Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7 (ОС СН)
Меры обеспечения безопасности значимого объекта | Категории значимости ЗО КИИ | Средства реализации | Режимы ОС СН | Способ реализации меры защиты с использованием штатных средств ОС СН | Компоненты ОС СН | ||||||
Раздел | Код | Меры обеспечения безопасности | 3 | 2 | 1 | Базовый | Усиленный | Максимальный | |||
1 | I. Идентификация и аутентификация (ИАФ) | ||||||||||
1 | ИАФ.0 | Регламентация правил и процедур идентификации и аутентификации | + | + | + | Организационные мероприятия, ОРД | - | - | - | Правила и процедуры идентификации и аутентификации регламентируются ОРД. | - |
1 | ИАФ.1 | Идентификация и аутентификация пользователей и инициируемых ими процессов | + | + | + | Средства ОС СН + Организационные мероприятия При необходимости: СДЗ, токены | + | + | + | Идентификация и аутентификация пользователей и инициируемых ими процессов осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: Средства поддержки двухфакторной аутентификации |
1 | ИАФ.2 | Идентификация и аутентификация устройств | + | + | + | Средства ОС СН + ОРД | + | + | + | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификация. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация устройств реализуется средствами ОС СН с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev, fstab), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, регистрации устройств локально (fly-admin-smc), и централизованно (FreeIPA, ALD) Защищенный комплекс программ печати и маркировки документов (cups) |
1 | ИАФ.3 | Управление идентификаторами | + | + | + | Средства ОС СН + Организационные мероприятия + ОРД | + | + | + | Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD). Управление устройствами локально (fly-admin-smc) и в домене (FreeIPA,ALD) |
1 | ИАФ.4 | Управление средствами аутентификации | + | + | + | Средства ОС СН + Организационные мероприятия При необходимости: СДЗ, токены | + | + | + | Управление средствами аутентификации осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012 При необходимости применения многофакторной аутентификации, управление токенами с использованием средств поддержки двухфакторной аутентификации. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) Дополнительно: средства поддержки двухфакторной аутентификации |
1 | ИАФ.5 | Идентификация и аутентификация внешних пользователей | + | + | + | Средства ОС СН + Организационные мероприятия При необходимости: СДЗ, токены | + | + | + | Идентификация и аутентификация внешних пользователей осуществляется локально или централизованно с помощью организации единого пространства пользователей. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: средства поддержки двухфакторной аутентификации |
1 | ИАФ.6 | Двусторонняя аутентификация | Средства ОС СН При необходимости СКЗИ | + | + | + | Двусторонняя аутентификация осуществляется с использованием сетевого протокола сквозной доверенной аутентификации в ЕПП. | Сквозная аутентификация (ЕПП) Дополнительно: СКЗИ | |||
1 | ИАФ.7 | Защита аутентификационной информации при передаче | + | + | + | Средства ОС СН При необходимости СКЗИ | + | + | + | Защита аутентификационной информации при передаче осуществляется с использованием сетевого протокола сквозной доверенной аутентификации, а также с использованием отечественных алгоритмов по ГОСТ 28147-89 и ГОСТ Р 34.11-2012, средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети или сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN). | OpenVPN, СКЗИ, Средства организации ЕПП |
2 | II. Управление доступом (УПД) | ||||||||||
2 | УПД.0 | Регламентация правил и процедур управления доступом | + | + | + | Организационные мероприятия, ОРД | - | - | - | Правила и процедуры управления доступом регламентируются ОРД. | - |
2 | УПД.1 | Управление учетными записями пользователей | + | + | + | Средства ОС СН + Организационные мероприятия | + | + | + | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) |
2 | УПД.2 | Реализация модели управления доступом | + | + | + | Средства ОС СН + Организационные мероприятия | + | + | + | Монитор обращений из состава ОС СН предусматривает дискреционное, мандатное (мандатное управление доступом доступно только для режима "Смоленск") и ролевое управление доступом, а также реализацию мандатного контроля целостности (режим МКЦ доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. Разделение полномочий (ролей) пользователей, назначение минимально необходимых прав и привилегий осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией. | Дискреционное управление доступом, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA) Дополнительно: мандатное управление доступом, МКЦ, управление доступом в БД |
2 | УПД.3 | Доверенная загрузка | + | + | СДЗ, дополнительно: Средства ОС СН | - | - | - | Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками ОС СН. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control) | |
2 | УПД.4 | Разделение полномочий (ролей) пользователей | + | + | + | ОРД + Средства ОС СН | + | + | + | Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. |
2 | УПД.5 | Назначение минимально необходимых прав и привилегий | + | + | + | Средства ОС СН + ОРД | + | + | + | Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. |
2 | УПД.6 | Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему | + | + | + | Средства ОС СН + ОРД | + | + | + | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) |
2 | УПД.7 | Предупреждение пользователя при его доступе к информационным ресурсам | Сторонними программными средствами | - | - | - | - | - | |||
2 | УПД.8 | Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе | Средства ОС СН | + | + | + | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | fly-notify-prevlogin | |||
2 | УПД.9 | Ограничение числа параллельных сеансов доступа | + | Средства ОС СН + ОРД | + | + | + | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга. | Системные ограничения ulimits (fly-admin-smc), средства аудита (auditd, zabbix) | ||
2 | УПД.10 | Блокирование сеанса доступа пользователя при неактивности | + | + | + | Средства ОС СН + ОРД | + | + | + | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу. | Средства управление рабочим столом Fly (fly-admin-theme) |
2 | УПД.11 | Управление действиями пользователей до идентификации и аутентификации | + | + | + | Средства ОС СН + ОРД При необходимости: СДЗ | + | + | + | По умолчанию пользователям запрещены любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему и параметров системного загрузчика Grub. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) |
2 | УПД.12 | Управление атрибутами безопасности | Средства ОС СН + ОРД | - | - | + | В ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Управление атрибутами безопасности осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией. | Мандатное управление доступом | |||
2 | УПД.13 | Реализация защищенного удаленного доступа | + | + | + | VPN-решения/ Средства ОС СН + ОРД | + | + | + | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ (VPN-решения) |
2 | УПД.14 | Контроль доступа из внешних информационных (автоматизированных) систем | + | + | + | Организационно-технические мероприятия + МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | + | + | + | Контроль доступа из внешних информационных (автоматизированных) систем осуществляется: - на уровне узла средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами, совместно с монитором обращений из состава ОС СН; - на уровне сетевого и межсетевого разграничения доступа - внешними средствами межсетевого экранирования, средствами однонаправленной передачи информации. | Дискреционное управление доступом, ЕПП, Средства межсетевого экранирования (astra-ufw-control) |
3 | III. Ограничение программной среды (ОПС) | ||||||||||
3 | ОПС.0 | Регламентация правил и процедур ограничения программной среды | + | + | Организационные мероприятия, ОРД | - | - | - | Политика ограничения программной среды разрабатывается администратором и регламентируется в ОРД. | - | |
3 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения | + | Средства ОС СН + ОРД, СДЗ | - | + | + | Управление запуском (обращениями) в информационной системе разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), системным и графическим киоском, а также средствами системных блокировок, настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управление запуском сервисов, системных служб, приложениями, планированием запуска задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock, astra-sysrq-lock, astra-ptrace-lock, astra-lkrg-control, astra-modban-lock, astra-noautonet-control, astra-nobootmenu-control, astra-commands-lock, astra-nochmodx-lock, astra-noautonet-control), grub (fly-admin-grub2) управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планированием запуска задач (fly-admin-cron) | ||
3 | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения | + | + | Средства ОС СН + ОРД | + | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки в информационную систему разрешенного программного обеспечения может быть реализован с использованием средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями. | Управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | |
3 | ОПС.3 | Управление временными файлами | Средства ОС СН + ОРД | - | + | + | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (доступен для режимов ОС СН "Воронеж" и "Смоленск") и встроенного в ядро ОС СН механизма изоляции процессов. | Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | |||
4 | IV. Защита машинных носителей информации (ЗНИ) | ||||||||||
4 | ЗНИ.0 | Регламентация правил и процедур защиты машинных носителей информации | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика защиты машинных носителей информации разрабатывается администратором и регламентируется в ОРД. | - |
4 | ЗНИ.1 | Учет машинных носителей информации | + | + | + | Организационные мероприятия, ОРД | - | - | - | - | - |
4 | ЗНИ.2 | Управление физическим доступом к машинным носителям информации | + | + | + | Организационные мероприятия, ОРД | - | - | - | - | - |
4 | ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | Организационные мероприятия, ОРД | - | - | - | - | - | |||
4 | ЗНИ.4 | Исключение возможности несанкционированного чтения информации на машинных носителях информации | Организационные мероприятия, ОРД | - | - | - | - | - | |||
4 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev), управление драйверами |
4 | ЗНИ.6 | Контроль ввода (вывода) информации на съемные машинные носители информации | + | Средства ОС СН + ОРД | + | + | + | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | ||
4 | ЗНИ.7 | Контроль подключения съемных машинных носителей информации | + | + | + | Средства ОС СН + ОРД | + | + | + | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev, astra-mount-lock) |
4 | ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях информации | + | + | + | Средства ОС СН + ОРД | + | + | + | Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей, средств затирания данных. | Средства затирания данных (dd, shred) Дополнительно: Механизм очистки памяти (astra-secdel-control) |
5 | V. Аудит безопасности (АУД) | ||||||||||
5 | АУД.0 | Регламентация правил и процедур аудита безопасности | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика аудита безопасности разрабатывается администратором и регламентируется в ОРД. | - |
5 | АУД.1 | Инвентаризация информационных ресурсов | + | + | + | Организационные мероприятия, ОРД | - | - | - | - | - |
5 | АУД.2 | Анализ уязвимостей и их устранение | + | + | + | Организационные мероприятия, ОРД | - | - | - | Выявление и оперативное устранение уязвимостей ОС СН производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131, и ГОСТ Р 56939. | - |
5 | АУД.3 | Генерирование временных меток и (или) синхронизация системного времени | + | + | + | Средства ОС СН | + | + | + | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в ОС СН служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) |
5 | АУД.4 | Регистрация событий безопасности | + | + | + | Средства ОС СН + ОРД, SIEM | + | + | + | Регистрация событий безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) |
5 | АУД.5 | Контроль и анализ сетевого трафика | + | Средства ОС СН + ОРД, SIEM, МЭ, СОВ. | + | + | + | Контроль сетевых потоков в ОС CН осуществляет встроенный в ядро ОС СН фильтр сетевых пакетов и монитор обращений. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. С целью выявления инцидентов безопасности и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. | Средства межсетевого экранирования (astra-ufw-control), Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | ||
5 | АУД.6 | Защита информации о событиях безопасности | + | + | + | Средства ОС СН + ОРД | + | + | + | Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита. | Средства аудита (auditd, zabbix), Дискреционное управление доступом Дополнительно: Мандатное управление доступом |
5 | АУД.7 | Мониторинг безопасности | + | + | + | Средства ОС СН + ОРД, Организационные мероприятия, SIEM, СОВ | + | + | + | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog) |
5 | АУД.8 | Реагирование на сбои при регистрации событий безопасности | + | + | + | Средства ОС СН + ОРД | + | + | + | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности. | Средства аудита (zabbix) |
5 | АУД.9 | Анализ действий отдельных пользователей | + | Средства ОС СН + ОРД | + | + | + | Просмотр и анализ информации о действиях пользователей предоставляется администратору (пользователям в соответствии с установленными правилами разграничения доступа) с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности. | Средства аудита (auditd, zabbix) | ||
5 | АУД.10 | Проведение внутренних аудитов | + | + | + | Организационные мероприятия, ОРД | - | - | - | - | - |
5 | АУД.11 | Проведение внешних аудитов | Организационные мероприятия, ОРД | - | - | - | - | - | |||
6 | VI. Антивирусная защита (АВЗ) | ||||||||||
6 | АВЗ.0 | Регламентация правил и процедур антивирусной защиты | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика антивирусной защиты разрабатывается администратором и регламентируется в ОРД. | - |
6 | АВЗ.1 | Реализация антивирусной защиты | + | + | + | АВЗ | - | - | - | - | - |
6 | АВЗ.2 | Антивирусная защита электронной почты и иных сервисов | + | + | + | АВЗ | - | - | - | - | - |
6 | АВЗ.3 | Контроль использования архивных, исполняемых и зашифрованных файлов | + | АВЗ Дополнительно: Средства ОС СН | - | + | + | Контроль использования файлов обеспечивается монитором обращений из состава ОС СН совместно с использованием средств управления программными пакетами, контроля целостности объектов файловой системы, средств ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, архивных, исполняемых и зашифрованных файлов в соответствии с установленными правилами разграничения доступа. Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | ЗПС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), Средства аудита (auditd, zabbix) Дискреционное управление доступом. Контроль расширенных атрибутов (ЗПС) | ||
6 | АВЗ.4 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | АВЗ | - | - | - | - | - |
6 | АВЗ.5 | Использование средств антивирусной защиты различных производителей | + | АВЗ | - | - | - | - | - | ||
7 | VII. Предотвращение вторжений (компьютерных атак) (СОВ) | ||||||||||
7 | СОВ.0 | Регламентация правил и процедур предотвращения вторжений (компьютерных атак) | + | + | Организационные мероприятия, ОРД | - | - | - | Политика предотвращения вторжений (компьютерных атак) разрабатывается администратором и регламентируется в ОРД. | - | |
7 | СОВ.1 | Обнаружение и предотвращение компьютерных атак | + | + | СОВ | - | - | - | - | - | |
7 | СОВ.2 | Обновление базы решающих правил | + | + | СОВ | - | - | - | - | - | |
8 | VIII. Обеспечение целостности (ОЦЛ) | ||||||||||
8 | ОЦЛ.0 | Регламентация правил и процедур обеспечения целостности | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика обеспечения целостности разрабатывается администратором и регламентируется в ОРД. | - |
8 | ОЦЛ.1 | Контроль целостности программного обеспечения | + | + | + | Средствами ОС СН, Организационные мероприятия (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | + | + | + | Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | Контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum), Тестирование СЗИ Дополнительно: ЗПС |
8 | ОЦЛ.2 | Контроль целостности информации | Средствами ОС СН, ОРД, Организационные мероприятия | + | + | + | Контроль целостности информации реализуется с использованием средств динамического и регламентного контроля целостности. | Контроль целостности (afick) | |||
8 | ОЦЛ.3 | Ограничения по вводу информации в информационную (автоматизированную) систему | + | Средствами ОС СН, ОРД, Организационные мероприятия, возможна реализация на уровне прикладного ПО. | - | - | + | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной метки объекта (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦ, СУБД | ||
8 | ОЦЛ.4 | Контроль данных, вводимых в информационную (автоматизированную) систему | + | + | Прикладное ПО, Средства ОС СН, возможна реализация на уровне прикладного ПО. | + | + | + | Контроль данных, вводимых в информационную (автоматизированную) систему, осуществляется согласно установленной политики управления доступом с использованием прикладного ПО, средств СУБД, средств протоколирования и аудита событий ОС СН. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ, СУБД | |
8 | ОЦЛ.5 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | + | + | Прикладное ПО, Средства ОС СН, возможна реализация на уровне прикладного ПО. | + | + | + | Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ | |
8 | ОЦЛ.6 | Обезличивание и (или) деидентификация информации | Сторонние ПС | - | - | - | - | - | |||
9 | IX. Обеспечение доступности (ОДТ) | ||||||||||
9 | ОДТ.0 | Регламентация правил и процедур обеспечения доступности | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика обеспечения доступности разрабатывается администратором и регламентируется в ОРД. | - |
9 | ОДТ.1 | Использование отказоустойчивых технических средств | + | + | Организационно-технические мероприятия, ОРД Дополнительно: Средства ОС СН | + | + | + | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. | Системные ограничения ulimits (fly-admin-smc), средства аудита (zabbix) Дополнительно: Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA) | |
9 | ОДТ.2 | Резервирование средств и систем | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | |
9 | ОДТ.3 | Контроль безотказного функционирования средств и систем | + | + | Организационные мероприятия, ОРД, Средства ОС СН | + | + | + | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов, и принятию мер по восстановлению отказавших средств в соответствии с ОЦЛ.3 | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | |
9 | ОДТ.4 | Резервное копирование информации | + | + | + | Организационные мероприятия, Средства ОС СН, ОРД | + | + | + | Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) |
9 | ОДТ.5 | Обеспечение возможности восстановления информации | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Восстановление информации осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) |
9 | ОДТ.6 | Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях | + | + | + | + | + | + | Восстановление информации осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | |
9 | ОДТ.7 | Кластеризация информационной (автоматизированной) системы | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), репликация в домене (FreeIPA) | |||
9 | ОДТ.8 | Контроль предоставляемых вычислительных ресурсов и каналов связи | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности вычислительных ресурсов и каналов связи осуществляется с использованием средств централизованного протоколирования и аудита. | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) |
10 | X. Защита технических средств и систем (ЗТС) | ||||||||||
10 | ЗТС.0 | Регламентация правил и процедур защиты технических средств и систем | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика защиты технических средств и систем разрабатывается администратором и регламентируется в ОРД. | - |
10 | ЗТС.1 | Защита информации от утечки по техническим каналам | Организационно-технические мероприятия | - | - | - | - | - | |||
10 | ЗТС.2 | Организация контролируемой зоны | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
10 | ЗТС.3 | Управление физическим доступом | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
10 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
10 | ЗТС.5 | Защита от внешних воздействий | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
10 | ЗТС.6 | Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации | Организационно-технические мероприятия | - | - | - | - | - | |||
11 | XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС) | ||||||||||
11 | ЗИС.0 | Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика защиты информационной (автоматизированной) системы и ее компонентов разрабатывается администратором и регламентируется в ОРД. | - |
11 | ЗИС.1 | Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется согласно ОРД локально или централизованно с использованием средств управления политикой безопасности. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, дискреционное управление доступом, средства организации домена Дополнительно: Системный и графический киоск |
11 | ЗИС.2 | Защита периметра информационной (автоматизированной) системы | + | + | + | Организационно-технические мероприятия, МЭ, СОВ | - | - | - | - | - |
11 | ЗИС.3 | Эшелонированная защита информационной (автоматизированной) системы | + | + | + | Организационно-технические мероприятия, МЭ, СОВ | + | + | + | Эшелонированная защита обеспечивается применением в информационной системе сертифицированных средств защиты информации, таких как средства сетевой защиты информации (межсетевые экраны, системы обнаружения/предотвращения вторжений), средства антивирусной защиты, средства для автоматизации по работе с событиями и инцидентами, применением операционной системы защищённого исполнения. На базовом уровне из состава ОС СН для построения эшелонированной защиты применяются механизмы контроля вывода информации на носители информации, контроля информационных потоков. Для повышения уровня защиты средствами ОС СН реализуется создание замкнутой программной среды и применение режима мандатного контроля целостности (режимы ЗПС, МКЦ доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Средства разграничения доступа к подключаемым устройствам, Средства межсетевого экранирования (astra-ufw-control), Защищенный комплекс программ печати и маркировки документов (cups), Дискреционное управление доступом. Дополнительно: МКЦ, ЗПС |
11 | ЗИС.4 | Сегментирование информационной (автоматизированной) системы | + | + | Организационно-технические мероприятия, МЭ Дополнительно: Средства ОС СН | + | + | + | Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена. | VLAN | |
11 | ЗИС.5 | Организация демилитаризованной зоны | + | + | + | Организационно-технические мероприятия, МЭ | - | - | - | - | - |
11 | ЗИС.6 | Управление сетевыми потоками | + | + | + | МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | + | + | + | Фильтрацию сетевых потоков в ОС CН осуществляет встроенный в ядро ОС СН фильтр сетевых пакетов и монитор обращений. Управление сетевыми потоками в информационной системе (фильтрация, маршрутизация, контроль соединений) обеспечивается: - на уровне узла средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для режима "Смоленск"); - на уровне сетевого и межсетевого разграничения доступа - внешними средствами межсетевого экранирования, средствами однонаправленной передачи информации. | Средства межсетевого экранирования (astra-ufw-control) |
11 | ЗИС.7 | Использование эмулятора среды функционирования программного обеспечения ("песочница") | АВЗ, Средства ОС СН | + | + | + | Эмуляция среды функционирования реализуется средствами виртуализации. | Контейнерная изоляция (lxc, docker, firejail) | |||
11 | ЗИС.8 | Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы | + | + | + | Средства создания ложных информационных объектов,МЭ | - | - | - | - | - |
11 | ЗИС.9 | Создание гетерогенной среды | Организационно-технические мероприятия, Средства ОС СН, Средства виртуализации | + | + | + | Возможность использования в информационной системе различных типов программного обеспечения реализуется с помощью использования виртуальной инфраструктуры, в составе которой возможно функционирование «недоверенных» гостевых операционных систем в доверенной среде ОС СН. | Средства виртуализации | |||
11 | ЗИС.10 | Использование программного обеспечения, функционирующего в средах различных операционных систем | Организационно-технические мероприятия | - | - | - | - | - | |||
11 | ЗИС.11 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | Средства ОС СН | + | + | + | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | |||
11 | ЗИС.12 | Изоляция процессов (выполнение программ) в выделенной области памяти | Средства ОС СН | + | + | + | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | Изоляция процессов | |||
11 | ЗИС.13 | Защита неизменяемых данных | + | + | Средства ОС СН, СКЗИ | + | + | + | Защита файлов, не подлежащих изменению, реализуется на базовом уровне применением правил дискреционного разграничения доступа, на усиленном и максимальном уровне защиты - средствами мандатного контроля целостности объектов файловой системы и средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") совместно с дискреционным разграничением доступа. | Контроль целостности (Afick), Дополнительно: Контроль расширенных атрибутов (ЗПС), Мандатный контроль целостности (МКЦ) | |
11 | ЗИС.14 | Использование неперезаписываемых машинных носителей информации | Организационно-технические мероприятия | - | - | - | - | - | |||
11 | ЗИС.15 | Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек | Организационно-технические мероприятия, Сторонние ПС | - | - | - | - | - | |||
11 | ЗИС.16 | Защита от спама | + | + | Сторонние ПС | - | - | - | - | - | |
11 | ЗИС.17 | Защита информации от утечек | Средства ОС СН, Организационно-технические мероприятия | + | + | + | На базовом уровне защита информации от утечек реализуется комплексным применением инструментов по защите машинных носителей информации, фильтрации сетевых потоков, вывода документов на печать в соответствии с установленными правилами разграничения доступа. На максимальном уровне защита информации от утечек реализуется дополнительным применением мандатного разграничения доступа с использованием классификационных меток при передаче информации по сети (фильтрации сетевых потоков), сопоставлении мандатного контекста пользователей с уровнем и категориями конфиденциальности, установленными для устройств, и маркировкой документов при их выводе на печать (мандатное управление доступом доступно только для режима "Смоленск"). | Средства разграничения доступа к подключаемым устройствам, Средства межсетевого экранирования (astra-ufw-control), Защищенный комплекс программ печати и маркировки документов (cups), Дискреционное управление доступом, Мандатное управление доступом | |||
11 | ЗИС.18 | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию | Средства ОС СН, МЭ | + | + | + | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию, реализуется с помощью средств фильтрации сетевых потоков и защищенным комплексом программ гипертекстовой обработки данных. | Защищенный комплекс программ гипертекстовой обработки данных (Apache2), Фильтрация сетевого потока (astra-ufw-control) | |||
11 | ЗИС.19 | Защита информации при ее передаче по каналам связи | + | + | + | Организационно-технические мероприятия (СКЗИ), ОРД, Средства ОС СН | + | + | + | Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использованием защищенных каналов, реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ, Средства контроля целостности (сервис электронной подписи) |
11 | ЗИС.20 | Обеспечение доверенных канала, маршрута | + | + | + | Организационно-технические мероприятия (СКЗИ), Средства ОС СН | + | + | + | Доверенный канал обеспечивается - локально функциями аутентификации и сохранением контекста; - в ЛВС при сетевом доступе встроенными в ОС СН средствами создания защищенных каналов и (или) средствами организации ЕПП; - при межсетевом доступе внешними средствами создания защищенных каналов. | OpenVPN, СКЗИ, Средства организации ЕПП |
11 | ЗИС.21 | Запрет несанкционированной удаленной активации периферийных устройств | + | + | + | Организационно-технические мероприятия (СКЗИ), Средства ОС СН | + | + | + | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов. | Средства межсетевого экранирования (astra-ufw-control), дискреционное управление доступом, управление драйверами/устройствами |
11 | ЗИС.22 | Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами | Организационно-технические мероприятия (СКЗИ, МЭ и/или средств однонаправленной передачи информации, поддерживающими форматы атрибутов безопасности), Средства ОС СН | - | - | + | Передача и контроль целостности атрибутов информации осуществляется в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками - доступно только для режима ОС СН "Смоленск"). | Мандатное управление доступом (передача и контроль меток конфиденциальности при передаче информации по сети), Средства межсетевого экранирования (astra-ufw-control) СКЗИ (OpenVPN) | |||
11 | ЗИС.23 | Контроль использования мобильного кода | Средства ОС СН + ОРД | - | + | + | В составе установочного диска ОС СН отсутствуют средства связанные с технологиями мобильного кода использующими Java, ActiveX, VBScript. Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничения программной среды, в частности созданием «замкнутой программной среды» (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | Средства аудита (auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock), ЗПС | |||
11 | ЗИС.24 | Контроль передачи речевой информации | Организационно-технические мероприятия, ОРД | - | - | - | - | - | |||
11 | ЗИС.25 | Контроль передачи видеоинформации | Организационно-технические мероприятия, ОРД | - | - | - | - | - | |||
11 | ЗИС.26 | Подтверждение происхождения источника информации | Средства ОС СН | + | + | + | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | |||
11 | ЗИС.27 | Обеспечение подлинности сетевых соединений | + | + | Организационно-технические мероприятия (СКЗИ, МЭ), Средства ОС СН | + | + | + | Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использованием защищенных каналов и проверкой целостности передаваемых пакетов совместно со средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. | OpenVPN, СКЗИ, Средства межсетевого экранирования (astra-ufw-control), Организация ЕПП (Kerberos) | |
11 | ЗИС.28 | Исключение возможности отрицания отправки информации | Организационно-технические мероприятия (СКЗИ) | - | - | - | - | - | |||
11 | ЗИС.29 | Исключение возможности отрицания получения информации | Организационно-технические мероприятия (СКЗИ) | - | - | - | - | - | |||
11 | ЗИС.30 | Использование устройств терминального доступа | Организационно-технические мероприятия, СКЗИ, Средства ОС СН | + | + | + | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | |||
11 | ЗИС.31 | Защита от скрытых каналов передачи информации | Средства ОС СН | - | - | + | В ОС СН идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131. Условиями исключения скрытых каналов является реализуемая ОС СН политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой областей оперативной памяти и обеспечение запуска процессов в замкнутой относительно остальных процессов среде по памяти (режимы МКЦ, механизм очистки освобождаемой внешней памяти доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Очистка памяти (secdel), режим киоска, блокировка запуска программ df,chattr,arp,ip | |||
11 | ЗИС.32 | Защита беспроводных соединений | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Ограничение на использование в информационной системе беспроводных соединений реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступом и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами |
11 | ЗИС.33 | Исключение доступа через общие ресурсы | + | Средства ОС СН | + | + | + | Исключение доступа через общие ресурсы реализуется монитором обращений из состава ОС СН совместно с применением средств организации домена, а также применением мандатного управления доступом для максимального уровня защиты (мандатное управление доступом доступно только для режима "Смоленск"). | Средства организации ЕПП ( Samba), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | ||
11 | ЗИС.34 | Защита от угроз отказа в обслуживании (DOS, DDOS-атак) | + | + | + | Организационно-технические мероприятия, Средства ОС СН | + | + | + | Обеспечение защиты от угроз, направленных на отказ в обслуживании, реализуется в базовом режиме настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей, и, для обеспечения усиленной защиты, обеспечением замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). | Режим киоска, ограничивающие функции безопасности (механизмы защиты и блокировок) Дополнительно: ЗПС |
11 | ЗИС.35 | Управление сетевыми соединениями | + | + | + | Средства ОС СН, ОРД, МЭ | + | + | + | Управление сетевыми соединениями обеспечивается средствами ОС СН, реализующими функции управления базовыми сетевыми службами, а также функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. | Базовые сетевые службы, Средства межсетевого экранирования (astra-ufw-control) |
11 | ЗИС.36 | Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем | Средства создания ложных информационных объектов,МЭ | - | - | - | - | - | |||
11 | ЗИС.37 | Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев) | Организационные мероприятия, Средства ОС СН | + | + | + | В случае возникновения отказов перевод информационной системы осуществляется с использованием средств восстановления ОС СН и с применением наборов базовых конфигураций. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), средства управления конфигурациями (Ansible/Puppet/Foreman) | |||
11 | ЗИС.38 | Защита информации при использовании мобильных устройств | + | + | + | Организационно-технические мероприятия, Средства ОС СН | + | + | + | Защита реализуется в соответствии с политикой управления доступом и правилами разграничения доступа к внешним машинным носителям. | Средства разграничения доступа к подключаемым устройствам |
11 | ЗИС.39 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | + | Средства ОС СН | + | + | + | Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации. | Защита среды виртуализации |
12 | XII. Реагирование на компьютерные инциденты (ИНЦ) | ||||||||||
12 | ИНЦ.0 | Регламентация правил и процедур реагирования на компьютерные инциденты | + | + | + | Организационные мероприятия | - | - | - | - | - |
12 | ИНЦ.1 | Выявление компьютерных инцидентов | + | + | + | Средства ОС СН, SIEM | + | + | + | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) |
12 | ИНЦ.2 | Информирование о компьютерных инцидентах | + | + | + | Средства ОС СН, SIEM | + | + | + | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) |
12 | ИНЦ.3 | Анализ компьютерных инцидентов | + | + | + | Средства ОС СН, SIEM | + | + | + | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) |
12 | ИНЦ.4 | Устранение последствий компьютерных инцидентов | + | + | + | Организационные мероприятия | - | - | - | - | - |
12 | ИНЦ.5 | Принятие мер по предотвращению повторного возникновения компьютерных инцидентов | + | + | + | Организационные мероприятия | - | - | - | - | - |
12 | ИНЦ.6 | Хранение и защита информации о компьютерных инцидентах | + | + | + | Средства ОС СН, SIEM | + | + | + | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. | Средства аудита (auditd, zabbix) |
13 | XIII. Управление конфигурацией (УКФ) | ||||||||||
13 | УКФ.0 | Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы | + | + | + | Организационные мероприятия | - | - | - | - | - |
13 | УКФ.1 | Идентификация объектов управления конфигурацией | Организационные мероприятия | - | - | - | - | - | |||
13 | УКФ.2 | Управление изменениями | + | + | + | Средства ОС СН | + | + | + | Управление изменениями конфигурации, применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями. Управление изменениями осуществляется в соответствии с установленными правилами разграничения доступа, изменения учитываются при регистрации событий безопасности, связанных с этими изменениями. | Средства управления конфигурациями (Ansible/Puppet/Foreman), Средства аудита (auditd, zabbix) |
13 | УКФ.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения | + | + | + | Средства ОС СН + ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | + | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. | Управление программными пакетами (synaptik), проверка целостности системы (fly-admin-int-check) Дополнительно: доверенный репозиторий (ЗПС) |
13 | УКФ.4 | Контроль действий по внесению изменений | Организационные мероприятия, Средства ОС СН | + | + | + | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности. Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. | Средства аудита (auditd, zabbix) | |||
14 | XIV. Управление обновлениями программного обеспечения (ОПО) | ||||||||||
14 | ОПО.0 | Регламентация правил и процедур управления обновлениями программного обеспечения | + | + | + | Организационные мероприятия | - | - | - | - | - |
14 | ОПО.1 | Поиск, получение обновлений программного обеспечения от доверенного источника | + | + | + | Средства ОС СН + ОРД | + | + | + | Обновление безопасности производится администратором согласно документации на ОС СН. Источником обновлений ОС СН в соответствии с требованиями нормативных документов ФСТЭК России является официальный интернет-ресурс разработчика. | Обновление ОС |
14 | ОПО.2 | Контроль целостности обновлений программного обеспечения | + | + | + | Средства ОС СН + ОРД | + | + | + | Контроль целостности обновлений безопасности в составе информационных (автоматизированных) систем потребителей осуществляется следующим порядком: - до установки обновления — проведением проверки электронной подписи обновления; - после установки обновления — проведением динамического контроля целостности файлов с использованием электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности с использованием функции хэширования и сверки полученного значения с эталонным, указанным в специальном файле с контрольными суммами, входящем в состав обновлений безопасности. Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями. | Обновление ОС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС |
14 | ОПО.3 | Тестирование обновлений программного обеспечения | + | + | + | Средства ОС СН + ОРД | + | + | + | Контроль работоспособности встроенного комплекса средств защиты информации ОС СН осуществляется с помощью автоматического и регламентного тестирования функций безопасности. | Тестирование СЗИ |
14 | ОПО.4 | Установка обновлений программного обеспечения | + | + | + | Средства ОС СН + ОРД | + | + | + | Обновление безопасности производится администратором согласно документации на ОС СН в ручном или автоматическом режиме. | Обновление ОС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС |
15 | XV. Планирование мероприятий по обеспечению безопасности (ПЛН) | ||||||||||
15 | ПЛН.0 | Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации | + | + | + | Организационные мероприятия | - | - | - | - | - |
15 | ПЛН.1 | Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации | + | + | + | Организационные мероприятия | - | - | - | - | - |
15 | ПЛН.2 | Контроль выполнения мероприятий по обеспечению защиты информации | + | + | + | Организационные мероприятия | - | - | - | - | - |
16 | XVI. Обеспечение действий в нештатных ситуациях (ДНС) | ||||||||||
16 | ДНС.0 | Регламентация правил и процедур обеспечения действий в нештатных ситуациях | + | + | + | Организационные мероприятия | - | - | - | - | - |
16 | ДНС.1 | Разработка плана действий в нештатных ситуациях | + | + | + | Организационные мероприятия | - | - | - | - | - |
16 | ДНС.2 | Обучение и отработка действий персонала в нештатных ситуациях | + | + | + | Организационные мероприятия | - | - | - | - | - |
16 | ДНС.3 | Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций | + | + | Организационно-технические мероприятия | - | - | - | - | - | |
16 | ДНС.4 | Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | |
16 | ДНС.5 | Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) |
16 | ДНС.6 | Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения | + | + | + | Организационные мероприятия | - | - | - | - | - |
17 | XVII. Информирование и обучение персонала (ИПО) | ||||||||||
17 | ИПО.0 | Регламентация правил и процедур информирования и обучения персонала | + | + | + | Организационные мероприятия | - | - | - | - | - |
17 | ИПО.1 | Информирование персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + | Организационные мероприятия | - | - | - | - | - |
17 | ИПО.2 | Обучение персонала правилам безопасной работы | + | + | + | Организационные мероприятия | - | - | - | - | - |
17 | ИПО.3 | Проведение практических занятий с персоналом по правилам безопасной работы | + | + | Организационные мероприятия | - | - | - | - | - | |
17 | ИПО.4 | Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + | Организационные мероприятия | - | - | - | - | - |