Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
| Код | Меры системы защиты информации | Уровень защиты информации | Средства реализации | Способ реализации меры защиты с использованием штатных средств ОС СН | Способ реализации меры защиты совместным использованием ОС СН с иными средствами защиты или с применением организационно-технических мероприятий | Компоненты ОС СН | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации ОС СН | ||
| 3 | 2 | 1 | |||||||
| 7.8.3 Базовый состав мер по организации идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации применительно к уровням защиты информации | |||||||||
| ЗCВ.1 | Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности | Н | Т | Н | Средства ОС СН | Разграничение одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала в пределах одного контура безопасности осуществляется с использованием драйвера доступа parsec из состава ОС СН, специально разработанным с использованием прикладного программного интерфейса драйверов доступа сервера виртуализации libvirt, совместно со следующими средствами защиты информации ОС СН: - мандатным управлением доступом (доступно только для режима ОС СН "Максимальный"); - дискреционным управлением доступом; - средствами организации ЕПП; - средствами управления потоками информации; - изоляцией процессов. Основанием для принятия решения о предоставлении доступа является сравнение дискреционных атрибутов виртуальной машины и дискреционных атрибутов пользователя с учетом выполняемой операции (а также сравнении меток безопасности виртуальной машины и пользователя в режиме ОС СН "Максимальный"). Контроль доступа осуществляется с использованием штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), Дискреционное управление доступом, Мандатное управление доступом, Мандатный контроль целостности, Средства организации ЕПП (ALD, FreeIPA), Изоляция процессов, Регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.7 (Изоляция процессов) |
| ЗCВ.2 | Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Н | Т | Средства ОС СН | Разграничение одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала в пределах одного контура безопасности на уровне не выше третьего (сетевого) по семиуровневой стандартной модели взаимодействия открытых систем осуществляется cовместным применением встроенных средств управления потоками (встроенного в ядро ОС СН фильтра сетевых пакетов netfilter) со следующими средствами защиты информации ОС СН: - мандатным управлением доступом; - дискреционным управлением доступом; - средствами организации ЕПП. Принятие решения о предоставлении доступа выполняется на основании установленных правил управления потоками, дискреционных атрибутов виртуальной машины и дискреционных атрибутов подключающегося пользователя с учетом выполняемой операции (а также сравнении меток безопасности виртуальной машины и пользователя в режиме ОС СН "Максимальный"). Контроль доступа осуществляется с использованием штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), Фильтрация сетевого потока (netfilter), Дискреционное управление доступом, Средства организации ЕПП (ALD, FreeIPA), Регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.11 (Фильтрация сетевого потока) |
| ЗCВ.3 | Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности | Н | Т | Н | Средства ОС СН | Разграничение осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности осуществляется с использованием встроенных в ОС СН средств защиты среды виртуализации, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, средств организации единого пространства пользователей и следующими средствами защиты информации: - идентификация и аутентификация; - дискреционное управление доступом; - мандатное управление доступом; - изоляция процессов; - фильтрация сетевого потока. Контроль доступа осуществляется с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), Фильтрация сетевого потока (netfilter), Иидентификация и аутентификация, Дискреционное управление доступом, Мандатное управление доступом, Мандатный контроль целостности, Средства организации ЕПП (ALD, FreeIPA), Изоляция процессов, Регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.7 (Изоляция процессов) РКСЗ.1: п.11 (Фильтрация сетевого потока) |
| ЗCВ.4 | Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Н | Т | Средства ОС СН | Разграничение осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности осуществляется cовместным применением встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter), встроенных в ОС СН средств защиты среды виртуализации, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, средств организации единого пространства пользователей и следующими средствами защиты информации: - идентификация и аутентификация; - дискреционное управление доступом; - мандатное управление доступом и мандатный контроль целостности. Контроль доступа осуществляется с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), Фильтрация сетевого потока (netfilter), Дискреционное управление доступом, Мандатное управление доступом, Мандатный контроль целостности, Средства организации ЕПП (ALD, FreeIPA), Регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.11 (Фильтрация сетевого потока) |
| ЗCВ.5 | Идентификация и аутентификация пользователей серверными компонентами виртуализации и (или) средствами централизованных сервисов аутентификации при предоставлении доступа к виртуальным машинам | Т | Т | Т | Средства ОС СН | Идентификация и аутентификация пользователей серверными компонентами виртуализации и (или) средствами централизованных сервисов аутентификации при предоставлении доступа к виртуальным машинам осуществляется с использованием средств защиты среды виртуализации, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, совместно со средствами организации единого пространства пользователей и встроенными в ОС СН механизмами идентификации и аутентификации пользователей. | - | Средства виртуализации (Libvirt, KVM,QEMU), Идентификация и аутентификация (peer-cred, SSH, SASL, TLS), Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗCВ.6 | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине | Н | Т | Н | Средства ОС СН | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных к одной виртуальной машине, осуществляется с использованием штатных средств организации единого пространства пользователей, идентификации и аутентификации, дискреционного управления доступом, мандатного управления доступом и мандатного контроля целостности, с применением технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt. | - | Средства виртуализации (Libvirt, KVM,QEMU), Дискреционное управление доступом, Мандатное управление доступом, Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗCВ.7 | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине с одного АРМ пользователя или эксплуатационного персонала | Н | Н | Т | Средства ОС СН | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных к одной виртуальной машине, осуществляется с использованием штатных средств организации единого пространства пользователей, идентификации и аутентификации, дискреционного управления доступом, мандатного управления доступом и мандатного контроля целостности, с применением технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt. | - | Средства виртуализации (Libvirt, KVM,QEMU), Дискреционное управление доступом, Мандатное управление доступом, Мандатный контроль целостности, Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗCВ.8 | Обеспечение возможности принудительной блокировки (выключения) установленной сессии работы пользователя с виртуальной машиной | Т | Т | Т | Средства ОС СН | Обеспечение возможности принудительной блокировки (выключения) установленной сессии работы пользователя с виртуальной машиной осуществляется одним из следующих способом: - принудительным завершением (выключением) виртуальной машины как процесса на стороне гипервизора; - принудительным завершением пользовательской сессии на стороне клиента. | - | Средства виртуализации (Libvirt, KVM,QEMU). | РКСЗ.1: п.5 (Защита среды виртуализации) РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.4.2.3 (Администрирование многопользовательской и многозадачной среды) |
| ЗCВ.9 | Контроль и протоколирование доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных с реализацией двухфакторной аутентификации | Н | Т | Т | Средства ОС СН | Контроль и протоколирование доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных с реализацией двухфакторной аутентификации осуществляется согласно реализации мер защиты информации, обеспечивающих защиту информации при управлении доступом и защиту вычислительных сетей, с использованием интерфейсов управления средствами виртуализации, штатных средств протоколирования и аудита. Использование многофакторной аутентификации обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | - | Регистрация событий безопасности (auditd, zabbix), Идентификация и аутентификация, Средства поддержки двухфакторной аутентификации | РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РА.1: п.17 (Поддержка средств двухфакторной аутентификации) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗCВ.10 | Размещение средств защиты информации, используемых для организации контроля и протоколирования доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных на физических СВТ | Н | Т | Т | Средства ОС СН | Размещение средств защиты информации, используемых для организации контроля и протоколирования доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных на физических СВТ осуществляется применением ОС СН в качестве гипервизора. Контроль доступа осуществляется с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) |
| ЗCВ.11 | Реализация правил управления правами логического доступа, обеспечивающая запрет одновременного совмещения одним субъектом логического доступа следующих функций: - создание виртуальных машин, управление образами виртуальных машин на этапах их жизненного цикла; - предоставление доступа к виртуальным машинам, включая настройку виртуальных сегментов вычислительных сетей и применяемых средств защиты информации на уровне серверных компонентов виртуализации; - управление системы хранения данных; - управление настройками гипервизоров; - конфигурирование виртуальных сетей в рамках своего контура безопасности | Н | Н | Т | Средства ОС СН | Реализация правил управления правами логического доступа, обеспечивающая запрет одновременного совмещения одним субъектом логического доступа функций по управлению виртуальных машин, настройке параметров безопасности, управлению системой хранения данных, настройками гипервизора и виртуальных сетей осуществляется с использованием: - механизма дискреционного разграничения доступа; - механизма мандатного контроля целостности; - системными компонентами управления пользователями; - средствами организации ЕПП. | - | Средства виртуализации (Libvirt, KVM,QEMU), Дискреционное управление доступом, Мандатный контроль целостности, Средства организации ЕПП (ALD, FreeIPA), Управление пользователями (fly-admin-smc). | РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4.3 (Мандатный контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.3.4 (Управление пользователями) РА.1: п.7 (Средства организации единого пространства пользователей) |
| ЗCВ.12 | Размещение серверных и пользовательских компонентов АС на разных виртуальных машинах | Н | О | О | Орг-тех.меры | - | Размещение серверных и пользовательских компонентов АС на разных виртуальных машинах осуществляется согласно проектной документации АС | - | |
| 7.8.4 Базовый состав мер по организации сегментации и межсетевого экранирования вычислительных сетей, предназначенных для размещения виртуальных машин и серверных компонент виртуализации, применительно к уровням защиты информации | |||||||||
| ЗСВ.13 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения серверных компонент АС, включенных в разные контуры безопасности | Н | Т | Т | Средства ОС СН | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения серверных компонент АС, включенных в разные контуры безопасности, осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, с использованием средств защиты среды виртуализации, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec). Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | - | Средства виртуализации (Libvirt, KVM,QEMU), VLAN, Фильтрация сетевого потока (netfilter), Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) |
| ЗСВ.14 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения АРМ пользователей и эксплуатационного персонала, включенных в разные контуры безопасности | Н | Т | Т | Средства ОС СН | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения АРМ пользователей и эксплуатационного персонала, включенных в разные контуры безопасности, осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, с использованием средств защиты среды виртуализации, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec). Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | - | Средства виртуализации (Libvirt, KVM,QEMU), VLAN, Фильтрация сетевого потока (netfilter), Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.15 | Организация информационного обмена между сегментами (группами сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующими на уровне гипервизора среды виртуализации | Н | Н | Т | Средства ОС СН, средства МЭ | Организация информационного обмена между сегментами (группами сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, программными средствами межсетевого экранирования, функционирующими на уровне гипервизора среды виртуализации, реализуется с использованием штатных средств ОС СН путем объединения виртуальных машин tap-интерфейсом в хост-системе и применением встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter), штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q с использованием средств защиты среды виртуализации, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt и монитора обращений. | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, программными средствами межсетевого экранирования, функционирующими на уровне гипервизора среды виртуализации, осуществляется штатными средствами ОС СН. В случае наличия требований о реализации сетевого взаимодействия с применением сертифицированных межсетевых экранов мера должна быть реализована средствами ОС СН совместно с сертифицированными межсетевыми экранами. | Средства виртуализации (Libvirt, KVM,QEMU), VLAN, Фильтрация сетевого потока (netfilter), Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.16 | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Т | Т | Средства ОС СН, средства МЭ | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, включая фильтрацию данных на сетевом уровне семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, с использованием средств защиты среды виртуализации, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec). Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, включая фильтрацию данных на прикладном уровне семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, осуществляется штатными средствами ОС СН. В случае наличия требований о реализации сетевого взаимодействия с применением сертифицированных межсетевых экранов мера должна быть реализована средствами ОС СН совместно с сертифицированными межсетевыми экранами. | Средства виртуализации (Libvirt, KVM,QEMU), VLAN, Фильтрация сетевого потока (netfilter), Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.17 | Реализация и контроль информационного взаимодействия между сегментами (группами сегментов) вычислительных сетей мерами, указанными в пунктах ЗСВ.13 и ЗСВ.14 настоящей таблицы, в соответствии с установленными правилами и протоколами сетевого взаимодействия | Н | Т | Т | Средства ОС СН | Реализация и контроль информационного взаимодействия между сегментами (группами сегментов) вычислительных сетей мерами, указанными в пунктах ЗСВ.13 и ЗСВ.14 настоящей таблицы, в соответствии с установленными правилами и протоколами сетевого взаимодействия осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, с использованием средств защиты среды виртуализации, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter), монитора обращений, интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей мерами, указанными в пунктах ЗСВ.13 и ЗСВ.14 настоящей таблицы, осуществляется штатными средствами ОС СН. В случае наличия требований о реализации сетевого взаимодействия с применением сертифицированных межсетевых экранов мера должна быть реализована средствами ОС СН совместно с сертифицированными межсетевыми экранам. | Средства виртуализации (Libvirt, KVM,QEMU), VLAN, Фильтрация сетевого потока (netfilter), Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.18 | Реализация мер защиты информации ЗСВ.15 - ЗСВ.17 настоящей таблицы физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующих на уровне гипервизора среды виртуализации | Н | Н | Т | Средства ОС СН, средства МЭ | Реализация мер защиты информации ЗСВ.15 - ЗСВ.17 настоящей таблицы физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующих на уровне гипервизора среды виртуализации, осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec). | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей программными средствами межсетевого экранирования, функционирующих на уровне гипервизора среды виртуализации, осуществляется штатными средствами ОС СН. В случае наличия требований о реализации сетевого взаимодействия с применением сертифицированных межсетевых экранов мера должна быть реализована средствами ОС СН совместно с сертифицированными межсетевыми экранами. | Средства виртуализации (Libvirt, KVM,QEMU), VLAN, Фильтрация сетевого потока (netfilter), Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.19 | Организация и контроль информационного взаимодействия между виртуальными машинами разных АС в соответствии с установленными правилами и протоколами сетевого взаимодействия | H | H | T | Средства ОС СН, средства МЭ | Организация и контроль информационного взаимодействия между виртуальными машинами разных АС в соответствии с установленными правилами и протоколами сетевого взаимодействия осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений, интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | Организация и контроль информационного взаимодействия между виртуальными машинами разных АС в соответствии с установленными правилами и протоколами сетевого взаимодействия может осуществляться штатными средствами ОС СН. В случае наличия требований о реализации сетевого взаимодействия с применением сертифицированных межсетевых экранов мера должна быть реализована средствами ОС СН совместно с сертифицированными межсетевыми экранами. | Средства виртуализации (Libvirt, KVM,QEMU), VLAN, Фильтрация сетевого потока (netfilter), Средства организации ЕПП (ALD, FreeIPA), Регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.20 | Исключение возможности информационного взаимодействия и переноса информации между сегментами вычислительных сетей, входящими в разные контуры безопасности, с использованием АРМ пользователей и эксплуатационного персонала, эксплуатируемых для осуществления доступа к виртуальным машинам разных контуров безопасности | Н | Т | Т | Средства ОС СН | Исключение возможности информационного взаимодействия и переноса информации между сегментами вычислительных сетей, входящими в разные контуры безопасности, с использованием АРМ пользователей и эксплуатационного персонала, эксплуатируемых для осуществления доступа к виртуальным машинам разных контуров безопасности, осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений, с применением технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, средства организации единого пространства пользователей и следующими средствами защиты информации: - дискреционное управление доступом; - мандатное управление доступом. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec). | - | Средства виртуализации (Libvirt, KVM,QEMU), VLAN, Фильтрация сетевого потока (netfilter), Дискреционное управление доступом, Мандатное управление доступом, Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.21 | Выделение отдельных логических разделов системы хранения данных для каждого из контуров безопасности | Н | Т | Т | Средства ОС СН | Выделение отдельных логических разделов системы хранения данных для каждого из контуров безопасности осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt и следующими средствами защиты информации: - дискреционное управление доступом; - мандатное управление доступом. | - | Средства виртуализации (Libvirt, KVM,QEMU), Дискреционное управление доступом, Мандатное управление доступом. | РА.1: п.2.4 (Базовые средства виртуализации) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗСВ.22 | Выделение отдельных сегментов управления, в которых располагаются АРМ эксплуатационного персонала, используемые для выполнения задач администрирования серверных компонент виртуализации и системы хранения данных* | Н | Н | Т | Средства ОС СН | Выделение отдельных сегментов управления, в которых располагаются АРМ эксплуатационного персонала, используемые для выполнения задач администрирования серверных компонент виртуализации и системы хранения данных, осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений, в том числе с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, средства организации единого пространства пользователей. | - | Средства виртуализации (Libvirt, KVM,QEMU), VLAN, Фильтрация сетевого потока (netfilter), Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| 7.8.5 Базовый состав мер по организации защиты образов виртуальных машин применительно к уровням защиты информации | |||||||||
| ЗСВ.23 | Регламентация и контроль выполнения: - операций в рамках жизненного цикла базовых образов виртуальных машин; - операций по копированию образов виртуальных машин | Н | О | О | Орг.меры, Средства ОС СН | Регламентация и контроль выполнения операций в рамках жизненного цикла базовых образов виртуальных машин и операций по копированию образов виртуальных машин осуществляется в соответствии с документацией на автоматизированную систему с применением штатных средств разграничения доступа ОС СН, с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РА.1: п.15 (Средства централизованного протоколирования и аудита) |
| ЗСВ.24 | Включение только в базовые образы виртуальных машин следующего ПО: - ПО технических мер защиты информации, применяемых в пределах виртуальных машин; - ПО АС | Н | О | О | Орг.меры, Средства ОС СН | Включение только в базовые образы виртуальных машин необходимого ПО осуществляется администратором в соответствии с документацией на автоматизированную систему с применением штатных средств ОС СН, с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt | - | Средства виртуализации (Libvirt, KVM,QEMU). | РА.1: п.2.4 (Базовые средства виртуализации) |
| ЗСВ.25 | Отнесение каждой из виртуальных машин только к одному из контуров безопасности | Н | О | О | Орг-тех.меры, Средства ОС СН | Отнесение каждой из виртуальных машин только к одному из контуров безопасности осуществляется в соответствии с документацией на автоматизированную систему с применением штатных средств ОС СН, с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt и следующими средствами защиты информации: - мандатное управление доступом; - дискреционное управление доступом; - средства организации единого пространства пользователей. | - | Средства виртуализации (Libvirt, KVM,QEMU), Мандатное управление доступом, Дискреционное управление доступом, Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗСВ.26 | Контроль целостности, выполняемый при запуске (загрузке) виртуальной машины: - базового образа виртуальной машины; - ПО, включенного в пользовательский профиль виртуальной машины; - параметров настроек ПО технических мер защиты информации, применяемых в пределах виртуальных машин | Н | Н | Т | Средства ОС СН, сторонние средства защиты | Контроль целостности, выполняемый при запуске (загрузке) виртуальной машины базового образа виртуальной машины осуществляется на базе технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, путем применения средств регламентного контроля целостности, организации замкнутой программной среды и обеспечения контроля штатными средствами протоколирования и аудита. | Контроль целостности, выполняемый при запуске (загрузке) виртуальной машины ПО, включенного в пользовательский профиль виртуальной машины и параметров настроек ПО технических мер защиты информации, применяемых в пределах виртуальных машин, осуществляется средствами защиты гостевых операционных систем. В случае применения ОС СН используется регламентный контроль целостности и ограничение программной среды (ЗПС). Для ЭВМ — защита реализуется с применением средств доверенной загрузки. | Средства виртуализации (Libvirt, KVM,QEMU), Регламентный контроль целостности (Afick), Динамический контроль целостности (ЗПС) | РА.1: п.2.4 (Базовые средства виртуализации) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.9 (Контроль целостности) РКСЗ.1: п.16 (Ограничение программной среды) |
| ЗСВ.27 | Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптографическими ключами | О | О | О | Орг.меры, Средства ОС СН | Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптографическими ключами осуществляется в соответствии с документацией организационными мерами. | - | Средства виртуализации (Libvirt, KVM,QEMU), Дискреционное управление доступом | РА.1: п.2.4 (Базовые средства виртуализации) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗСВ.28 | Запрет на копирование текущих образов виртуальных машин, используемых для реализации технологии виртуализации АРМ пользователей | О | О | О | Орг.меры, Средства ОС СН | Запрет на копирование текущих образов виртуальных машин, используемых для реализации технологии виртуализации АРМ пользователей, осуществляется в соответствии с документацией организационными мерами. | - | Средства виртуализации (Libvirt, KVM,QEMU), Дискреционное управление доступом | РА.1: п.2.4 (Базовые средства виртуализации) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗСВ.29 | Запрет сохранения изменений, произведенных пользователями в процессе работы их виртуальных машин, в базовом образе виртуальных машин | Н | Н | Т | Средства ОС СН | Запрет сохранения изменений, произведенных пользователями в процессе работы их виртуальных машин, в базовом образе виртуальных машин осуществляется с использованием интерфейсов управления средствами виртуализации с применением режима запрета модификации файлов-образов виртуальной машины. Поддержка функционирования виртуальной машины в режиме запрета модификации ее образа осуществляется специальными способами запуска виртуальной машины, при которых основной образ защищается от записи. В зависимости от выбранного режима осуществляется создание физической копии или применяются различные варианты создания снимков образа с последующим их удалением после завершения работы виртуальной машины. | - | Средства виртуализации (Libvirt, KVM,QEMU) | РА.1: п.2.4 (Базовые средства виртуализации) РКСЗ.1: п.5.3 (Режим запрета модификации файлов-образов виртуальной машины) |
| ЗСВ.30 | Контроль завершения сеанса работы пользователей с виртуальными машинами | Н | Т | Н | Средства ОС СН | Контроль завершения сеанса работы пользователей с виртуальными машинами осуществляется с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.31 | Контроль завершения сеанса работы пользователей с виртуальными машинами и обеспечение последующей работы виртуальной машины с использованием базового образа | Н | Н | Т | Средства ОС СН | Контроль завершения сеанса работы пользователей с виртуальными машинами и обеспечение последующей работы виртуальной машины с использованием базового образа осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt и с применением режима запрета модификации файлов-образов виртуальной машины и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| 7.8.6 Базовый состав мер по регистрации событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации, применительно к уровням защиты информации | |||||||||
| ЗСВ.32 | Регистрация операций, связанных с запуском (остановкой) виртуальных машин | Т | Т | Т | Средства ОС СН | Регистрация операций, связанных с запуском (остановкой) виртуальных машин, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.33 | Регистрация операций, связанных с изменением параметров настроек виртуальных сетевых сегментов, реализованных средствами гипервизора | Н | Т | Т | Средства ОС СН | Регистрация операций, связанных с изменением параметров настроек виртуальных сетевых сегментов, реализованных средствами гипервизора, осуществляется с использованием штатных средств протоколирования и аудита с применением технологии виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, программного коммутатора Open vSwitch, KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/8w0AB https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.34 | Регистрация операций, связанных с созданием и удалением виртуальных машин | Т | Т | Т | Средства ОС СН | Регистрация операций, связанных с созданием и удалением виртуальных машин, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.35 | Регистрация операций, связанных с созданием, изменением, копированием, удалением базовых образов виртуальных машин | Т | Т | Т | Средства ОС СН | Регистрация операций, связанных с созданием, изменением, копированием, удалением базовых образов виртуальных машин, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.36 | Регистрация операций, связанных с копированием текущих образов виртуальных машин | Т | Т | Т | Средства ОС СН | Регистрация операций, связанных с копированием текущих образов виртуальных машин, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.37 | Регистрация операций, связанных с изменением прав логического доступа к серверным компонентам виртуализации | Т | Т | Т | Средства ОС СН | Регистрация операций, связанных с изменением прав логического доступа к серверным компонентам виртуализации, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.38 | Регистрация операций, связанных с изменением параметров настроек серверных компонентов виртуализации | Т | Т | Т | Средства ОС СН | Регистрация операций, связанных с изменением параметров настроек серверных компонентов виртуализации, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.39 | Регистрация операций, связанных с аутентификацией и авторизацией эксплуатационного персонала при осуществлении доступа к серверным компонентам виртуализации | Т | Т | Т | Средства ОС СН | Регистрация операций, связанных с аутентификацией и авторизацией эксплуатационного персонала при осуществлении доступа к серверным компонентам виртуализации, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.40 | Регистрация операций, связанных с аутентификацией и авторизацией пользователей при осуществлении доступа к виртуальным машинам | Т | Т | Т | Средства ОС СН | Регистрация операций, связанных с аутентификацией и авторизацией пользователей при осуществлении доступа к виртуальным машинам, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, средства организации единого пространства пользователей и следующими средствами защиты информации: - идентификация и аутентификация; - дискреционное управление доступом; - регистрация событий безопасности. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.41 | Регистрация операций, связанных с запуском (остановкой) ПО серверных компонент виртуализации | Н | Н | Т | Средства ОС СН | Регистрация операций, связанных с запуском (остановкой) ПО серверных компонент виртуализации, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.42 | Регистрация операций, связанных с изменением параметров настроек технических мер защиты информации, используемых для реализации контроля доступа к серверным компонентам виртуализации | Т | Т | Т | Средства ОС СН | Регистрация операций, связанных с изменением параметров настроек технических мер защиты информации, используемых для реализации контроля доступа к серверным компонентам виртуализации, осуществляется с использованием средств контроля целостности, установленного для конфигурационных файлов настроек безопасности, с применением технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix), Средства контроля целостности. | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.9 (Контроль целостности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.43 | Регистрация операций, связанных с изменением настроек технических мер защиты информации, используемых для обеспечения защиты виртуальных машин | Т | Т | Т | Средства ОС СН | Регистрация операций, связанных с изменением настроек технических мер защиты информации, используемых для обеспечения защиты виртуальных машин, осуществляется с использованием средств контроля целостности, установленного для параметров настроек безопасности, с применением технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, KVM,QEMU), регистрация событий безопасности (auditd, zabbix), Средства контроля целостности. | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.9 (Контроль целостности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |