Содержание

Skip to end of metadata
Go to start of metadata

Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения "Astra Linux Special Edition" (ОС СН) релиз "Смоленск"

Принятые обозначения и сокращения

СокращенияОбозначенияОписание
РА.1Руководство администратора. Часть 1. РУСБ.10015-01 95 01-1Эксплуатационная документация из комплекта поставки ОС СН
РА.2Руководство администратора. Часть 1. РУСБ.10015-01 95 01-2
РКСЗ.1Руководство по КСЗ. Часть 1 РУСБ.10015-01 97 01-1
РКСЗ.2"Руководство по КСЗ. Часть 2 РУСБ.10015-01 97 01-2"
РП.1Руководство пользователя. Часть 1. РУСБ.10015-01 93 01-1
ОПОписание применения. РУСБ.10015-01 31 01
wiki.astralinux.ruОфициальный справочный интернет-ресурс wiki.astralinux.ruОфициальный справочный интернет-ресурс, содержащий информацию о порядке эксплуатации и вариантах реализации настроек ОС СН
справка ОС СНЭлектронная справка ОС СНЭлектронная справка ОС СН, вызываемая комбинацией клавиш ALT+F1 из интерфейса ОС СН
Условное обозначение и номер мерыМеры защиты информации в информационных системахСпособ реализации меры защиты с
использованием штатных средств ОС СН
Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации ОС СН
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1Идентификация и аутентификация пользователей, являющихся работниками оператора

Аутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.

Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).

ОП: п.4.1.3, 4.1.4
РА.1: п.7, п.8.6, п.17
РКСЗ.1: п.2
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
https://wiki.astralinux.ru/x/XIV0Ag
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
ИАФ.2Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативныхИдентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификацииРА.1: п.16
РКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQ
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
ИАФ.3Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов пользователяУправление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасностиРА.1: п.7, п.8.6
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
ИАФ.4Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификацииУправление средствами аутентификации осуществляется администратором, для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012РА.1: п.7, 8.6, 14
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
ИАФ.5Защита обратной связи при вводе аутентификационной информацииЗащита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсеРП:1: п.2.1
Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm
ИАФ.6Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)Аутентификация осуществляется локально или с помощью организации единого пространства пользователейРА.1: п.7, п.8.6, п.17
РКСЗ.1: п.2
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
ИАФ.7Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступаИдентификация всех объектов и устройств и применение результатов идентификации при реализации механизмов управления доступом, контроля целостности, резервного копирования и регистрации событий безопасности, связанных с этими объектами доступаОП: 4.1.10, 4.2, 4.3
РКСЗ.1: п.2, п.9
II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователейУправление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасностиРА.1: п.3.4, п.7, п.8.6
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
https://wiki.astralinux.ru/x/R4AS
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
УПД.2Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступаМонитор обращений из состава ОС СН предусматривает дискреционное, мандатное и ролевое управление доступом, а также реализацию мандатного контроля целостности. Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам.РКСЗ.1: п.3, п.4
РА.2
ОП: п.4.1.5, п.4.1.6, п.4.3.4
УПД.3Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

Управление информационными потоками в информационной системе осуществляется средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.

Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012)

РКСЗ.1: п.11, п.3, п.4
УПД.4Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системыРазделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией оператораРА.1: п.3.4, п.8.6
РКСЗ.1: п.3, п.4
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
УПД.5Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системыНазначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией оператораРА.1: п.3.4, п.8.6
РКСЗ.1: п.3, п.4
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
УПД.6Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасностиРА.1: п.3.4
РКСЗ.1: п.2
УПД.7Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации

УПД.8Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную системуСведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю (в соответствии с его правилами разграничения доступа) и администратору с использованием средств протоколирования

см. Вывод уведомления о предыдущем входе в систему

УПД.9Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системыОграничение числа параллельных сеансов для каждого пользователя (или группы) и мониторинга осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторингаРА.1: п.15
РП: п.3
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
УПД.10Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросуБлокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросуРА.1: п.8.6
РКСЗ.1: п.17.2
Справка ОС СН по утилите настройки элементов рабочего стола fly-admin-theme
УПД.11Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификацииРешение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам.РКСЗ.1: п.3, п.4
УПД.12Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработкиВ ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256)РКСЗ.1: п.4
УПД.13Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

УПД.14Регламентация и контроль использования в информационной системе технологий беспроводного доступа

УПД.15Регламентация и контроль использования в информационной системе мобильных технических средствРеализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступаРА.1: п.16
РКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQ
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
УПД.16Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

УПД.17Обеспечение доверенной загрузки средств вычислительной техники

III. Ограничение программной среды (ОПС)
ОПС.1Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспеченияЗадача запуска в информационной системе разрешенного программного обеспечения реализуется средствами ограничения программной средыРКСЗ.1: п.14, п.16
https://wiki.astralinux.ru/x/6oR0Ag
ОПС.2Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспеченияЗадача управления установкой в информационную систему разрешенного программного обеспечения реализуется средствами регламентного контроля целостности устанавливаемого программного обеспечения в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписиРА.1: п.9, п.14
ОП: п.4.1.10
РКСЗ.1: п.16
https://wiki.astralinux.ru/x/OwAy
https://wiki.astralinux.ru/x/6oR0Ag
ОПС.3Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентовЗадача установки в информационную систему разрешенного программного обеспечения реализуется средствами регламентного контроля целостности устанавливаемого программного обеспечения в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписиРА.1: п.9, п.14
РКСЗ.1: п.16
https://wiki.astralinux.ru/x/OwAy
https://wiki.astralinux.ru/x/6oR0Ag
IV. Защита машинных носителей информации (ЗНИ)
ЗНИ.1Учет машинных носителей информацииРеализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступаРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.2Управление доступом к машинным носителям информации

ЗНИ.3Контроль перемещения машинных носителей информации за пределы контролируемой зоны

ЗНИ.4Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах

ЗНИ.5Контроль использования интерфейсов ввода (вывода) информации на машинные носители информацииРеализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступаРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.6Контроль ввода (вывода) информации на машинные носители информацииРеализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступаРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.7Контроль подключения машинных носителей информацииРеализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступаРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.8Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания)Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителейРКСЗ.1: п.8
https://wiki.astralinux.ru/x/roh0Ag
https://wiki.astralinux.ru/x/V4CJ
https://wiki.astralinux.ru/x/DALoAg
V. Регистрация событий безопасности (РСБ)
РСБ.1Определение событий безопасности, подлежащих регистрации, и сроков их храненияСобытия безопасности, подлежащие регистрации, и сроки их хранения определяются администраторомРКСЗ.1: п.6
РСБ.2Определение состава и содержания информации о событиях безопасности, подлежащих регистрацииСостав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администраторомРКСЗ.1: п.6
РСБ.3Сбор, запись и хранение информации о событиях безопасности в течение установленного времени храненияСбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM)РА.1: п.15
РКСЗ.1: п.6.3
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
РСБ.4Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памятиРеагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасностиРА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
РСБ.5Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на нихМониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторженийРА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
РСБ.6Генерирование временных меток и (или) синхронизация системного времени в информационной системеСинхронизация системного времени в информационной системе реализуется с использованием возможностей синхронизации системных часовРА.1: п.5.7
https://wiki.astralinux.ru/x/l4GhAQ
РСБ.7Защита информации о событиях безопасностиЗащита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудитаРА.1: п.15
РКСЗ.1: п.3, п.4
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
РСБ.8Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системеПросмотр и анализ информации о действиях пользователей предоставляется администратору (пользователям в соответствии с установленными правилами разграничения доступа) с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасностиРА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
VI. Антивирусная защита (АВЗ)
АВЗ.1Реализация антивирусной защиты

АВЗ.2Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VII. Обнаружение вторжений (СОВ)
СОВ.1Обнаружение вторжений

СОВ.2Обновление базы решающих правил

VIII. Контроль (анализ) защищенности информации (АНЗ)
АНЗ.1Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостейВыявление и оперативное устранение уязвимостей ОС СН производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131, и ГОСТ Р 56939ОП: п.3
АНЗ.2Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информацииКонтроль целостности обновлений ОС СН осуществляется проведением динамического контроля целостности файлов с использованием электронной цифровой подписи и регламентного контроля целостности с использованием функции хэшированияОП: п.3.2
https://wiki.astralinux.ru/x/X4AmAg
АНЗ.3Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информацииКонтроль работоспособности встроенного комплекса средств защиты информации ОС СН осуществляется с помощью автоматического и регламентного тестирования функций безопасностиРКСЗ.2
АНЗ.4Контроль состава технических средств, программного обеспечения и средств защиты информацииКонтроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ в соответствии с РСБ.3.РА.1: п.14, п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
АНЗ.5Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе

Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6


РА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
IX. Обеспечение целостности информационной системы и информации (ОЦЛ)
ОЦЛ.1Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информацииДля обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического и регламентного контроля целостностиРКСЗ.1: п.9
ОЦЛ.2Контроль целостности информации, содержащейся в базах данных информационной системыКонтроль целостности информации реализуется с использованием функций безопасности системы управления базами данныхРА.2
РА.1: п.14
РКСЗ.1: п.9
ОЦЛ.3Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуацийВ целях обеспечения возможности восстановления работоспособности системы используется режим восстановления и средства резервного копированияРА.1: п.10
https://wiki.astralinux.ru/x/dQHGAg
ОЦЛ.4Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)

ОЦЛ.5Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системыКонтроль содержания информации, основанный на свойствах объектов доступа, осуществляется согласно установленной политики управления доступомРКСЗ.1: п.3, п.4
ОЦЛ.6Ограничение прав пользователей по вводу информации в информационную системуВвод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4)РКСЗ.1: п.3, п.4
ОЦЛ.7Контроль точности, полноты и правильности данных, вводимых в информационную систему

ОЦЛ.8Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действияхКонтроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступаРКСЗ.1: п.3, п.4
РА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
X. Обеспечение доступности информации (ОДТ)
ОДТ.1Использование отказоустойчивых технических средствВозможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер)РА.1: п.4.4
ОДТ.2Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы

ОДТ.3Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестированиеКонтроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналовРА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
ОДТ.4Периодическое резервное копирование информации на резервные машинные носители информацииРезервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудитаРА.1: п.10
https://wiki.astralinux.ru/x/dQHGAg
https://wiki.astralinux.ru/x/roh0Ag
ОДТ.5Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервалаРезервное копирование осуществляется с использованием программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы, и сервисов планирования выполнения заданий
ОДТ.6Кластеризация информационной системы и (или) ее сегментовВозможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер)ОП: 4.3.2
РА1: п.4.4, п.4.5
ОДТ.7Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации

XI. Защита среды виртуализации (ЗСВ)
ЗСВ.1Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализацииИдентификация и аутентификация в виртуальной инфраструктуре осуществляется согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7РКСЗ.1: п.5, п.2
РА.1: п.2.4
ЗСВ.2Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машинУправление доступом осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13 с использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинамиРКСЗ.1: п.5
ЗСВ.3Регистрация событий безопасности в виртуальной инфраструктуреРегистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5 с использованием интерфейсов управления средствами виртуализации, штатных средств протоколирования и аудитаРКСЗ.1: п.5
РА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
ЗСВ.4Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры

Управление информационными потоками в информационной системе осуществляется средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.

Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации

РКСЗ.1: п.3. п.4, п.11
РА.1: п.14
ЗСВ.5Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией

Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузки

РКСЗ.1: п.16
РА.1: п.14
https://wiki.astralinux.ru/x/pAXoAg
ЗСВ.6Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данныхУправление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализацииРКСЗ.1: п.3, п.4, п.5
РА.1: п.2.4
https://wiki.astralinux.ru/x/pAXoAg
ЗСВ.7Контроль целостности виртуальной инфраструктуры и ее конфигурацийДоверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машинРКСЗ.1: п.16
РА.1: п.14
https://wiki.astralinux.ru/x/pAXoAg
ЗСВ.8Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктурыРезервное копирование реализуется с использованием средств кластеризации и создания распределенных хранилищ информацииРА.1: п.4.4, п.10.3
ЗСВ.9Реализация и управление антивирусной защитой в виртуальной инфраструктуре

ЗСВ.10Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователейРазбиение виртуальной инфраструктуры на сегменты обеспечивается с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q

https://wiki.astralinux.ru/x/8w0AB

XII. Защита технических средств (ЗТС)
ЗТС.1Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам

ЗТС.2Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования

ЗТС.3Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены

ЗТС.4Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

ЗТС.5Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.1Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системыРазделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации реализуется согласно мерам УПДсм. раздел II. УПД
ЗИС.2Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетомПредотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессовРА.1: п.4.2.3
ЗИС.3Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связиОбеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использования защищенных каналовРА.1: п.5.9, п.14
РКСЗ.1: п.9
ЗИС.4Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)Доверенный канал обеспечивается средствами создания защищенных каналов и в соответствии с правилами разграничения доступа и установленными привилегиямиРА.1: п.5.9, п.3. п.4
ЗИС.5Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройствЗапрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетовРКСЗ.1: п.11
РА.1: 3, п.4
ЗИС.6Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системамиЗащита реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Передача и контроль целостности атрибутов информации осуществляется в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками в формате в соответствии с ГОСТ Р 58256 и контрольными суммами, вычисляемыми в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012). Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением средств защиты канала передачи информацииРКСЗ.1: п.4, п.9, п.11
РА.1: п.14
ЗИС.7Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кодаИсключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничение программной среды, в частности созданием «замкнутой программной среды». Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах.РКСЗ.1: п.6.3, п.16
РА.1: п.15
https://wiki.astralinux.ru/x/6oR0Ag
ЗИС.8Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи

ЗИС.9Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации

ЗИС.10Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресамПодтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен)РА.1: п.5.5
https://wiki.astralinux.ru/x/yIOhAQ
ЗИС.11Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисовОсуществляется средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использования защищенных каналов и проверки целостности передаваемых пакетовРКСЗ.1: п.11
РА.1: п.5.9, п.7.1
ЗИС.12Исключение возможности отрицания пользователем факта отправки информации другому пользователю
https://wiki.astralinux.ru/x/XIV0Ag
ЗИС.13Исключение возможности отрицания пользователем факта получения информации от другого пользователя
https://wiki.astralinux.ru/x/XIV0Ag
ЗИС.14Использование устройств терминального доступа для обработки информацииВозможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологий «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службы виртуальных рабочих столовhttps://wiki.astralinux.ru/x/0wetAg
ЗИС.15Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информацииЗащита файлов, не подлежащих изменению, реализуется средствами контроля целостности объектов файловой системы и настройкой
правил разграничения доступа
РКСЗ.1: п.9.4, п.16
ЗИС.16Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколовВ ОС СН идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131. Условиями исключения скрытых каналов является реализуемая ОС СН политика дискреционного и мандатного управления доступом, мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой областей оперативной памяти и обеспечение запуска процессов в замкнутой относительно остальных процессов среде по памятиРКСЗ.1: п.17.3.3
ЗИС.17Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы

ЗИС.18Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспеченияОбеспечение загрузки и исполнения программного обеспечения и контроль целостности программного обеспечения осуществляется средствами управления доступом к подключаемым устройствам и средствами контроля целостностиРА.1: п.16
РКСЗ.1: п.16
https://wiki.astralinux.ru/x/j4KhAQ
https://wiki.astralinux.ru/x/HAKtAg
https://wiki.astralinux.ru/x/6oR0Ag
ЗИС.19Изоляция процессов (выполнение программ) в выделенной области памятиИзоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СНРКСЗ.1: п.7
ЗИС.20Защита беспроводных соединений, применяемых в информационной системе

ЗИС.21Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системыИсключение доступа пользователя к «остаточной» информации реализуется
с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов в соответствии с установленными правилами разграничения доступа
РКСЗ.1: п.7. п.8
ЗИС.22Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системыОбеспечение защиты от угроз, направленных на отказ в обслуживании,
реализуется ограничением замкнутой программной среды, настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей
РКСЗ.1: п.16
https://wiki.astralinux.ru/x/LoKhAQ
https://wiki.astralinux.ru/x/-YR0Ag
ЗИС.23

Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями




ЗИС.24Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения

ЗИС.25Использование в информационной системе или ее сегментах различных типов общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды)Возможность использования в информационной системе различных типов программного обеспечения реализуется с помощью использования виртуальной инфраструктуры, в составе которой возможно функционирование «недоверенных» гостевых операционных систем в доверенной среде ОС СНРКСЗ.1: п.5
https://wiki.astralinux.ru/x/pAXoAg
ЗИС.26Использование прикладного и специального программного обеспечения, имеющих возможность функционирования в средах различных операционных систем

ЗИС.27Создание (эмуляция) ложных информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации

ЗИС.28Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы

ЗИС.29Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системыВ случае возникновения отказов перевод информационной системы осуществляется с использованием средств восстановления ОС СН и с применением наборов базовых конфигурацийРА.1: п.10
ЗИС.30Защита мобильных технических средств, применяемых в информационной системеЗащита реализовывается в зависимости от мобильного технического средства (типа мобильного технического средства) мерами по идентификации и аутентификации в соответствии с ИАФ.1 и ИАФ.5, управлению доступом в соответствии с УПД.2, УПД.5, УПД.13 и УПД.15, ограничению программной среды в соответствии с ОПС.3, защите машинных носителей информации в соответствии с ЗНИ.1, ЗНИ.2, ЗНИ.4, ЗНИ.8, регистрации событий безопасности в соответствии с РСБ.1, РСБ.2, РСБ.3 и РСБ.5, контролю (анализу) защищенности в соответствии с АНЗ.1, АНЗ.2 и АНЗ.3, обеспечению целостности в соответствии с ОЦЛ.1.РА.1: п.16
https://wiki.astralinux.ru/x/j4KhAQ
https://wiki.astralinux.ru/x/HAKtAg
  • No labels