Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Принятые обозначения и сокращения
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
| Меры защиты и обеспечения безопасности | Категории значимости ЗО КИИ | Средства реализации | Уровни защищенности Astra Linux | Способ реализации меры защиты, в том числе с использованием штатных средств Astra Linux | Компоненты/Механизмы Astra Linux | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации Astra Linux | |||||
| Раздел | Код | Меры обеспечения безопасности значимого объекта | 3 | 2 | 1 | Усиленный | Максимальный | ||||
| 1 | I. Идентификация и аутентификация (ИАФ) | ||||||||||
| 1 | ИАФ.0 | Регламентация правил и процедур идентификации и аутентификации | + | + | + | Организационные мероприятия, ОРД | - | - | Правила и процедуры идентификации и аутентификации регламентируются ОРД. | - | - |
| 1 | ИАФ.1 | Идентификация и аутентификация пользователей и инициируемых ими процессов | + | + | + | Средства Astra Linux, Организационные мероприятия При необходимости: СДЗ, токены | + | + | Идентификация и аутентификация пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети, с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Поддержка двухфакторной аутентификации (PAM, ЕПП), Контроль исполняемых файлов (ЗПС) | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.19 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.2 | Идентификация и аутентификация устройств | + | + | + | Средства Astra Linux, ОРД | + | + | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Идентификация терминалов осуществляется по номеру терминала. Идентификация ЭВМ осуществляется средствами Astra Linux по МАС-адресу, по логическим именам, именам в домене. Идентификация узлов сети осуществляется по IP-адресу и МАС-адресу. Идентификация внешних устройств осуществляется по логическим именам, по комбинации имени (соответствующих файлов в /dev), логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация внешних устройств осуществляется с использованием средств контроля подключения машинных носителей информации, обеспечивающего надежное сопоставление пользователя с устройством. Аутентификация ЭВМ в домене реализуется средствами Astra Linux с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация объектов, Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Идентификация и аутентификация компьютеров (ЕПП) | РА.1: п.13.4 Настройка принтера и управления печатью, п.18 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.3 | Управление идентификаторами | + | + | + | Средства Astra Linux, Организационные мероприятия, ОРД | + | + | Управление идентификаторами пользователей осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Политика учетных записей (fly-admin-smc, FreeIPA,ALD), Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD) | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.4 | Управление средствами аутентификации | + | + | + | Средства Astra Linux, Организационные мероприятия При необходимости: СДЗ, токены | + | + | Управление средствами аутентификации (хранение, выдача, инициализация, блокирование средств) осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. В ОС реализована возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012 (ГОСТ Р 34.11-94). При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Для защиты аутентификационной информации по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012. При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации | Политика учетных записей (fly-admin-smc, FreeIPA,ALD), Поддержка двухфакторной аутентификации (PAM, ЕПП), Защита хранимой аутентификационной информации | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.19 "Поддержка средств двухфакторной аутентификации" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.5 | Идентификация и аутентификация внешних пользователей | + | + | + | Средства Astra Linux, Организационные мероприятия При необходимости: СДЗ, токены | + | + | Идентификация и аутентификация внешних пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Поддержка двухфакторной аутентификации (PAM, ЕПП) | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.19 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.6 | Двусторонняя аутентификация | Средства Astra Linux. При необходимости: СКЗИ, МЭ | + | + | При удаленном доступе обеспечивается применением сертифицированных криптографических средств защиты информации. При организации ЕПП двусторонняя аутентификация осуществляется с использованием сетевого протокола сквозной доверенной аутентификации. | Сквозная аутентификация (ЕПП) | ОП: п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП" РКСЗ.1: п.1.3 "Средства организации ЕПП" | |||
| ИАФ.7 | Защита аутентификационной информации при передаче | + | + | + | Средства Astra Linux При необходимости СКЗИ | + | + | Для защиты аутентификационной информации при ее передаче должны применяться сертифицированные средства криптографической защиты информации. При построении ЕПП защита аутентификационной информации при передаче осуществляется с использованием сетевого протокола сквозной доверенной аутентификации (Kerberos). Для защиты аутентификационной информации по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012. При сетевом доступе в рамках ЛВС в качестве дополнительной меры защиты аутентификационной информации возможно применение средства OpenVPN*. *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Сквозная аутентификация (ЕПП) | ОП: п.4.1.3 "Организация ЕПП" РА.1: п.6.10 "Средство создания защищенных каналов", п.8 "Средства организации ЕПП" РКСЗ.1: п.1.3 "Средства организации ЕПП" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | |
| 2 | II. Управление доступом (УПД) | ||||||||||
| 2 | УПД.0 | Регламентация правил и процедур управления доступом | + | + | + | Организационные мероприятия, ОРД | - | - | Правила и процедуры управления доступом регламентируются ОРД. | - | - |
| 2 | УПД.1 | Управление учетными записями пользователей | + | + | + | Средства Astra Linux, ОРД | + | + | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Средства управления локальными пользователями (fly-admin-smc), Средства управления доменным пользователями (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/R4AS (ALD) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | УПД.2 | Реализация модели управления доступом | + | + | + | Средства Astra Linux, Организационные мероприятия | + | + | Монитор обращений предусматривает дискреционное управление доступом. На защищаемые именованные объекты устанавливаются базовые правила разграничения доступа (ПРД) в виде идентификаторов номинальных субъектов, которые вправе распоряжаться доступом к данной сущности, и прав доступа к сущности. В СУБД PostgreSQL для управления правами на доступ к БД используется концепция ролей̆ - ролевое управление доступом. Под ролью понимается пользователь или группа пользователей̆ БД. Роли могут являться владельцами объектов БД и могут назначать привилегии на управление объектами для других ролей̆, имеющих доступ к данными объектам. Применение базовых ПРД не обеспечивают защиту системных и привилегированных процессов от несанкционированного доступа и управления при реализации угроз безопасности информации. В режиме защищенности «Воронеж» с целью исключения повышения привилегий пользователей и управления системных и привилегированных процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы, а также возможности изменения конфигурации программного обеспечения и параметров функционирования средств защиты информации, доступен метод мандатного контроля целостности (МКЦ). При реализации мандатного контроля целостности низкоцелостные (пользовательские) процессы не могут получить доступ к процессам высокого уровня целостности (системным и привилегированным), даже в случае несанкционированного повышения полномочий пользователя. МКЦ не предполагает использование мандатного управления доступом. Уровни целостности присваиваются по умолчанию при включении МКЦ с возможностью ручной настройки при необходимости. | Дискреционное управление доступом, МКЦ, Ролевое управление доступом в СУБД, | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД" |
| - | + | В режиме "Смоленск" дополнительно доступно мандатное управление доступом (МРД) к информации в процессе ее хранения, обработки и передачи при сетевом взаимодействии с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Мандатное управление доступом обеспечивает защиту от угроз безопасности, связанных с возможностью преднамеренных или ошибочных действий пользователей по изменению прав доступа к сущностям, владельцами которых являются пользователи, что не запрещается методом дискреционного управления доступа. Мандатное управление доступом позволяет минимизировать или исключить возможность реализации информационно-технических воздействий в результате получения несанкционированного доступа к объектам защиты различных уровней конфиденциальности. | Дискреционное управление доступом, МКЦ, МРД, Ролевое управление доступом в СУБД, | ||||||||
| 2 | УПД.3 | Доверенная загрузка | + | + | СДЗ, дополнительно: Средства Astra Linux | - | - | Доверенная загрузка средств вычислительной техники обеспечивается использованием сертифицированных средств доверенной загрузки и вспомогательными настройками Astra Linux. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control) | РКСЗ.1:п.16.5 "Функции безопасности системы" | |
| 2 | УПД.4 | Разделение полномочий (ролей) пользователей | + | + | + | ОРД, Средства Astra Linux | + | + | Разделение полномочий пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. В режимах защищенности «Смоленск» и «Воронеж» применение МКЦ из состава ОС обеспечивает дополнительный уровень распределения полномочий через установку соответствующих уровней целостности для субъектов (привилегированных пользователей) и объектов (системных файлов/папок/процессов). Уровень целостности субъекта соответствует его полномочиям по доступу к объектам в зависимости от их уровней целостности, а также отражает степень уверенности в корректности его функциональности. Все действия по администрированию системы будут выполняться доверенными субъектами в рамках привилегированных сессий. | Управление атрибутами МКЦ, Управление атрибутами локальных пользователей (fly-admin-smc), управление атрибутами доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | УПД.5 | Назначение минимально необходимых прав и привилегий | + | + | + | Средства Astra Linux, ОРД | + | + | Назначение минимально необходимых прав и привилегий, разделение полномочий пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. В режимах защищенности «Смоленск» и «Воронеж» применение МКЦ из состава ОС обеспечивает дополнительный уровень распределения полномочий через установку соответствующих уровней целостности (системных и привилегированных). Уровень целостности субъекта соответствует его полномочиям по доступу к объектам в зависимости от их уровней целостности, а также отражает степень уверенности в корректности его функциональности. Все действия по администрированию системы будут выполняться доверенными субъект-сессиями (субъектами). При реализации политики мандатного контроля целостности субъектам и сущностям задаются уровни целостности — совокупность (декартово произведение) неиерархических уровней (категорий) целостности и иерархических (линейных) уровней целостности. Для администрирования подсистемы мандатного контроля целостности множество Linux привилегий расширено специальными привилегиями. | Управление атрибутами МКЦ, Управление атрибутами локальных пользователей (fly-admin-smc), управление атрибутами доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| - | + | В режиме защищенности «Смоленск» субъектам и сущностям задаются классификационные метки (уровни конфиденциальности и категории конфиденциальности). Для администрирования подсистемы мандатного управления доступом множество Linux привилегий расширено специальными привилегиями. | Управление атрибутами МРД, Управление атрибутами МКЦ, Управление атрибутами локальных пользователей (fly-admin-smc), управление атрибутами доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД | ||||||||
| 2 | УПД.6 | Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему | + | + | + | Средства Astra Linux, ОРД | + | + | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | УПД.7 | Предупреждение пользователя при его доступе к информационным ресурсам | Сторонними программными средствами | - | - | - | - | - | |||
| 2 | УПД.8 | Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе | Средства Astra Linux | + | + | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | Защищенная графическая подсистема - Средства управление рабочим столом Fly (fly-notify-prevlogin) | РА.1: п.11.6 "Рабочий стол Fly" | |||
| 2 | УПД.9 | Ограничение числа параллельных сеансов доступа | + | Средства Astra Linux, ОРД | + | + | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга. | Механизм ограничения системных ресурсов (ulimits), средства аудита (auditd, zabbix) | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16.5.3. "Установка квот на использование системных ресурсов" Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog | ||
| 2 | УПД.10 | Блокирование сеанса доступа пользователя при неактивности | + | + | + | Средства Astra Linux, ОРД | + | + | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется защищённой графической подсистемой автоматически или по запросу. Управление параметрами политики блокировки осуществляется администратором в соответствии с организационно-распорядительной документацией с помощью инструментов управления политикой безопасности локально или централизованно с использованием средств управления доменом. | Защищенная графическая подсистема - Средства управление рабочим столом Fly (fly-admin-theme) | РА.1: п.11.6 "Рабочий стол Fly" РКСЗ.1: п.17.2 "Указания по эксплуатации ОС" Справка Astra Linux по утилите настройки элементов рабочего стола fly-admin-theme |
| 2 | УПД.11 | Управление действиями пользователей до идентификации и аутентификации | + | + | + | Средства Astra Linux, ОРД, СДЗ | + | + | Защищенная графическая подсистема обеспечивает по умолчанию запрет пользователям на любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему fly-admin-dm, параметров системного загрузчика Grub, и управлением системных блокировок. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | ОП: п.4.1.2 "Идентификация и аутентификация" РП:1: п.2.1 "Графический вход в систему" РКСЗ.1: п.16.5.11 "Управление автоматическим входом", п.16.5.19 "Отключение отображения меню загрузчика" Справка Astra Linux по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2 https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) |
| 2 | УПД.12 | Управление атрибутами безопасности | Средства Astra Linux, ОРД | - | + | В Astra Linux реализовано мандатное управление доступом к информации в процессе ее хранения, обработки и передачи при сетевом взаимодействии с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Управление атрибутами безопасности осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией. | МРД | РКСЗ.1: п.4.2 "Мандатное управление доступом" | |||
| 2 | УПД.13 | Реализация защищенного удаленного доступа | + | + | + | СКЗИ, ОРД Дополнительно: Средства Astra Linux | - | - | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сторонними сертифицированными криптографическими средствами защиты информации. В качестве дополнительной меры для обеспечения защищенного доступа для компьютеров в одной сети (в рамках ЛВС) возможно применение средства OpenVPN* из состава Astra Linux. *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации и не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | - | РА.1: п.6.10 "Средство создания защищенных каналов" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
| 2 | УПД.14 | Контроль доступа из внешних информационных (автоматизированных) систем | + | + | + | Средства Astra Linux, ОРД, Организационно-технические мероприятия. Дополнительно: МЭ, средства однонаправленной передачи | + | + | Для контроля доступа из внешних информационных (автоматизированных) систем применяются сертифицированные средства межсетевого экранирования и средства однонаправленной передачи информации. С целью контроля сетевых потоков на уровне узла в качестве дополнительной меры возможно применение функций фильтрации и контроля сетевых потоков из состава Astra Linux (система netfilter) (не является сертифицированным МЭ). Организация взаимодействия с информационными системами сторонних организаций возможна с использованием средств построения доверительных отношений между доменами из состава Astra Linux с возможностью обращения клиентов одного домена к ресурсам другого домена. При построении доверительных отношений контроль доступа к информационной системе авторизованных пользователей внешних информационных систем осуществляется в соответствии с УПД.2. | ЕПП Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.11 "Фильтрация сетевого потока" РА.1: п.8 "Средства организации ЕПП" |
| 3 | III. Ограничение программной среды (ОПС) | ||||||||||
| 3 | ОПС.0 | Регламентация правил и процедур ограничения программной среды | + | + | Организационные мероприятия, ОРД | - | - | Политика ограничения программной среды разрабатывается администратором и регламентируется в ОРД. | - | - | |
| 3 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения | + | Средства Astra Linux, ОРД, СДЗ | + | + | Управление запуском (обращениями) в информационной системе только разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды: путем организации замкнутой программной среды (ЗПС), применением системного и графического киоска, средствами системных блокировок (astra-safepolicy), настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управлением запуска сервисов, системных служб, приложениями, планировщиком задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-safepolicy), управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планирование запуска задач (fly-admin-cron) | РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.5 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy) Справка Astra Linux по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron | ||
| 3 | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения | + | + | Средства Astra Linux, ОРД | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки (и запуска) в информационную систему только разрешенного программного обеспечения в режимах защищенности «Смоленск» и «Воронеж» обеспечивается средствами динамического контроля целостности (ЗПС) в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (ЭЦП). Организация замкнутой программной среды (ЗПС) обеспечит защиту от возможности загрузки и запуска исполняемого файла программного обеспечения или библиотеки, не обладающих корректной ЭЦП. Для обеспечения контроля параметров настройки компонентов программного обеспечения допускается использование программных средств управления конфигурациями. | Доверенный служебный репозиторий (ЗПС), Управление программными пакетами (synaptic), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев») https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка Astra Linux по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |
| 3 | ОПС.3 | Управление временными файлами | Средства Astra Linux, ОРД | + | + | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти и встроенного в ядро Astra Linux механизма очистки активных разделов страничного обмена. | Механизм очистки внешней памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), Механизм очистки оперативной памяти (linux kernel) | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.5.30 "Управление безопасным удалением файлов", п.16.5.31 "Управление очисткой разделов подкачки" | |||
| 4 | IV. Защита машинных носителей информации (ЗНИ) | ||||||||||
| 4 | ЗНИ.0 | Регламентация правил и процедур защиты машинных носителей информации | + | + | + | Организационные мероприятия, ОРД | - | - | Политика защиты машинных носителей информации разрабатывается администратором и регламентируется в ОРД. | - | - |
| 4 | ЗНИ.1 | Учет машинных носителей информации | + | + | + | Организационные мероприятия, ОРД | + | + | Учет машинных носителей информации, используемых в информационной системе для хранения и обработки информации, осуществляется в журналах ОРД. Регистрация устройств в базе учета устройств Astra Linux осуществляется с использованием встроенных средств регистрации и учета устройств, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства управления регистрацией и учетом устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
| 4 | ЗНИ.2 | Управление физическим доступом к машинным носителям информации | + | + | + | Организационные мероприятия, ОРД | + | + | Политика управления доступом к машинным носителям информации разрабатывается администратором и регламентируется в ОРД. Реализация правил и процедур доступа к машинным носителям информации осуществляется с использованием встроенных средств регистрации и учета устройств, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
| - | + | Реализация политики управления доступом к машинным носителям информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | ||||||||
| 4 | ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | Организационные мероприятия, ОРД | + | + | Контроль перемещения машинных носителей информации за пределы контролируемой зоны обеспечивается администратором и регламентируется ОРД. Учет перемещаемых машинных носителей информации осуществляется в соответствии с ЗНИ.1 | - | - | |||
| 4 | ЗНИ.4 | Исключение возможности несанкционированного чтения информации на машинных носителях информации | Организационные мероприятия, ОРД | + | + | Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, осуществляется с применением средств Astra Linux, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |||
| - | + | Реализация политики управления доступом к машинным носителям информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | ||||||||
| 4 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации | + | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Контроль использования интерфейсов ввода (вывода) реализуется с использованием механизма контроля подключаемых носителей из состава ОС СН путем настройки правил менеджера устройств udev (например, возможно ограничение на подключение устройства только в определенный USB-порт, запрет использования шин ввода (вывода) и т.д.), а также средств управления драйверами (удаление драйверов, обеспечивающих работу интерфейсов ввода (вывода)). | Средства разграничения доступа к подключаемым устройствам (udev), управление драйверами | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
| 4 | ЗНИ.6 | Контроль ввода (вывода) информации на съемные машинные носители информации | + | Средства Astra Linux, ОРД | + | + | Реализуется средствами Astra Linux, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||
| - | + | Реализация политики управления доступом к машинным носителям информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | ||||||||
| 4 | ЗНИ.7 | Контроль подключения съемных машинных носителей информации | + | + | + | Средства Astra Linux, ОРД | + | + | Контроль подключения машинных носителей информации реализуется средствами Astra Linux, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.5.21 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
| - | + | Контроль подключения машинных носителей информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | ||||||||
| ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях информации | + | + | + | Средства Astra Linux, ОРД | + | + | Гарантированное уничтожение (стирание) информации на машинных носителях, исключающие возможность восстановления защищаемой информации, в режимах защищенности «Смоленск» и «Воронеж» обеспечивается механизмом очистки оперативной и внешней памяти на разделах с файловыми системами ext2, ext3, ext4, xfs. Данные любых файлов в пределах заданной ФС предварительно очищаются предопределенной или псевдослучайной маскирующей последовательностью. | Механизм очистки внешней памяти (astra-secdel-control) | РКСЗ.1: п.8 "Защита памяти" Справка Astra Linux по работе с утилитой форматирования внешних носителей fly-admin-format | |
| 5 | V. Аудит безопасности (АУД) | ||||||||||
| 5 | АУД.0 | Регламентация правил и процедур аудита безопасности | + | + | + | Организационные мероприятия, ОРД | - | - | Политика аудита безопасности разрабатывается администратором и регламентируется в ОРД. | - | - |
| 5 | АУД.1 | Инвентаризация информационных ресурсов | + | + | + | Организационные мероприятия, ОРД | - | - | - | - | - |
| 5 | АУД.2 | Анализ уязвимостей и их устранение | + | + | + | Организационные мероприятия, ОРД | - | - | Выявление и оперативное устранение уязвимостей Astra Linux производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76, и ГОСТ Р 56939. | - | - |
| 5 | АУД.3 | Генерирование временных меток и (или) синхронизация системного времени | + | + | + | Средства Astra Linux | + | + | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в Astra Linux служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) | РА.1: п.6.7 (Службы точного времени) https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени) |
| 5 | АУД.4 | Регистрация событий безопасности | + | + | + | Средства Astra Linux, ОРД, SIEM | + | + | Регистрация событий безопасности осуществляется с помощью подсистемы регистрации событий (службы auditd и модуля фильтрации и обработки syslog-ng-mod-astra) путем ведения журналов аудита событий безопасности. Состав регистрируемой информации соответствует ГОСТ Р 59548-2022. Регистрация осуществляется согласно заданным правилам в системные журналы в каталогах /var/log/ и /var/log/audit/, а также в защищенный журнал /parsec/log/astra/events. Определение перечня событий, необходимых для регистрации и учета, выполняется с использованием утилиты fly-admin-events («Настройка регистрации системных событий»). Просмотр и анализ журналов событий безопасности осуществляется администратором с использованием консольных инструментов (ausearch, aureport, journalctl) и графических утилит fly-event-viewer (просмотр журнала /parsec/log/astra/events) и ksystemlog (просмотр журнала аудита audit.log). Информирование администратора о событиях безопасности осуществляется с использованием «Центра уведомлений» (fly-notifications). Реагирование системы на события безопасности задается с использованием утилиты «Настройка регистрации системных событий» (fly-admin-events). Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. | Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit). | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog |
| 5 | АУД.5 | Контроль и анализ сетевого трафика | + | ОРД, SIEM, МЭ, СОВ. Дополнительно: Средства Astra Linux | + | + | Контроль и анализ сетевого трафика осуществляется с использованием сертифицированных средств межсетевого экранирования. С целью выявления инцидентов безопасности и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. В качестве дополнительной меры контроля трафика на уровне узла может применяться функция фильтрации и контроля сетевых потоков Astra Linux (система netfilter) (не является сертифицированным МЭ). Управление правилами осуществляется администратором с использованием средств управления фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов. | Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables), Средства аудита (syslog-ng-mod-astra, auditd, zabbix) | РКСЗ.1: п.6 "Регистрация событий безопасности", п.11 "Фильтрация сетевого потока" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog | ||
| - | + | В режиме "Смоленск" правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками). Для поддержки мандатного управления доступом в сетевые пакеты протокола IPv4 (IPv6) внедряются классификационные метки. Порядок присвоения классификационных меток и их формат соответствует национальному стандарту ГОСТ Р 58256-2018. Прием сетевых пакетов подчиняется мандатным ПРД. | Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables), Модуль astralabel, Средства аудита (syslog-ng-mod-astra, auditd, zabbix) | ||||||||
| 5 | АУД.6 | Защита информации о событиях безопасности | + | + | + | Средства Astra Linux, ОРД | + | + | Доступ к журналам аудита контролируется монитором обращений из состава Astra Linux в соответствии с установленными правилами разграничения доступа. В режиме "Воронеж" защита журнала аудита реализованной в Astra Linux подсистемы регистрации событий (syslog-ng-mod-astra) осуществляется средствами МКЦ (файл журнала и процесс, который его ведет, имеют метку высокой целостности). Дополнительно защита журнала обеспечивается отслеживанием изменения и удаления файла журнала недоверенными процессами. | МКЦ, Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Дискреционное управление доступом | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с программой просмотра файлов журналов ksystemlog |
| 5 | АУД.7 | Мониторинг безопасности | + | + | + | Средства Astra Linux, ОРД, Организационные мероприятия, SIEM, СОВ | + | + | Мониторинг (просмотр, анализ) результатов регистрации локальных событий безопасности Astra Linux осуществляется с использованием средств просмотра журналов подсистемы регистрации событий (auditd, syslog-ng-mod-astra): консольных инструментов ausearch, aureport, journalctl и графических утилит fly-event-viewer (просмотр журнала /parsec/log/astra/events) и ksystemlog (просмотр журнала аудита audit.log). Информирование администратора о событиях безопасности осуществляется с использованием «Центра уведомлений» (fly-notifications). Реагирование системы на события безопасности задается с использованием утилиты «Настройка регистрации системных событий» (fly-admin-events). За реагирование отвечает демон KNotification, который обрабатывает входящие от syslog-ng события и выполняет соответствующее (заданное во fly-admin-events) действие. Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. | Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с программой просмотра файлов журналов ksystemlog |
| 5 | АУД.8 | Реагирование на сбои при регистрации событий безопасности | + | + | + | Средства Astra Linux, ОРД | + | + | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляется с использованием подсистемы регистрации событий (auditd, syslog-ng-mod-astra) и средств централизованного протоколирования и анализа журналов аудита Zabbix. Информирование администратора о событиях безопасности осуществляется с использованием «Центра уведомлений» (fly-notifications). Реагирование системы на события безопасности задается с использованием утилиты «Настройка регистрации системных событий» (fly-admin-events). За реагирование отвечает демон KNotification, который обрабатывает входящие от syslog-ng события и выполняет соответствующее (заданное во fly-admin-events) действие. | Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) |
| 5 | АУД.9 | Анализ действий отдельных пользователей | + | Средства Astra Linux, ОРД | + | + | Просмотр и анализ информации о действиях пользователей осуществляется администратором с использованием консольных инструментов (ausearch, aureport, journalctl) и графических утилит fly-event-viewer (просмотр журнала /parsec/log/astra/events) и ksystemlog (просмотр журнала аудита audit.log). Для решения задач централизованного протоколирования и анализа действий пользователя используется программное решение Zabbix. | Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (syslog-ng-mod-astra, fly-admin-smc, system-config-audit) | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с программой просмотра файлов журналов ksystemlog | ||
| 5 | АУД.10 | Проведение внутренних аудитов | + | + | + | Организационные мероприятия, ОРД | - | - | - | - | - |
| 5 | АУД.11 | Проведение внешних аудитов | Организационные мероприятия, ОРД | - | - | - | - | - | |||
| 6 | VI. Антивирусная защита (АВЗ) | ||||||||||
| 6 | АВЗ.0 | Регламентация правил и процедур антивирусной защиты | + | + | + | Организационные мероприятия, ОРД | - | - | Политика антивирусной защиты разрабатывается администратором и регламентируется в ОРД. | - | - |
| 6 | АВЗ.1 | Реализация антивирусной защиты | + | + | + | САВЗ | - | - | - | - | - |
| 6 | АВЗ.2 | Антивирусная защита электронной почты и иных сервисов | + | + | + | САВЗ | - | - | - | - | - |
| 6 | АВЗ.3 | Контроль использования архивных, исполняемых и зашифрованных файлов | + | САВЗ Дополнительно: Средства Astra Linux | + | + | Контроль использования файлов в режиме "Воронеж" обеспечивается монитором обращений из состава Astra Linux, средствами регламентного контроля целостности объектов файловой системы (afick) и динамического контроля целостности (режим ЗПС). Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, архивных, исполняемых и зашифрованных файлов в соответствии с установленными правилами разграничения доступа. Использование мандатного контроля целостности (МКЦ) позволит исключить возможность несанкционированного изменения параметров настройки средств защиты информации. Механизм контроля целостности исполняемых файлов и разделяемых библиотек формата ELF позволит осуществлять контроль целостности исполняемых файлов как в процессе загрузки, так и динамически в процессе работы системы. Механизм контроля целостности файлов при их открытии на основе ЭЦП в расширенных атрибутах файловой системы Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах (auditd, syslog-ng-mod-astra). | МКЦ, Контроль расширенных атрибутов (ЗПС), Дискреционное управление доступом, Контроль целостности (afick, fly-admin-int-check), Cредства аудита (syslog-ng-mod-astra, auditd, zabbix), Cредства просмотра журналов (fly-event-viewer, ksystemlog) | РА.1: п.5 "Управление программными пакетами" РКСЗ.1: п.3 "Дискреционное управление доступом", п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||
| 6 | АВЗ.4 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | САВЗ | - | - | - | - | - |
| 6 | АВЗ.5 | Использование средств антивирусной защиты различных производителей | + | САВЗ | - | - | - | - | - | ||
| 7 | VII. Предотвращение вторжений (компьютерных атак) (СОВ) | ||||||||||
| 7 | СОВ.0 | Регламентация правил и процедур предотвращения вторжений (компьютерных атак) | + | + | Организационные мероприятия, ОРД | - | - | Политика предотвращения вторжений (компьютерных атак) разрабатывается администратором и регламентируется в ОРД. | - | - | |
| 7 | СОВ.1 | Обнаружение и предотвращение компьютерных атак | + | + | СОВ | - | - | - | - | - | |
| 7 | СОВ.2 | Обновление базы решающих правил | + | + | СОВ | - | - | - | - | - | |
| 8 | VIII. Обеспечение целостности (ОЦЛ) | ||||||||||
| 8 | ОЦЛ.0 | Регламентация правил и процедур обеспечения целостности | + | + | + | Организационные мероприятия, ОРД | - | - | Политика обеспечения целостности разрабатывается администратором и регламентируется в ОРД. | - | - |
| 8 | ОЦЛ.1 | Контроль целостности программного обеспечения | + | + | + | Средствами Astra Linux, Организационные мероприятия (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | + | + | В режимах защищенности «Смоленск» и «Воронеж» доступна возможность организации замкнутой программной среды (ЗПС) в целях осуществления контроля целостности программного обеспечения и средств защиты информации как в процессе загрузки, так и динамически в процессе исполнения. Динамический контроль целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение ОС осуществляется модулем ядра с использованием функции хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. Дополнительно применяются средства регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | ЗПС, Контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum), Тестирование СЗИ | РКСЗ.1: п.9 "Контроль целостности", п.16.1 "Замкнутая программная среда" РКСЗ.2 https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка по работе с утилитой проверки целостности fly-admin-int-check |
| 8 | ОЦЛ.2 | Контроль целостности информации | Средствами Astra Linux, ОРД, Организационные мероприятия | + | + | Контроль целостности информации осуществляется по контрольным суммам объектов контроля как в процессе загрузки, так и динамически в процессе работы информационной системы. Динамический контроль целостности файлов при их открытии на основе ЭЦП в расширенных атрибутах файловой системы осуществляется модулем ядра с использованием функции хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. Дополнительно используются средства регламентного контроля целостности. Контроль целостности осуществляется по контрольным суммам объектов ФС в процессе загрузки системы или периодически с использованием системного планировщика заданий cron. | ЗПС, регламентный контроль целостности (afick) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности", п.16.1 "Замкнутая программная среда" | |||
| 8 | ОЦЛ.3 | Ограничения по вводу информации в информационную (автоматизированную) систему | + | Средствами Astra Linux, ОРД, Организационные мероприятия, возможна реализация на уровне прикладного ПО. | - | + | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной метки объекта (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2" | ||
| 8 | ОЦЛ.4 | Контроль данных, вводимых в информационную (автоматизированную) систему | + | + | Прикладное ПО, Средства Astra Linux, возможна реализация на уровне прикладного ПО. | + | + | Ввод пользователями информации в режиме "Воронеж" осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и метки целостности объекта (МКЦ доступен только для режимов Astra Linux "Воронеж" и "Смоленск") Контроль данных, вводимых в информационную (автоматизированную) систему, осуществляется согласно установленной политики управления доступом (мандатный контроль целостности). Контроль правильности данных, вводимых в информационную систему путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и (или) иных правил ввода информации в информационную систему (допустимые наборы символов, размерность, область числовых значений, допустимые значения, количество символов) для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию, осуществляется с использованием прикладного ПО и средств СУБД. | Мандатный контроль целостности, Дискреционное управление доступом, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) РА.2 | |
| - | + | Ввод пользователями информации в режиме "Смоленск" осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной метки объекта (МКЦ доступен только для режимов Astra Linux "Воронеж" и "Смоленск", мандатное управление доступом доступно только для режима "Смоленск"). Контроль данных, вводимых в информационную (автоматизированную) систему, осуществляется согласно установленной политики управления доступом (мандатный контроль доступа и мандатный контроль целостности). Контроль правильности данных, вводимых в информационную систему путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и (или) иных правил ввода информации в информационную систему (допустимые наборы символов, размерность, область числовых значений, допустимые значения, количество символов) для подтверждения того, что ввод информации соответствует заданному оператором формату и содержанию, осуществляется с использованием прикладного ПО и средств СУБД. | Мандатное управление доступом, Мандатный контроль целостности, Дискреционное управление доступом, СУБД | ||||||||
| 8 | ОЦЛ.5 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | + | + | Прикладное ПО, Средства Astra Linux, возможна реализация на уровне прикладного ПО. | + | + | В режиме "Воронеж" ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и метки целостности объекта (МКЦ доступен только для режимов Astra Linux "Воронеж" и "Смоленск"). Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Мандатный контроль целостности, Дискреционное управление доступом, Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.3 "Дискреционное управление доступом", п.6 "Регистрация событий безопасности" | |
| - | + | В режиме "Смоленск" ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя, метки целостности и классификационной метки объекта (МКЦ доступен только для режимов Astra Linux "Воронеж" и "Смоленск", мандатное управление доступом доступно только для режима "Смоленск"). Мандатное управление доступом обеспечивает защиту от угроз безопасности, связанных с возможностью преднамеренных или ошибочных действий пользователей по изменению прав доступа к сущностям, владельцами которых являются пользователи, что не запрещается методом дискреционного управления доступа. Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Мандатное управление доступом, Мандатный контроль целостности, Дискреционное управление доступом, Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.6 "Регистрация событий безопасности" | |||||||
| 8 | ОЦЛ.6 | Обезличивание и (или) деидентификация информации | Сторонние ПС | - | - | - | - | - | |||
| 9 | IX. Обеспечение доступности (ОДТ) | ||||||||||
| 9 | ОДТ.0 | Регламентация правил и процедур обеспечения доступности | + | + | + | Организационные мероприятия, ОРД | - | - | Политика обеспечения доступности разрабатывается администратором и регламентируется в ОРД. | - | - |
| 9 | ОДТ.1 | Использование отказоустойчивых технических средств | + | + | Организационно-технические мероприятия, ОРД Дополнительно: Средства Astra Linux | + | + | Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. В состав Astra Linux входят следующие программные средства обеспечения отказоустойчивости и высокой доступности: 1) Keepalived для организации мониторинга и обеспечения высокой доступности узлов и служб; 2) Pacemaker и Corosync, которые позволяют организовать отказоустойчивый режим из экземпляров ОС на нескольких ТС; 3) средство эффективного масштабирования HAProxy; 4) Astra Linux поддерживает распределенную файловую систему Ceph. 5) Для увеличения пропускной способности и повышения надёжности каналов передачи данных применяются механизмы агрегации сетевых каналов. 6) Средства организации ЕПП Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. 7) В ядро Astra Linux встроена программная реализация технологии RAID. | Средства аудита (zabbix), Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), Механизм ограничения системных ресурсов (ulimits) | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16.5.3 "Установка квот на использование системных ресурсов" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | |
| 9 | ОДТ.2 | Резервирование средств и систем | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | В состав Astra Linux входят следующие программные средства резервирования: 1) Средства обеспечения отказоустойчивости в домене. Средства организации ЕПП в Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена с использованием механизмов репликации, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. Также поддерживается создание обычных резервных копий всей системы и резервных копий данных. 2) Средства обеспечения отказоустойчивости и высокой доступности систем и прикладных сервисов: - для организации мониторинга и обеспечения высокой доступности узлов и служб - Keepalived; - Pacemaker и Corosync, которые позволяют организовать отказоустойчивый режим из экземпляров ОС на нескольких ТС; - средство эффективного масштабирования HAProxy; - распределенная файловая система Ceph. - в ядро Astra Linux встроена программная реализация технологии RAID. 3) Средства резервного копирования и восстановления данных включают утилиты командной строки и распределенные системы управления хранилищами данных: - комплекс программ Bacula; - утилита копирования rsync; - утилиты архивирования tar, cpio, gzip Bacula предоставляет возможность осуществлять полное резервирование ФС, инкрементальное и распределенное резервирование с удаленным управлением. Программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы. Утилита rsync предоставляет возможности для локального и удаленного копирования (резервного копирования) или синхронизации файлов и каталогов с минимальными затратами трафика. Утилиты командной строки tar, cpio, gzip представляют собой традиционные инструменты создания резервных копий и архивирования ФС. 4) Резервирование каналов связи с использованием специальных утилит, позволяющих производить агрегацию каналов связи. 5) Встроенные средства резервирования БД. PostgreSQL поддерживает возможность осуществления SQL-дампов, резервного копирования на уровне ФС и непрерывное архивирование. В процессе перезагрузки после сбоя Astra Linux автоматически выполняет программу проверки и восстановления ФС при помощи утилиты fsck. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.17 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | |
| 9 | ОДТ.3 | Контроль безотказного функционирования средств и систем | + | + | Организационные мероприятия, ОРД, Средства Astra Linux | + | + | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов, и принятию мер по восстановлению отказавших средств в соответствии с ОЦЛ.3 | Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с программой просмотра файлов журналов ksystemlog | |
| 9 | ОДТ.4 | Резервное копирование информации | + | + | + | Организационные мероприятия, Средства Astra Linux, ОРД | + | + | Для выполнения операций периодического резервного копирования информации с сохранением мандатных атрибутов и атрибутов аудита в ОС применяется: 1) комплекс программ Bacula (предоставляет возможность осуществлять полное резервирование ФС, инкрементальное и распределенное резервирование с удаленным управлением) 2) утилита rsync 3) утилита tar (программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы) 4) PostgreSQL поддерживает возможность осуществления SQL-дампов, резервного копирования на уровне ФС и непрерывное архивирование. 5) Средства организации ЕПП Astra Linux предоставляют возможность резервного копирования данных и системы, развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk) | РА.1: п.17 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) |
| 9 | ОДТ.5 | Обеспечение возможности восстановления информации | + | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Для выполнения операций восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита в ОС применяется: 1) комплекс программ Bacula (предоставляет возможность осуществлять полное резервирование ФС, инкрементальное и распределенное резервирование с удаленным управлением) 2) утилита rsync 3) утилита tar (программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы) 4) В случае возникновения ошибок в хранящихся данных, нарушению целостности или в случае программного и/или аппаратного сбоя сервера СУБД необходимо проведение процедуры восстановления БД. При этом, в зависимости от тяжести повреждений может осуществляться как сохранение существующего кластера БД, с последующим его восстановлением, так и восстановление из резервных копий, созданных в процессе регулярного проведения регламентных работ. 5) Средства организации ЕПП Astra Linux предоставляют возможность резервного копирования и восстановления данных и системы. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk) | РА.1: п.17 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка Astra Linux по работе с утилитой планирования запуска задач fly-admin-cron |
| 9 | ОДТ.6 | Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях | + | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | В целях обеспечения возможности восстановления работоспособности системы и программного обеспечения используется режим восстановления и средства резервного копирования. В процессе перезагрузки после сбоя ОС автоматически выполняет программу проверки и восстановления ФС при помощи утилиты fsck. Если повреждения ФС окажутся незначительными, то ее выполнения достаточно для обеспечения целостности ФС. В случае обнаружения серьезных повреждений ФС данная программа может предложить перезагрузить компьютер в однопользовательский режим и произвести запуск программы fsck вручную. Администратор, контролирующий процесс загрузки ОС, после сбоя должен следовать инструкциям, выдаваемым программой, описание которой приведено в электронной справке. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита в ОС применяется комплекс программ Bacula, утилита rsync и утилита tar. В случае возникновения ошибок в хранящихся данных, нарушению целостности или в случае программного и/или аппаратного сбоя сервера СУБД необходимо проведение процедуры восстановления БД. При этом, в зависимости от тяжести повреждений может осуществляться как сохранение существующего кластера БД, с последующим его восстановлением, так и восстановление из резервных копий, созданных в процессе регулярного проведения регламентных работ. Средства организации ЕПП Astra Linux предоставляют возможность резервного копирования и восстановления системы при возникновении нештатных ситуаций. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.17 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка Astra Linux по работе с утилитой планирования запуска задач fly-admin-cron |
| 9 | ОДТ.7 | Кластеризация информационной (автоматизированной) системы | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). В состав Astra Linux входят следующие программные средства обеспечения отказоустойчивости и высокой доступности: 1) Keepalived для организации мониторинга и обеспечения высокой доступности узлов и служб; 2) Pacemaker и Corosync, которые позволяют организовать отказоустойчивый режим из экземпляров ОС на нескольких ТС; 3) средство эффективного масштабирования HAProxy; 4) Astra Linux поддерживает распределенную файловую систему Ceph. 5) Для увеличения пропускной способности и повышения надёжности каналов передачи данных применяются механизмы агрегации сетевых каналов. 6) Средства организации ЕПП Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. 7) В ядро Astra Linux встроена программная реализация технологии RAID. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), репликация в домене (FreeIPA) | ОП: п.4.1.15 "Обеспечение работы в отказоустойчивом режиме" РА1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.8.3.8.2 "Создание резервного сервера FreeIPA" https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | |||
| 9 | ОДТ.8 | Контроль предоставляемых вычислительных ресурсов и каналов связи | + | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности вычислительных ресурсов и каналов связи осуществляется с использованием средств централизованного протоколирования и аудита. Максимальные квоты пользовательских процессов на аппаратные ресурсы задаются администратором в конфигурационном файле /etc/security/limits.conf. Также для управления аппаратными квотами (оперативная память, дисковое пространство) из различных пользовательских программ существует ряд системных вызовов: setrlimit(), getrlimit(), prlimit() и quotactl(). | Средства аудита (auditd, zabbix), Механизм ограничения системных ресурсов (ulimits) | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16.5.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с программой просмотра файлов журналов ksystemlog |
| 10 | X. Защита технических средств и систем (ЗТС) | ||||||||||
| 10 | ЗТС.0 | Регламентация правил и процедур защиты технических средств и систем | + | + | + | Организационные мероприятия, ОРД | - | - | Политика защиты технических средств и систем разрабатывается администратором и регламентируется в ОРД. | - | - |
| 10 | ЗТС.1 | Защита информации от утечки по техническим каналам | Организационно-технические мероприятия | - | - | - | - | - | |||
| 10 | ЗТС.2 | Организация контролируемой зоны | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
| 10 | ЗТС.3 | Управление физическим доступом | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
| 10 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
| 10 | ЗТС.5 | Защита от внешних воздействий | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
| 10 | ЗТС.6 | Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации | Организационно-технические мероприятия | - | - | - | - | - | |||
| 11 | XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС) | ||||||||||
| 11 | ЗИС.0 | Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов | + | + | + | Организационные мероприятия, ОРД | - | - | Политика защиты информационной (автоматизированной) системы и ее компонентов разрабатывается администратором и регламентируется в ОРД. | - | - |
| 11 | ЗИС.1 | Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями | + | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется в соответствии с организационно-распорядительной документацией путем установки соответствующих прав и привилегий локально с помощью инструментов управления политикой безопасности, инструментов управления СУБД или централизованно с использованием средств управления доменом. Для ограничения пользовательской среды исполнения реализован специальный режимом ограничения действий пользователя - режим "киоск", который служит для ограничения прав пользователей на запуск программ в системе. Степень этих ограничений задается маской киоска, которая накладывается на права доступа к исполняемым файлам при любой попытке пользователя получить доступ. Для установки прав доступа существует система профилей — файлы с готовыми наборами прав доступа для запуска каких-либо программ, и возможность создания таких профилей под любые пользовательские задачи. Применение МКЦ из состава ОС обеспечивает дополнительный уровень разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями через установку соответствующих уровней целостности пользователям (системных и привилегированных). | МКЦ, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, ЕПП, Управление СУБД, Системный и графический киоск | см. раздел II. УПД РА.1: п.3.3 "Управление пользователями" ОП: п.4.1.3 "Организация ЕПП" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности", https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/zQC4B (Сравнение работы режима Киоск-2 и режима киоска) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
| 11 | ЗИС.2 | Защита периметра информационной (автоматизированной) системы | + | + | + | Организационно-технические мероприятия, МЭ, СОВ | - | - | - | - | - |
| 11 | ЗИС.3 | Эшелонированная защита информационной (автоматизированной) системы | + | + | + | Организационно-технические мероприятия, МЭ, СОВ, Средства Astra Linux | + | + | Эшелонированная защита обеспечивается применением в информационной системе сертифицированных средств защиты информации, таких как средства сетевой защиты информации (межсетевые экраны, системы обнаружения/предотвращения вторжений), средства антивирусной защиты, средства для автоматизации по работе с событиями и инцидентами, применением операционной системы защищённого исполнения. На базовом уровне из состава Astra Linux для построения эшелонированной защиты применяются механизмы контроля вывода информации на носители информации, контроля информационных потоков. Для повышения уровня защиты средствами Astra Linux реализуется создание замкнутой программной среды и применение режима мандатного контроля целостности. | МКЦ, ЗПС, Средства разграничения доступа к подключаемым устройствам (udev), Средства управления регистрацией и учетом устройств (fly-admin-smc, FreeIPA, ALD), Механизм сопоставления мандатного контекста пользователя с уровнем и категориями конфиденциальности устройства, Защищенный комплекс программ печати и маркировки документов (cups), Дискреционное управление доступом. | РА.1: п.13 "Защищенный комплекс программ печати и маркировки документов", п.18 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.4.13 "Сетевое взаимодействие", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством", п.16 "Ограничение программной среды https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc |
| 11 | ЗИС.4 | Сегментирование информационной (автоматизированной) системы | + | + | Организационно-технические мероприятия, МЭ Дополнительно: Средства Astra Linux | - | - | Реализуется сертифицированными средствами межсетевого экранирования. Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств Astra Linux, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации ЕПП. | Дополнительно: VLAN, ЕПП | https://wiki.astralinux.ru/x/8w0AB (VLAN) | |
| 11 | ЗИС.5 | Организация демилитаризованной зоны | + | + | + | Организационно-технические мероприятия, МЭ | - | - | - | - | - |
| 11 | ЗИС.6 | Управление сетевыми потоками | + | + | + | МЭ, средства однонаправленной передачи, ОРД. Дополнительно: Средства Astra Linux | + | + | Реализуется с применением сертифицированных средств межсетевого экранирования. Дополнительно с целью контроля сетевых потоков на уровне узла может использоваться функция фильтрации и контроля сетевых потоков Astra Linux (netfilter) (не является сертифицированным МЭ). Управление правилами осуществляется администратором с использованием средств управления фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов. | Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.13 "Сетевое взаимодействие" |
| - | + | В режиме "Смоленск" правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками). Для поддержки мандатного управления доступом в сетевые пакеты протокола IPv4 (IPv6) внедряются классификационные метки. Порядок присвоения классификационных меток и их формат соответствует национальному стандарту ГОСТ Р 58256-2018. Прием сетевых пакетов подчиняется мандатным ПРД. | Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables), Модуль astralabel | ||||||||
| 11 | ЗИС.7 | Использование эмулятора среды функционирования программного обеспечения ("песочница") | АВЗ, Средства Astra Linux | + | + | Эмуляция среды функционирования реализуется средствами виртуализации/контейнеризации. Применение мандатного контроля целостности при применении контейнерной виртуализации позволяет полностью исключить нарушение целостности и доступности системных компонентов ОС в случае реализации угроз, а также влияние контейнеров друг на друга. | Контейнерная изоляция (lxc, docker, firejail), Запуск контейнеров Docker на пониженном уровне МКЦ (astra-docker-isolation) | РКСЗ.1: п.5 "Защита среды виртуализации", п.2 "Идентификация и аутентификация", п.7.2 "Изоляция среды исполнения контейнеров", п.16.5.14 "Запуск контейнеров Docker на пониженном уровне МКЦ" РА.1: п.9 "Виртуализация среды исполнения", п. 9.2. "Контейнеризация" https://wiki.astralinux.ru/x/XoU_Bw "Применение системы изоляции." | |||
| 11 | ЗИС.8 | Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы | + | + | + | Средства создания ложных информационных объектов, МЭ | - | - | - | - | - |
| 11 | ЗИС.9 | Создание гетерогенной среды | Организационно-технические мероприятия, Средства Astra Linux, Средства виртуализации | + | + | Возможность использования в информационной системе различных типов программного обеспечения реализуется с помощью использования виртуальной инфраструктуры, в составе которой возможно функционирование «недоверенных» гостевых операционных систем в доверенной среде Astra Linux. | Средства виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |||
| 11 | ЗИС.10 | Использование программного обеспечения, функционирующего в средах различных операционных систем | Организационно-технические мероприятия | - | - | - | - | - | |||
| 11 | ЗИС.11 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | Средства Astra Linux | + | + | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. При обычном запуске все задачи имеют один и тот же приоритет, и ОС равномерно распределяет между ними процессорное время. С помощью утилиты можно понизить приоритет той или иной задачи, предоставив другим задачам больше процессорного времени. Понизить или повысить приоритет задачам имеет право только суперпользователь. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды" | |||
| 11 | ЗИС.12 | Изоляция процессов (выполнение программ) в выделенной области памяти | Средства Astra Linux | + | + | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре Astra Linux. Одни и те же виртуальные адреса (с которыми и работает процессор) преобразуются в разные физические для разных адресных пространств. Процесс не может несанкционированным образом получить доступ к пространству другого процесса, т. к. непривилегированный пользовательский процесс лишен возможности работать с физической памятью напрямую. Механизм разделяемой памяти является санкционированным способом получить нескольким процессам доступ к одному и тому же участку памяти и находится под контролем дискреционных и мандатных ПРД. Адресное пространство ядра защищено от прямого воздействия пользовательских процессов с использованием механизма страничной защиты. | Изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов" | |||
| 11 | ЗИС.13 | Защита неизменяемых данных | + | + | Средства Astra Linux, СКЗИ | + | + | Защита файлов, не подлежащих изменению, обеспечивается принятием мер защиты информации, направленных на обеспечение их конфиденциальности и целостности: применением правил дискреционного разграничения доступа и средств регламентного контроля целостности, применением средств мандатного контроля целостности объектов файловой системы, средств внедрения цифровой подписи в расширенные атрибуты объектов файловой системы с целью контроля их неизменности. Ручная разметка жесткого диска при установке ОС позволяет применить режим монтирования "только для чтения" и защитное преобразование данных для отдельных дисковых разделов. | Контроль расширенных атрибутов (ЗПС), Мандатный контроль целостности (МКЦ), Контроль целостности (Afick), Дискреционное разграничение доступом. | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды" | |
| - | + | На максимальном уровне защищенности защита файлов обеспечивается применением правил мандатного разграничения доступа. | Мандатное разграничение доступа. | ||||||||
| 11 | ЗИС.14 | Использование неперезаписываемых машинных носителей информации | Организационно-технические мероприятия | - | - | - | - | - | |||
| 11 | ЗИС.15 | Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек | Организационно-технические мероприятия, Сторонние ПС | - | - | - | - | - | |||
| 11 | ЗИС.16 | Защита от спама | + | + | Сторонние ПС | - | - | - | - | - | |
| 11 | ЗИС.17 | Защита информации от утечек | Средства Astra Linux, МЭ, Организационно-технические мероприятия | + | + | На базовом уровне защита информации от утечек реализуется комплексным применением: - средств регистрации подключаемых носителей информации, которые обеспечивают учет и установку дискреционных атрибутов доступа пользователей к подключаемым устройствам. - средств фильтрации сетевых потоков на основании установленных правил фильтрации и атрибутов субъектов доступа (не является сертифицированным МЭ); - защищенного комплекса программ печати, обеспечивающего управление доступом на основе политик сервера CUPS. | Средства управления регистрацией и учетом устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Система фильтрации сетевых пакетов (netfilter/iptables), Защищенный комплекс программ печати и маркировки документов (cups), Дискреционное управление доступом. | РА.1: п.13 "Защищенный комплекс программ печати и маркировки документов", п.18 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.4.13 "Сетевое взаимодействие", п.13 "Маркировка документов", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Cъемные носители в ОС Astra Linux) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc | |||
| - | + | На максимальном уровне защита информации от утечек реализуется комплексным применением: - средств регистрации подключаемых носителей информации, которые обеспечивают учет и установку дискреционных и мандатных атрибутов доступа пользователей к подключаемым устройствам. Механизм сопоставления пользователя с устройством в режиме Astra Linux "Максимальный" обеспечивает надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства; - средств фильтрации сетевых потоков на основании установленных правил фильтрации, атрибутов безопасности субъектов доступа и информации (с поддержкой фильтрации на основе классификационных меток в режиме Astra Linux "Максимальный") (не является сертифицированным МЭ); - защищенного комплекса программ печати, в режиме Astra Linux "Максимальный" обеспечивающего дополнительно к управлению доступом на основе политик сервера CUPS и мандатное управление доступом. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в ненулевом мандатном контексте, невозможен. | Мандатное управление доступом, Средства управления регистрацией и учетом устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм сопоставления мандатного контекста пользователя с уровнем и категориями конфиденциальности устройства, Система фильтрации сетевых пакетов (netfilter/iptables), Защищенный комплекс программ печати и маркировки документов (cups), Дискреционное управление доступом. | ||||||||
| 11 | ЗИС.18 | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию | Средства Astra Linux, МЭ | + | + | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию, реализуется с помощью настроек защищенного комплекса программ гипертекстовой обработки данных. В качестве дополнительной меры возможно применение функции фильтрации и контроля сетевых потоков Astra Linux (netfilter) (не является сертифицированным МЭ). | Защищенный комплекс программ гипертекстовой обработки данных (Apache2) Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РА.1: п.10 "Защищенный комплекс программ гипертекстовой обработки данных" РКСЗ.1: п.11 "Фильтрация сетевого потока" | |||
| 11 | ЗИС.19 | Защита информации при ее передаче по каналам связи | + | + | + | Средства Astra Linux, СКЗИ, ОРД | - | - | Защита информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, обеспечивается путем защиты каналов связи от несанкционированного физического доступа к ним и применением в соответствии с законодательством Российской Федерации сертифицированных средств криптографической защиты информации, и применением сертифицированных средств межсетевого экранирования. В качестве дополнительной меры при сетевом доступе в рамках ЛВС могут применяться средства OpenVPN* и сервис электронной подписи (СЭП) из состава ОС СН (средства не являются сертифицированными СКЗИ). *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Дополнительно: Сервис электронной подписи (СЭП) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.9.5 «Сервис электронной подписи» https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
| 11 | ЗИС.20 | Обеспечение доверенных канала, маршрута | + | + | + | Средства Astra Linux, СКЗИ | + | + | При сетевом доступе реализуется сертифицированными криптографическими средствами защиты информации. При организации ЕПП доверенный канал дополнительно обеспечивается применением сквозной доверенной аутентификации. При локальном доступе доверенный канал обеспечивается функциями аутентификации и сохранением контекста безопасности в процессе работы. Подсистема мандатного контроля целостности обеспечивает возможность модификации системного программного обеспечения (исполняемых файлов СЗИ, библиотек) или его поведения (конфигурация, наборы входных данных) только доверенным пользователям (высокоцелостным администраторам); В качестве дополнительной меры при сетевом доступе в рамках ЛВС возможно применение встроенных в Astra Linux средства OpenVPN*. *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Поддержка двухфакторной аутентификации (PAM, ЕПП), Мандатный контроль целостности (МКЦ), Дискреционное разграничение доступа | РА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные службы, состояния и команды" РКСЗ.1: п.7.1 "Изоляция процессов" |
| 11 | ЗИС.21 | Запрет несанкционированной удаленной активации периферийных устройств | + | + | + | Средства Astra Linux, МЭ, Организационно-технические мероприятия | + | + | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, контроль доступа к подключаемым устройствам в соответствии с установленными правилами, а также применением механизма фильтрации сетевых пакетов (не является сертифицированным МЭ). Использование мандатного контроля целостности (МКЦ) позволит исключить возможность несанкционированного изменения конфигурации модулей, отвечающих за работу соответствующих периферийных устройств. | МКЦ, дискреционное управление доступом, управление драйверами/устройствами. Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом" РА.1: п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" https://wiki.astralinux.ru/x/NwLUCg (Блокировка устройств) Справка Astra Linux по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
| 11 | ЗИС.22 | Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами | Организационно-технические мероприятия, СКЗИ, МЭ, средства однонаправленной передачи информации, Средства Astra Linux | - | + | Для поддержки мандатного управления доступом в сетевые пакеты протокола IPv4 (IPv6) внедряются классификационные метки. Передача атрибутов информации в Astra Linux осуществляется в соответствии с политикой управления доступом. Защита при передаче реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением сертифицированных средств защиты канала передачи информации. Дополнительно с целью контроля сетевых потоков на уровне узла может использоваться функция фильтрации и контроля сетевых потоков Astra Linux (netfilter) с поддержкой фильтрации на основе классификационных меток (не является сертифицированным МЭ) При сетевом доступе в рамках ЛВС в качестве дополнительной меры обеспечения целостности заголовка IP-пакетов, содержащего классификационную метку, допускается применение программного средства Astra Linux, обеспечивающего подлинность и целостность передаваемых данных (OpenVPN*). *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Мандатное управление доступом Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables), Модуль astralabel | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.4.2 "Мандатное управление доступом", п.4.13 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока" | |||
| 11 | ЗИС.23 | Контроль использования мобильного кода | Средства Astra Linux, ОРД | + | + | В составе установочного диска Astra Linux отсутствуют средства связанные с технологиями мобильного кода использующими Java, ActiveX, VBScript. Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами ограничения программной среды. Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | Средства аудита (syslog-ng-mod-astra), утилита fly-event-viewer «Журнал системных событий», ограничивающие функции безопасности (astra-interpreters-lock) | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.5 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) | |||
| 11 | ЗИС.24 | Контроль передачи речевой информации | Организационно-технические мероприятия, ОРД | - | - | - | - | - | |||
| 11 | ЗИС.25 | Контроль передачи видеоинформации | Организационно-технические мероприятия, ОРД | - | - | - | - | - | |||
| 11 | ЗИС.26 | Подтверждение происхождения источника информации | Средства Astra Linux | + | + | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | РА.1: п.6.5 "Служба DNS" https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9) | |||
| 11 | ЗИС.27 | Обеспечение подлинности сетевых соединений | + | + | Средства Astra Linux, СКЗИ, МЭ | + | + | Подлинность сетевых соединений обеспечивается применением сертифицированных средств построения защищенных каналов и средств межсетевого экранирования. В домене подлинность сетевых соединений дополнительно обеспечивается средствами организации сквозной доверенной аутентификации (ЕПП) из состава ОС СН. При сетевом доступе в рамках ЛВС в качестве дополнительной меры обеспечения целостности пакетов допускается применение программного средства OpenVPN* из состава Astra Linux. *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Организация ЕПП (Kerberos) | РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП" | |
| 11 | ЗИС.28 | Исключение возможности отрицания отправки информации | Организационно-технические мероприятия, СКЗИ | - | - | - | - | - | |||
| 11 | ЗИС.29 | Исключение возможности отрицания получения информации | Организационно-технические мероприятия, СКЗИ | - | - | - | - | - | |||
| 11 | ЗИС.30 | Использование устройств терминального доступа | Организационно-технические мероприятия, СКЗИ, Средства Astra Linux | + | + | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | https://wiki.astralinux.ru/x/EIQyAw | |||
| 11 | ЗИС.31 | Защита от скрытых каналов передачи информации | Средства Astra Linux | - | + | В Astra Linux идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76. Условиями исключения скрытых каналов является реализуемая Astra Linux политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой областей оперативной памяти и обеспечение запуска процессов в замкнутой относительно остальных процессов среде по памяти (режимы МКЦ, механизм очистки освобождаемой внешней памяти доступны только для режимов Astra Linux "Воронеж" и "Смоленск"). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Механизм очистки внешней памяти (astra-secdel-control), режим киоска, блокировка запуска программ df,chattr,arp,ip | РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.5.12 "Блокировка запуска программ пользователя" | |||
| 11 | ЗИС.32 | Защита беспроводных соединений | + | + | + | СКЗИ, Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Для защиты беспроводных соединений в соответствии с законодательством Российской Федерации должны применяться сертифицированные средства криптографической защиты информации. Дополнительно: Ограничение на использование беспроводных соединений в ОС реализуется средствами Astra Linux, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий (Санкции PolicyKit-1), дискреционного разграничения доступом и управления драйверами устройств. | Дополнительно: Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/NwLUCg (Блокировка устройств) Справка Astra Linux по работе программой управления санкциями PolicyKit-1 |
| 11 | ЗИС.33 | Исключение доступа через общие ресурсы | + | Средства Astra Linux | + | + | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизма очистки оперативной и внешней памяти (механизм очистки освобождаемой внешней памяти доступен только для режимов Astra Linux "Воронеж" и "Смоленск") и механизма включения очистки активных разделов страничного обмена при ее распределении. Решение задачи очистки оперативной памяти основано на архитектуре ядра ОС, которое гарантирует, что обычный непривилегированный процесс не получит данные чужого процесса, если это явно не разрешено ПРД. Cредства взаимодействия между процессами контролируются с помощью ПРД, и процесс не может получить неочищенную память. Решение задачи очистки памяти на внешних носителях основано на реализации механизма, который очищает неиспользуемые блоки ФС непосредственно при их освобождении. | Механизм очистки внешней памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), Механизм очистки оперативной памяти (linux kernel) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.8.1 "Очистка памяти" | ||
| 11 | ЗИС.34 | Защита от угроз отказа в обслуживании (DOS, DDOS-атак) | + | + | + | Организационно-технические мероприятия, Средства Astra Linux, МЭ | + | + | Обеспечение защиты от угроз, направленных на отказ в обслуживании, реализуется настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей, применением функции фильтрации и контроля сетевых потоков Astra Linux (netfilter) (не является сертифицированным МЭ) и организацией замкнутой программной среды (организация ЗПС возможна только для режимов Astra Linux "Воронеж" и "Смоленск"). Ядро ОС применяет специальную технологию, которая обеспечивает защиту от переполнения буфера и запуска произвольного машинного кода за счет запрета записи в исполняемые области памяти. Максимальные квоты пользовательских процессов на аппаратные ресурсы задаются администратором в конфигурационном файле /etc/security/limits.conf. Также для управления аппаратными квотами (оперативная память, дисковое пространство) из различных пользовательских программ существует ряд системных вызовов: setrlimit(), getrlimit(), prlimit() и quotactl(). | Режим киоска, ограничивающие функции безопасности (механизмы защиты и блокировок), ЗПС, Механизм ограничения системных ресурсов (ulimits), Средства ограничения прав доступа к страницам памяти Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РКСЗ.1: п.16 "Ограничение программной среды" https://wiki.astralinux.ru/x/LoKhAQ (Настройка механизмов защиты и блокировок) https://wiki.astralinux.ru/x/zQC4B (Сравнение работы режима Киоск-2 и режима киоска) |
| 11 | ЗИС.35 | Управление сетевыми соединениями | + | + | + | МЭ, средства однонаправленной передачи, ОРД. Дополнительно: Средства Astra Linux | + | + | Реализуется с применением сертифицированных средств межсетевого экранирования. Дополнительно с целью контроля сетевых потоков на уровне узла может использоваться функция фильтрации и контроля сетевых потоков Astra Linux (netfilter) (не является сертифицированным МЭ). Управление правилами осуществляется администратором с использованием средств управления фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов. | Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.13 "Сетевое взаимодействие" |
| - | + | В режиме "Смоленск" правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками). Для поддержки мандатного управления доступом в сетевые пакеты протокола IPv4 (IPv6) внедряются классификационные метки. Порядок присвоения классификационных меток и их формат соответствует национальному стандарту ГОСТ Р 58256-2018. Прием сетевых пакетов подчиняется мандатным ПРД. | Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables), Модуль astralabel | ||||||||
| 11 | ЗИС.36 | Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем | Средства создания ложных информационных объектов, МЭ | - | - | - | - | - | |||
| 11 | ЗИС.37 | Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев) | Организационные мероприятия, Средства Astra Linux | + | + | В случае возникновения отказов перевод информационной системы в заранее определенную конфигурацию осуществляется с использованием средств восстановления Astra Linux и средств управления конфигурациями для применения наборов базовых конфигураций. Для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита в ОС применяется комплекс программ Bacula, утилита rsync и утилита tar. В процессе перезагрузки после сбоя ОС автоматически выполняет программу проверки и восстановления ФС при помощи утилиты fsck. Если повреждения ФС окажутся незначительными, то ее выполнения достаточно для обеспечения целостности ФС. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), средства управления конфигурациями (Ansible/Puppet/Foreman), fsck | РА.1: п.17 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD", п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | |||
| 11 | ЗИС.38 | Защита информации при использовании мобильных устройств | + | + | + | Организационно-технические мероприятия, Средства Astra Linux | + | + | Защита реализуется в зависимости от мобильного технического средства (типа мобильного технического средства) мерами по идентификации и аутентификации в соответствии с ИАФ.1 и ИАФ.5, управлению доступом в соответствии с УПД.2, УПД.5, УПД.13 и УПД.15, ограничению программной среды в соответствии с ОПС.3, защите машинных носителей информации в соответствии с ЗНИ.1, ЗНИ.2, ЗНИ.4, ЗНИ.8, регистрации событий безопасности в соответствии с РСБ.1, РСБ.2, РСБ.3 и РСБ.5, контролю (анализу) защищенности в соответствии с АНЗ.1, АНЗ.2 и АНЗ.3, обеспечению целостности в соответствии с ОЦЛ.1. | Средства управления регистрацией и учетом устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РА.1: п.18 "Средства разграничения доступа к подключаемым устройствам" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
| 11 | ЗИС.39 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | + | Средства Astra Linux | + | + | Средства виртуализации из состава Astra Linux поддерживают возможность миграции виртуальных машин с одного физического хоста на другой без остановки ее работы. Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствам виртуализации Libvirt в соответствии с установленными правилами сетевого взаимодействия. В среде виртуализации реализовано создание, модификация, хранение, получение и удаление (в т.ч. централизованное) образов виртуальных машин. Для централизованного хранения образов ВМ используются хранилища данных, построенные на базе кластерной файловой системы ocfs2 или блочных устройств ceph/rbd. | Средства виртуализации (KVM, QEMU, libvirt), средства управления виртуализацией (virt-manager, virsh), Защита среды виртуализации (механизм централизованного хранения образов ВМ, механизм миграции ВМ) | РКСЗ.1: п.5.14 "Централизованное управление " |
| 12 | XII. Реагирование на компьютерные инциденты (ИНЦ) | ||||||||||
| 12 | ИНЦ.0 | Регламентация правил и процедур реагирования на компьютерные инциденты | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 12 | ИНЦ.1 | Выявление компьютерных инцидентов | + | + | + | Средства Astra Linux, SIEM | - | - | - | - | - |
| 12 | ИНЦ.2 | Информирование о компьютерных инцидентах | + | + | + | Средства Astra Linux, SIEM | - | - | - | - | - |
| 12 | ИНЦ.3 | Анализ компьютерных инцидентов | + | + | + | Средства Astra Linux, SIEM | - | - | - | - | - |
| 12 | ИНЦ.4 | Устранение последствий компьютерных инцидентов | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 12 | ИНЦ.5 | Принятие мер по предотвращению повторного возникновения компьютерных инцидентов | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 12 | ИНЦ.6 | Хранение и защита информации о компьютерных инцидентах | + | + | + | Средства Astra Linux, SIEM | + | + | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. | Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), Центр уведомлений (fly-notifications) | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog |
| 13 | XIII. Управление конфигурацией (УКФ) | ||||||||||
| 13 | УКФ.0 | Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 13 | УКФ.1 | Идентификация объектов управления конфигурацией | Организационные мероприятия | - | - | - | - | - | |||
| 13 | УКФ.2 | Управление изменениями | + | + | + | Средства Astra Linux | + | + | Управление изменениями конфигурации, применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями. Управление изменениями осуществляется в соответствии с установленными правилами разграничения доступа, изменения учитываются при регистрации событий безопасности, связанных с этими изменениями. | Средства управления конфигурациями (Ansible/Puppet/Foreman), Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), Центр уведомлений (fly-notifications) | РКСЗ.1: п.6 "Регистрация событий безопасности" РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) |
| 13 | УКФ.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения | + | + | + | Средства Astra Linux, ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения. Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. В режимах защищенности «Смоленск» и «Воронеж» доступна возможность контроля установки (и запуска) в информационную систему только разрешенного программного обеспечения средствами динамического контроля целостности (ЗПС) в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (ЭЦП). Организация замкнутой программной среды (ЗПС) обеспечит защиту от возможности загрузки и запуска исполняемого файла программного обеспечения или библиотеки, не обладающих корректной ЭЦП. | Управление программными пакетами (synaptic), проверка целостности системы (fly-admin-int-check) Доверенный служебный репозиторий (ЗПС), Управление программными пакетами (synaptic), проверка целостности системы (fly-admin-int-check) | РА.1: п.5 "Управление программными пакетами" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев» fly-admin-repo) Справка Astra Linux по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check |
| 13 | УКФ.4 | Контроль действий по внесению изменений | Организационные мероприятия, Средства Astra Linux | + | + | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности. Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором. | Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), Центр уведомлений (fly-notifications) | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | |||
| 14 | XIV. Управление обновлениями программного обеспечения (ОПО) | ||||||||||
| 14 | ОПО.0 | Регламентация правил и процедур управления обновлениями программного обеспечения | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 14 | ОПО.1 | Поиск, получение обновлений программного обеспечения от доверенного источника | + | + | + | Средства Astra Linux, ОРД | + | + | Обновление безопасности производится администратором согласно документации на Astra Linux. Источником обновлений Astra Linux в соответствии с требованиями нормативных документов ФСТЭК России является официальный Интернет-ресурс разработчика. | Обновление ОС (fly-astra-update, fly-update-notifier, fly-notifications), | ОП: п.3 "Порядок обновления ОС" https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для Astra Linux) Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update |
| 14 | ОПО.2 | Контроль целостности обновлений программного обеспечения | + | + | + | Средства Astra Linux, ОРД | + | + | Контроль целостности обновлений Astra Linux до установки может быть реализован с использованием средств регламентного контроля целостности: - путем проверки соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 (gostsum); - путем проверки отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. После успешной установки обновления (в том числе, после установки обновления базового репозитория) проверка целостности программных пакетов установочного диска осуществляется проведением динамического контроля целостности файлов с использованием электронной цифровой подписи (режим ЗПС доступен только для режимов Astra Linux "Воронеж" и "Смоленск") и регламентного контроля целостности с использованием утилиты fly-admin-int-check с применением файла gostsums.txt, расположенного в корневом каталоге образа диска обновления repository-update.iso. Контроль установки обновлений ОС выполняется одним из следующих способов: - в «ручном» режиме путём сравнения списка установленных обновлений со списком обновлений, зафиксированным в журнале установки обновлений; - автоматизированный контроль установленных обновлений с использованием программы "Проверка обновлений" (пакет fly-update-notifier); - с использованием программы «Центр уведомлений» (пакет fly-notifications), реализующей вывод сообщений для пользователя на рабочем столе; - контроль установленных обновлений с использованием программных средств управления конфигурациями. | Обновление ОС (fly-astra-update, fly-update-notifier, fly-notifications), Регламентный контроль целостности (gostsum, fly-csp-cryptopro, fly-admin-int-check), динамический контроль целостности (ЗПС), управление программными пакетами (synaptic), редактор репозиториев (fly-admin-repo), Доверенный служебный репозиторий (ЗПС). Дополнительно: средства управления конфигурациями (Ansible/Puppet/Foreman) | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.3 "Порядок обновления ОС", п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Редактор репозиториев) https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка Astra Linux по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check |
| 14 | ОПО.3 | Тестирование обновлений программного обеспечения | + | + | + | Средства Astra Linux, ОРД | + | + | Контроль работоспособности встроенного комплекса средств защиты информации Astra Linux осуществляется с помощью автоматического и регламентного тестирования функций безопасности. | Тестирование СЗИ | РКСЗ.2 |
| 14 | ОПО.4 | Установка обновлений программного обеспечения | + | + | + | Средства Astra Linux, ОРД | + | + | Обновление безопасности производится администратором согласно документации на Astra Linux в ручном или автоматическом режиме. | Управление программными пакетами (synaptic), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.3 "Порядок обновления ОС", п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Редактор репозиториев) https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка Astra Linux по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check |
| 15 | XV. Планирование мероприятий по обеспечению безопасности (ПЛН) | ||||||||||
| 15 | ПЛН.0 | Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 15 | ПЛН.1 | Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 15 | ПЛН.2 | Контроль выполнения мероприятий по обеспечению защиты информации | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 16 | XVI. Обеспечение действий в нештатных ситуациях (ДНС) | ||||||||||
| 16 | ДНС.0 | Регламентация правил и процедур обеспечения действий в нештатных ситуациях | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 16 | ДНС.1 | Разработка плана действий в нештатных ситуациях | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 16 | ДНС.2 | Обучение и отработка действий персонала в нештатных ситуациях | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 16 | ДНС.3 | Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций | + | + | Организационно-технические мероприятия | - | - | - | - | - | |
| 16 | ДНС.4 | Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | В состав Astra Linux входят следующие программные средства резервирования: 1) Средства обеспечения отказоустойчивости в домене. Средства организации ЕПП в Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена с использованием механизмов репликации, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. Также поддерживается создание обычных резервных копий всей системы и резервных копий данных. 2) Средства обеспечения отказоустойчивости и высокой доступности систем и прикладных сервисов: - для организации мониторинга и обеспечения высокой доступности узлов и служб - Keepalived; - Pacemaker и Corosync, которые позволяют организовать отказоустойчивый режим из экземпляров ОС на нескольких ТС; - средство эффективного масштабирования HAProxy; - распределенная файловая система Ceph. - в ядро Astra Linux встроена программная реализация технологии RAID. 3) Средства резервного копирования и восстановления данных включают утилиты командной строки и распределенные системы управления хранилищами данных: - комплекс программ Bacula; - утилита копирования rsync; - утилиты архивирования tar, cpio, gzip Bacula предоставляет возможность осуществлять полное резервирование ФС, инкрементальное и распределенное резервирование с удаленным управлением. Программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы. Утилита rsync предоставляет возможности для локального и удаленного копирования (резервного копирования) или синхронизации файлов и каталогов с минимальными затратами трафика. Утилиты командной строки tar, cpio, gzip представляют собой традиционные инструменты создания резервных копий и архивирования ФС. 4) Резервирование каналов связи с использованием специальных утилит, позволяющих производить агрегацию каналов связи. 5) Встроенные средства резервирования БД. PostgreSQL поддерживает возможность осуществления SQL-дампов, резервного копирования на уровне ФС и непрерывное архивирование. В процессе перезагрузки после сбоя Astra Linux автоматически выполняет программу проверки и восстановления ФС при помощи утилиты fsck. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.17 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | |
| 16 | ДНС.5 | Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций | + | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | В Astra Linux существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить Astra Linux с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав Astra Linux входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.17 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка Astra Linux по работе с утилитой планирования запуска задач fly-admin-cron |
| 16 | ДНС.6 | Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 17 | XVII. Информирование и обучение персонала (ИПО) | ||||||||||
| 17 | ИПО.0 | Регламентация правил и процедур информирования и обучения персонала | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 17 | ИПО.1 | Информирование персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 17 | ИПО.2 | Обучение персонала правилам безопасной работы | + | + | + | Организационные мероприятия | - | - | - | - | - |
| 17 | ИПО.3 | Проведение практических занятий с персоналом по правилам безопасной работы | + | + | Организационные мероприятия | - | - | - | - | - | |
| ИПО.4 | Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + | Организационные мероприятия | - | - | - | - | - | |