения. | Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog) | ||||||
- идентификатор субъекта, у которого проведено изменение полномочий и вид изменения (пароль, код, профиль и т.п.); - спецификация объекта, у которого проведено изменение статуса защиты и вид изменения (код защиты, уровень конфиденциальности); | + | + | Средства Astra Linux | + | + | |||||||||||
2 | - создаваемых защищаемых объектов доступа | Должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта; | + | + | + | + | Средства Astra Linux | - | + | В Astra Linux реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). При создании субъектом любого из следующих объектов: механизмы многопроцессорного взаимодействия, стек TCP/IP (IPv4), ФС Ext2/Ext3/Ext4, сетевые ФС, CIFS, ФС, proc, tmpfs, - объект наследует метку на основе мандатного контекста безопасности процесса. С каждым субъектом и объектом связаны мандатный контекст безопасности и мандатная метка соответственно. | Мандатное управление доступом, МКЦ | |||||
Должен осуществляться автоматический учет инициируемых защищаемых томов, каталогов, областей оперативной памяти ЭВМ, выделяемых для обработки защищаемых файлов, внешних устройств ЭВМ, каналов связи, ЭВМ, узлов сети ЭВМ, фрагментов сети с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта; | + | + | - | + | ||||||||||||
2 | 2.2. Учет носителей информации | Должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал учетную карточку); | + | + | + | + | + | + | + | + | + | Орг.Меры, Средства Astra Linux | + | + | В Astra Linux учет защищаемых носителей информации может осуществляться локально или централизованно с использованием средств разграничения доступа к подключаемым носителям | Средства разграничения доступа к подключаемым устройствам (udev, fstab) |
Учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема); | + | + | + | + | + | + | + | + | ||||||||
Должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации; | + | + | + | + | + | + | + | |||||||||
2 | 2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | Должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей: | + | + | + | + | + | + | Средства Astra Linux | + | + | Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей информации реализуется с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов в соответствии с установленными правилами разграничения доступа Ядро Astra Linux гарантирует, что обычный непривилегированный процесс не получит данные чужого процесса, если это явно не разрешено ПРД. Средства межпроцессорного взаимодействия контролируются с помощью ПРД, и процесс не может получить неочищенную память (оперативную и дисковую). В Astra Linux реализован механизм, который очищает неиспользуемые блоки файловой системы непосредственно при их освобождении. Работа данного механизма снижает скорость выполнения операций удаления и усечения размера файла. Данные любых файлов в пределах заданной ФС предварительно очищаются предопределенной или псевдослучайной маскирующей последовательностью. | Механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | |||
Очистка осуществляется однократной/двукратной произвольной записью в освобождаемую область памяти, использованную для хранения защищаемой информации; | 1х | 2х | 2х | 2х | 2х | + | + | |||||||||
Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, в которой содержалась защищаемая информация. | 2х | + | + | |||||||||||||
2 | 2.4. Сигнализация попыток нарушения защиты | Должна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя. | + | + | + | Средства Astra Linux | + | + | Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. Zabbix предоставляет гибкий механизм сбора данных. Все отчеты и статистика Zabbix, а также параметры настройки компонентов Zabbix доступны через web-интерфейс. В web-интерфейсе реализован следующий функционал: - вывод отчетности и визуализация собранных данных; - создание правил и шаблонов мониторинга состояния сети и узлов; - определение допустимых границ значений заданных параметров; - настройка оповещений; - настройка автоматического реагирования на события безопасности. Механизм сигнализации администратору о попытке нарушения защиты реализован также в части предупреждения о нарушении замкнутой программной среды. | Средства аудита (zabbix), ЗПС | ||||||
3 | III. Криптографическая подсистема | |||||||||||||||
3 | 3.1. Шифрование конфиденциальной информации | Должно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные портативные носители данных (дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должна выполняться принудительная очистка областей внешней памяти, содержавших ранее незашифрованную информацию; | + | + | + | - | - | - | - | - | ||||||
- должны использоваться разные криптографические ключи для шифрования информации, принадлежащей различным субъектам доступа (группам субъектов); | + | - | - | - | - | - | ||||||||||
3 | 3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | Доступ субъектов к операциям шифрования и к соответствующим криптографическим ключам должен дополнительно контролироваться посредством подсистемы управления доступом; | + | + | + | - | - | - | - | - | ||||||
3 | 3.3. Использование аттестованных (сертифицированных) криптографических средств | Должны использоваться сертифицированные средства криптографической защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации криптографических средств защиты. | + | + | + | - | - | - | - | - | ||||||
4 | IV. Подсистема обеспечения целостности | |||||||||||||||
4 | 4.1. Обеспечение целостности программных средств и обрабатываемой информации | Должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом: | + | + | + | + | + | + | + | + | + | Средства Astra Linux, СДЗ | + | + | Для решения задач контроля целостности предназначена библиотека libgost, в которой для вычисления контрольных сумм реализованы функции хеширования в соответствии с ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012 с длиной хеш-кода 256 бит и ГОСТ Р 34.11-2012 с длиной хеш-кода 512 бит. Названная библиотека используется в средствах подсчета контрольных сумм файлов и оптических дисков, контроля соответствия дистрибутиву и регламентного контроля целостности, модулях аутентификации и средствах контроля целостности ФС. Регламентный контроль целостности обеспечивается набором программных средств, который представляет возможность периодического (с использованием системного планировщика заданий cron) вычисления контрольных сумм файлов и соответствующих им атрибутов с последующим сравнением вычисленных значений с эталонными. В указанном наборе программных средств реализовано использование библиотеки libgost и контроль целостности связанных с файлами атрибутов расширенной подсистемы безопасности PARSEC (мандатных атрибутов и атрибутов расширенной подсистемы протоколирования). Целостность загрузчика и ядра Astra Linux обеспечивается средствами СДЗ. | Регламентный контроль целостности (afick), проверка целостности системы (fly-admin-int-check), |
- целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ | + | + | + | + | + | + | ||||||||||
- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ; | + | + | + | + | + | |||||||||||
- целостность СЗИ НСД проверяется по контрольным суммам всех компонент СЗИ как в процессе загрузки, так и динамически в процессе работы АС; | + | Средства Astra Linux, СДЗ | + | + | Контроль целостности исполняемых файлов и библиотек формата ELF Astra Linux (в том числе СЗИ) и прикладного ПО осуществляется модулем ядра digsig_verif с использованием функции хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. | ЗПС, Регламентный контроль целостности (afick), проверка целостности системы (fly-admin-int-check) | ||||||||||
- целостность СЗИ НСД проверяется по имитовставкам алгоритма ГОСТ 28147-89 или по контрольным суммам другого аттестованного алгоритма всех компонент СЗИ как в процессе загрузки, так и динамически в процессе функционирования АС; | + | Средства Astra Linux, СДЗ | + | + | Контроль целостности исполняемых файлов и библиотек формата ELF Astra Linux (в том числе СЗИ) и прикладного ПО осуществляется модулем ядра digsig_verif с использованием функции хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. | ЗПС | ||||||||||
- целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации | + | + | + | Орг-тех.меры, Средства Astra Linux | + | + | Исключение из Astra Linux средств разработки и отладки программ осуществляется администратором с помощью инструментов управления пакетами и средствами ограничения программной среды. | Управление пакетами, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock) | ||||||||
- обеспечивается отсутствием в АС средств разработки и отладки программ | + | + | + | + | + | + | ||||||||||
- целостность программной среды обеспечивается качеством приемки программных средств в АС, предназначенных для обработки защищенных файлов; | + | + | + | + | ||||||||||||
4 | 4.2. Физическая охрана средств вычислительной техники и носителей информации | Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время | + | + | + | + | Орг-тех.меры | - | - | - | - | |||||
Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС; | + | + | + | + | + | Орг-тех.меры | - | - | - | - | ||||||
4 | 4.3. Наличие администратора (службы) защиты информации в АС | Должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. | + | + | + | + | Орг-тех.меры, Средства Astra Linux | + | + | В Astra Linux существует возможность организовать единое пространство пользователей (ЕПП), которое представляет собой средства организации работы пользователя в сети АРМ, работающих под управлением Astra Linux. Организация ЕПП обеспечивает сквозную авторизацию в сети, централизацию хранения информации об окружении пользователей, централизацию хранения настроек системы защиты информации на сервере. Средства организации ЕПП включают в себя средства администрирования. Решение задачи оперативного контроля обеспечивается средствами централизованного сбора и анализа журналов протоколирования (журналов аудита) в Astra Linux. | Средства организации домена (ALD, FreeIPA), Средства аудита (zabbix) | |||||
Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС; | + | + | + | + | + | |||||||||||
4 | 4.4 Периодическое тестирование СЗИ НСД | Должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД; | + | + | + | + | + | + | Средства Astra Linux | + | + | В состав Astra Linux входят средства тестирования функций СЗИ от НСД, находящиеся в каталоге /usr/lib/parsec/tests. Данный набор обеспечивает тестирование всех функций СЗИ от НСД из состава Astra Linux, включая: управление доступом, регистрация событий, очистка памяти, изоляция модулей, идентификация и аутентификация. В состав Astra Linux входят средства тестирования функций СЗИ СУБД, обеспечивающие тестирование всех функций СЗИ СУБД, включая управление доступом, регистрацию событий, идентификацию и аутентификацию. | Тестирование СЗИ | |||
Должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год; | + | + | + | + | + | |||||||||||
4 | 4.5. Наличие средств восстановления СЗИ НСД | Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности | + | + | + | + | + | + | + | + | + | Орг-тех.меры, Средства Astra Linux | + | + | Средства организации ЕПП Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В Astra Linux существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить Astra Linux с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав Astra Linux входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), репликация в домене (FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) |
Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие оперативное восстановление функций СЗИ НСД при сбоях; | + | Средства Astra Linux | + | + | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | |||||||||||
Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие автоматическое оперативное восстановление функций СЗИ НСД при сбоях; | + | Средства Astra Linux | + | + | ||||||||||||
4 | 4.6. Использование сертифицированных средств защиты | Должны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД. | + | + | + | + | + | Средства Astra Linux, Орг.Меры | + | + | Astra Linux является сертифицированной операционной системой в системе сертификации средств защиты информации ФСТЭК, МО, ФСБ. При использовании в автоматизированной системе дополнительных средств защиты - они также должны быть сертифицированы. | - |