Содержание

Skip to end of metadata
Go to start of metadata


Принятые обозначения и сокращения

СокращенияОбозначенияОписание
РА.1Руководство администратора. Часть 1. РУСБ.10015-01 95 01-1Эксплуатационная документация из комплекта поставки ОС СН
РА.2Руководство администратора. Часть 1. РУСБ.10015-01 95 01-2
РКСЗ.1Руководство по КСЗ. Часть 1 РУСБ.10015-01 97 01-1
РКСЗ.2"Руководство по КСЗ. Часть 2 РУСБ.10015-01 97 01-2"
РП.1Руководство пользователя. Часть 1. РУСБ.10015-01 93 01-1
ОПОписание применения. РУСБ.10015-01 31 01
wiki.astralinux.ruОфициальный справочный интернет-ресурс wiki.astralinux.ruОфициальный справочный интернет-ресурс, содержащий информацию о порядке эксплуатации и вариантах реализации настроек ОС СН
справка ОС СНЭлектронная справка ОС СНЭлектронная справка ОС СН, вызываемая комбинацией клавиш ALT+F1 из интерфейса ОС СН
СОВСредств обнаружения вторженийСредств обнаружения вторжений, сертифицированные установленным порядком на соответствие требованиям безопасности информации
САВЗСредства антивирусной защитыСредства антивирусной защиты, сертифицированные установленным порядком на соответствие требованиям безопасности информации
СКНСредства контроля носителейСредства контроля подключения съемных машинных носителей информации, сертифицированные установленным порядком на соответствие требованиям безопасности информации
ОРДОрганизационно-распорядительная документацияОрганизационно-распорядительная документация по защите информации оператора
СДЗСредства доверенной загрузкиСредства доверенной загрузки, сертифицированные установленным порядком на соответствие требованиям безопасности информации
СКЗИСредства криптографической защиты информацииСредства криптографической защиты информации, сертифицированные установленным порядком на соответствие требованиям безопасности информации
СУБДСистема управления базами данныхСистема управления базами данных из состава ОС СН
МЭМежсетевой экранПрограммные и программно-аппаратные межсетевые экраны, сертифицированные установленным порядком на соответствие требованиям безопасности информации
ЭД ИСЭксплуатационная документация на информационную систему оператораЭксплуатационная документация на подсистему защиты информации информационной системы оператора, включающая описание условий безопасной эксплуатации, настройки средств защиты информации и ограничений по эксплуатации

Состав мер защиты информации, содержащейся в государственных информационных системах,
в соответствии с требованиями приказа ФСТЭК России №17,
и способов их реализации средствами операционной системы специального назначения "Astra Linux Special Edition" (ОС СН) релиз "Смоленск"

Условное обозначение и номер мерыМеры защиты информации в информационных системахСпособ реализации меры защиты с
использованием штатных средств ОС СН
Способ реализации меры защиты совместным использованием ОС СН с иными средствами защиты или с применением организационно-технических мероприятийЭксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации ОС СН
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1Идентификация и аутентификация пользователей, являющихся работниками оператораАутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификацииМногофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).ОП: п.4.1.3, 4.1.4
РА.1: п.7, п.8.6, п.17
РКСЗ.1: п.2
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
https://wiki.astralinux.ru/pages/viewpage.action?pageId=41190748
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
ИАФ.2Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативныхИдентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации
РА.1: п.16
РКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQ
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
ИАФ.3Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов пользователяУправление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности
РА.1: п.7, п.8.6
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
ИАФ.4Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификацииУправление средствами аутентификации осуществляется администратором, для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012
РА.1: п.7, 8.6, 14
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
ИАФ.5Защита обратной связи при вводе аутентификационной информацииЗащита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсе
РП:1: п.2.1
Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm
ИАФ.6Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)Аутентификация осуществляется локально или с помощью организации единого пространства пользователей
РА.1: п.7, п.8.6, п.17
РКСЗ.1: п.2
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
ИАФ.7Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступаИдентификация всех объектов и устройств и применение результатов идентификации при реализации механизмов управления доступом, контроля целостности, резервного копирования и регистрации событий безопасности, связанных с этими объектами доступа
ОП: 4.1.10, 4.2, 4.3
РКСЗ.1: п.2, п.9
II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователейУправление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности
РА.1: п.3.4, п.7, п.8.6
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
https://wiki.astralinux.ru/display/doc/Astra+Linux+Directory
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
УПД.2Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступаМонитор обращений из состава ОС СН предусматривает дискреционное, мандатное и ролевое управление доступом, а также реализацию мандатного контроля целостности. Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам.
РКСЗ.1: п.3, п.4
РА.2
ОП: п.4.1.5, п.4.1.6, п.4.3.4
УПД.3Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системамиФильтрацию сетевых потоков в ОС CН осуществляет встроенный в ядро ОС СН фильтр сетевых пакетов и монитор обращений. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками в формате в соответствии с ГОСТ Р 58256 и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012Управление информационными потоками между информационными системами реализуется с применением сертифицированных МЭ (в т.ч. средств однонаправленной передачи информации)РКСЗ.1: п.11, п.3, п.4
УПД.4Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системыРазделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности.Разделение полномочий устанавливается в соответствии с ОРДРА.1: п.3.4, п.8.6
РКСЗ.1: п.3, п.4
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
УПД.5Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системыРазделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности.Назначение минимально необходимых прав и привилегий устанавливается в соответствии с ОРДРА.1: п.3.4, п.8.6
РКСЗ.1: п.3, п.4
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
УПД.6Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности
РА.1: п.3.4
РКСЗ.1: п.2
УПД.7Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации
Защита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИС
УПД.8Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную системуСведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю (в соответствии с его правилами разграничения доступа) и администратору с использованием средств протоколирования
РКСЗ.1: п.2
РА.1: п.15
УПД.9Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системыОграничение числа параллельных сеансов для каждого пользователя (или группы) и мониторинга осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга
РА.1: п.15
РП: п.3
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
УПД.10Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросуБлокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу
РА.1: п.8.6
РКСЗ.1: п.17.2
Справка ОС СН по утилите настройки элементов рабочего стола fly-admin-theme
УПД.11Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификацииРешение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам.
РКСЗ.1: п.3, п.4
УПД.12Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработкиВ ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256)
РКСЗ.1: п.4
УПД.13Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
Защищенное удаленное подключение через через внешние информационно-телекоммуникационные сети реализуется с использованием СКЗИ, в частности средств организации частных виртуальных сетей
УПД.14Регламентация и контроль использования в информационной системе технологий беспроводного доступа
Защита реализуется организационно-техническими мерами, регламентированными в ОРД в соответствии с требованиями нормативных документов
УПД.15Регламентация и контроль использования в информационной системе мобильных технических средствЗапрет подключения внешних устройств на уровне устройств и интерфейсов реализуется на основе установленных администратором правил разграничения доступаЗащита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИСРА.1: п.16
РКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQ
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
УПД.16Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
Защита реализуется с применением МЭ и
организационно-техническими мерами, регламентированными в ОРД

УПД.17Обеспечение доверенной загрузки средств вычислительной техники
Защита реализуется применением СДЗ
III. Ограничение программной среды (ОПС)
ОПС.1Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспеченияЗадача запуска в информационной системе разрешенного программного обеспечения реализуется средствами ограничения программной среды
РКСЗ.1: п.14, п.16
https://wiki.astralinux.ru/pages/viewpage.action?pageId=41190634
ОПС.2Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспеченияЗадача управления установкой в информационную систему разрешенного программного обеспечения реализуется средствами регламентного контроля целостности устанавливаемого программного обеспечения в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписиЗащита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИСРА.1: п.9, п.14
ОП: п.4.1.10
РКСЗ.1: п.16
https://wiki.astralinux.ru/x/OwAy
https://wiki.astralinux.ru/pages/viewpage.action?pageId=41190634
ОПС.3Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентовЗадача установки в информационную систему разрешенного программного обеспечения реализуется средствами регламентного контроля целостности устанавливаемого программного обеспечения в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписиЗащита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИСРА.1: п.9, п.14
РКСЗ.1: п.16
https://wiki.astralinux.ru/x/OwAy
https://wiki.astralinux.ru/pages/viewpage.action?pageId=41190634
IV. Защита машинных носителей информации (ЗНИ)
ЗНИ.1Учет машинных носителей информацииЗапрет подключения внешних устройств на уровне устройств и интерфейсов реализуется на основе установленных администратором правил разграничения доступаЗащита реализуется в соответствии с ОРДРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.2Управление доступом к машинным носителям информации
Защита реализуется в соответствии с ОРД
ЗНИ.3Контроль перемещения машинных носителей информации за пределы контролируемой зоны
Защита реализуется в соответствии с ОРД
ЗНИ.4Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах
Защита реализуется в соответствии с ОРД
ЗНИ.5Контроль использования интерфейсов ввода (вывода) информации на машинные носители информацииЗапрет подключения внешних устройств на уровне устройств и интерфейсов реализуется на основе установленных администратором правил разграничения доступаЗащита реализуется в соответствии с ОРДРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.6Контроль ввода (вывода) информации на машинные носители информацииЗапрет подключения внешних устройств на уровне устройств и интерфейсов реализуется на основе установленных администратором правил разграничения доступаЗащита реализуется в соответствии с ОРДРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.7Контроль подключения машинных носителей информацииЗапрет подключения внешних устройств на уровне устройств и интерфейсов реализуется на основе установленных администратором правил разграничения доступаЗащита реализуется в соответствии с ОРДРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.8Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания)Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителейЗащита реализуется в соответствии с ОРДРКСЗ.1: п.8
https://wiki.astralinux.ru/x/roh0Ag
https://wiki.astralinux.ru/x/V4CJ
https://wiki.astralinux.ru/x/DALoAg
V. Регистрация событий безопасности (РСБ)
РСБ.1Определение событий безопасности, подлежащих регистрации, и сроков их храненияСобытия безопасности, подлежащие регистрации, и сроки их хранения определяются администраторомЗащита реализуется в соответствии с ОРДРКСЗ.1: п.6
РСБ.2Определение состава и содержания информации о событиях безопасности, подлежащих регистрацииСостав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администраторомЗащита реализуется в соответствии с ОРДРКСЗ.1: п.6
РСБ.3Сбор, запись и хранение информации о событиях безопасности в течение установленного времени храненияСбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилищеЗащита реализуется в соответствии с ОРД. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM)РА.1: п.15
РКСЗ.1: п.6.3
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
РСБ.4Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памятиРеагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности
РА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
РСБ.5Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на нихМониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверовС целью выявления инцидентов безопасности и реагирования на них и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и СОВРА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
РСБ.6Генерирование временных меток и (или) синхронизация системного времени в информационной системеСинхронизация системного времени в информационной системе реализуется с использованием возможностей синхронизации системных часов
РА.1: п.5.7
https://wiki.astralinux.ru/x/l4GhAQ
РСБ.7Защита информации о событиях безопасностиЗащита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудитаЗащита реализуется в соответствии с ОРДРА.1: п.15
РКСЗ.1: п.3, п.4
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
РСБ.8Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системеПросмотр и анализ информации о действиях пользователей предоставляется администратору (пользователям в соответствии с установленными правилами разграничения доступа) с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности
РА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
VI. Антивирусная защита (АВЗ)
АВЗ.1Реализация антивирусной защиты
Защита реализуется с использованием САВЗ
АВЗ.2Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
Защита реализуется с использованием САВЗ
VII. Обнаружение вторжений (СОВ)
СОВ.1Обнаружение вторжений
Защита реализуется с использованием СОВ
СОВ.2Обновление базы решающих правил
Защита реализуется с использованием СОВ
VIII. Контроль (анализ) защищенности информации (АНЗ)
АНЗ.1Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостейВыявление и оперативное устранение уязвимостей ОС СН производится разработчиком в соответствии с Регламентом включения информации об уязвимостях в банк данных угроз безопасности информации ФСТЭК РоссииВыявление, анализ уязвимостей информационной системы осуществляется с помощью средств анализа (контроля) защищенности (сканеров безопасности)
АНЗ.2Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информацииКонтроль целостности обновлений ОС СН осуществляется проведением динамического контроля целостности файлов с использованием электронной цифровой подписи и регламентного контроля целостности с использованием функции хэшированияЗащита реализуется в соответствии с ОРД и ЭД ИСОП: п.3.2
https://wiki.astralinux.ru/x/X4AmAg
АНЗ.3Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информацииКонтроль работоспособности встроенного комплекса средств защиты информации ОС СН осуществляется с помощью автоматического и регламентного тестирования функций безопасностиЗащита реализуется в соответствии с ЭД ИСРКСЗ.2
АНЗ.4Контроль состава технических средств, программного обеспечения и средств защиты информацииКонтроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ в соответствии с РСБ.3.
Контроль состава технических средств в информационной системе может быть реализован с помощью специальных скриптов
Защита реализуется в соответствии с ОРДРА.1: п.14, п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
АНЗ.5Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системеКонтроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6Защита реализуется в соответствии с ОРД и ЭД ИСРА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
Справка ОС СН по утилите управления политикой безопасности fly-admin-smc
IX. Обеспечение целостности информационной системы и информации (ОЦЛ)
ОЦЛ.1Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информацииДля обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического и регламентного контроля целостности
РКСЗ.1: п.9
ОЦЛ.2Контроль целостности информации, содержащейся в базах данных информационной системыКонтроль целостности информации реализуется с использованием функций безопасности СУБД и и средств динамического и регламентного контроля целостности
РА.2
РА.1: п.14
РКСЗ.1: п.9
ОЦЛ.3Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуацийВ целях обеспечения возможности восстановления работоспособности системы используется режима восстановления и средств резервного копированияЗащита реализуется в соответствии с ОРД и ЭД ИСРА.1: п.10
https://wiki.astralinux.ru/x/dQHGAg
ОЦЛ.4Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)
Защита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИС
ОЦЛ.5Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системыКонтроль содержания информации, основанный на свойствах объектов доступа, осуществляется согласно установленной политики управления доступомЗащита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИСРКСЗ.1: п.3, п.4
ОЦЛ.6Ограничение прав пользователей по вводу информации в информационную системуВвод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4)
РКСЗ.1: п.3, п.4
ОЦЛ.7Контроль точности, полноты и правильности данных, вводимых в информационную систему
Защита реализуется в соответствии с ЭД ИС и ЭД используемого программного обеспечения
ОЦЛ.8Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действияхКонтроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступаЗащита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИСРКСЗ.1: п.3, п.4
РА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
X. Обеспечение доступности информации (ОДТ)
ОДТ.1Использование отказоустойчивых технических средствВозможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер)Защита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИСРА.1: п.4.4
ОДТ.2Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы
Защита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИС
ОДТ.3Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестированиеКонтроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналовЗащита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИСРА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
ОДТ.4Периодическое резервное копирование информации на резервные машинные носители информацииРезервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудитаЗащита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИСРА.1: п.10
https://wiki.astralinux.ru/x/dQHGAg
https://wiki.astralinux.ru/pages/viewpage.action?pageId=41191598
ОДТ.5Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала
Защита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИС
ОДТ.7Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации
Защита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИС
XI. Защита среды виртуализации (ЗСВ)
ЗСВ.1Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализацииИдентификация и аутентификация в виртуальной инфраструктуре осуществляется согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7
РКСЗ.1: п.5, п.2
РА.1: п.2.4
ЗСВ.2Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машинУправление доступом осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13 с использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами
РКСЗ.1: п.5
ЗСВ.3Регистрация событий безопасности в виртуальной инфраструктуреРегистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5 с использованием интерфейсов управления средствами виртуализации, штатных средств протоколирования и аудита
РКСЗ.1: п.5
РА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
ЗСВ.4Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктурыУправление информационными потоками осуществляется согласно УПД.3, ЗИС.3. Фильтрацию сетевых потоков в ОС CН обеспечивает встроенный в ядро ОС СН фильтр сетевых пакетов и монитор обращений. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками в формате в соответствии с ГОСТ Р 58256 и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012Управление информационными потоками реализуется с применением МЭ, СКЗИ (при необходимости усиления) в соответствии с ОРД и ЭД ИСРКСЗ.1: п.3. п.4, п.11
РА.1: п.14
ЗСВ.5Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализациейДоверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машинДля ЭВМ — защита реализуется с применением СДЗРКСЗ.1: п.16
РА.1: п.14
https://wiki.astralinux.ru/x/pAXoAg
ЗСВ.6Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данныхУправление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации
РКСЗ.1: п.3, п.4, п.5
РА.1: п.2.4
https://wiki.astralinux.ru/x/pAXoAg
ЗСВ.7Контроль целостности виртуальной инфраструктуры и ее конфигурацийДоверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машин
РКСЗ.1: п.16
РА.1: п.14
https://wiki.astralinux.ru/x/pAXoAg
ЗСВ.8Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктурыРезервное копирование реализуется с использованием средств кластеризации и создания распределенных хранилищ информации
РА.1: п.4.4, п.10.3
ЗСВ.9Реализация и управление антивирусной защитой в виртуальной инфраструктуре
Защита реализуется с использованием САВЗ, функционирующими в виртуальной среде
ЗСВ.10Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей
Защита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИС
XII. Защита технических средств (ЗТС)
ЗТС.2Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования
Защита реализуется организационно-техническими мерами в соответствии с ОРД и с требованиями нормативных документов
ЗТС.3Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
Защита реализуется организационно-техническими мерами в соответствии с ОРД и с требованиями нормативных документов
ЗТС.4Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
Защита реализуется организационно-техническими мерами в соответствии с ОРД и с требованиями нормативных документов
ЗТС.5Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)
Защита реализуется организационно-техническими мерами в соответствии с ОРД и с требованиями нормативных документов
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.1Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системыРазделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации реализуется согласно мерам УПДЗащита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИСсм. раздел II. УПД
ЗИС.2Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетомПредотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов
РА.1: п.4.2.3
ЗИС.3Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связиОбеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использования защищенных каналовЗащита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИС с применением СКЗИ, в частности средств организации частных виртуальных сетейРА.1: п.5.9, п.14
РКСЗ.1: п.9
ЗИС.4Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)Доверенный канал обеспечивается средствами создания защищенных каналов и в соответствии с правилами разграничения доступа и установленными привилегиямиЗащита реализуется организационно-техническими мерами в соответствии с ОРД и ЭД ИСРА.1: п.5.9, п.3. п.4
ЗИС.5Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройствЗапрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетовЗащита реализуется организационно-техническими мерами в соответствии с ОРДРКСЗ.1: п.11
РА.1: 3, п.4
ЗИС.6Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системамиПередача и контроль целостности атрибутов информации осуществляется в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками в формате в соответствии с ГОСТ Р 58256 и контрольными суммами, вычисляемыми в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012)Защита реализуется с применением сертифицированных МЭ и/или средств однонаправленной передачи информации, поддерживающими форматы атрибутов безопасностиРКСЗ.1: п.4, п.9, п.11
РА.1: п.14
ЗИС.7Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кодаИсключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничение программной среды, в частности созданием «замкнутой программной среды». Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах.
РКСЗ.1: п.6.3, п.16
РА.1: п.15
https://wiki.astralinux.ru/pages/viewpage.action?pageId=41190634
ЗИС.8Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи
Защита реализуется организационно-техническими мерами в соответствии с ОРД
ЗИС.9Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации
Защита реализуется организационно-техническими мерами в соответствии с ОРД
ЗИС.10Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресамПодтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен)
РА.1: п.5.5
https://wiki.astralinux.ru/x/yIOhAQ
ЗИС.11Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисовПодлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использования защищенных каналов и проверки целостности передаваемых пакетовЗащита реализуется с применением МЭРКСЗ.1: п.11
РА.1: п.5.9, п.7.1
ЗИС.12Исключение возможности отрицания пользователем факта отправки информации другому пользователю
Защита реализуется с применением СКЗИ — средств электронной подписиhttps://wiki.astralinux.ru/pages/viewpage.action?pageId=41190748
ЗИС.13Исключение возможности отрицания пользователем факта получения информации от другого пользователя
Защита реализуется с применением СКЗИ — средств электронной подписиhttps://wiki.astralinux.ru/pages/viewpage.action?pageId=41190748
ЗИС.14Использование устройств терминального доступа для обработки информацииВозможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологий «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службы виртуальных рабочих столов
https://wiki.astralinux.ru/x/0wetAg
ЗИС.15Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информацииЗащита файлов, не подлежащих изменению, реализуется средствами контроля целостности объектов файловой системы и настройкой
правил разграничения доступа
Защита реализуется с применением СКЗИРКСЗ.1: п.9.4, п.16
ЗИС.16Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов
Защита реализуется организационно-техническими мерами в соответствии с ОРД
ЗИС.17Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
Защита реализуется с использованием МЭ в соответствии с требованиями технического задания на проектирование информационной системы и ЭД ИС
ЗИС.18Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспеченияОбеспечение загрузки и исполнения программного обеспечения и контроль целостности программного обеспечения осуществляется средствами управления доступом к подключаемым устройствам и средствами контроля целостности
РА.1: п.16
РКСЗ.1: п.16
https://wiki.astralinux.ru/x/j4KhAQ
https://wiki.astralinux.ru/x/HAKtAg
https://wiki.astralinux.ru/x/6oR0Ag
ЗИС.19Изоляция процессов (выполнение программ) в выделенной области памятиИзоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН
РКСЗ.1: п.7
ЗИС.20Защита беспроводных соединений, применяемых в информационной системе
Защита реализуется организационно-техническими мерами в соответствии с ОРД
ЗИС.21Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системыИсключение доступа пользователя к «остаточной» информации реализуется
с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов в соответствии с установленными правилами разграничения доступа
Защита реализуется с применением МЭРКСЗ.1: п.7. п.8
ЗИС.22Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системыОбеспечение защиты от угроз, направленных на отказ в обслуживании,
реализуется ограничением замкнутой программной среды, настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей

РКСЗ.1: п.16
https://wiki.astralinux.ru/x/LoKhAQ
https://wiki.astralinux.ru/pages/viewpage.action?pageId=41190653
ЗИС.23Защита периметра (физических и (или) логических
границ) информационной взаимодействии с иными системами и телекоммуникационными сетями

Защита реализуется с использованием МЭ, средств однонаправленной передачи информации, СКЗИ
ЗИС.24Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения
Защита реализуется с использованием МЭ
ЗИС.25Использование в информационной системе или ее сегментах различных типов общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды)Возможность использования в информационной системе различных типов программного обеспечения реализуется с помощью использования виртуальной инфраструктуры, в составе которой возможно функционирование «недоверенных» гостевых операционных систем в доверенной среде ОС СН
РКСЗ.1: п.5
https://wiki.astralinux.ru/x/pAXoAg
ЗИС.26Использование прикладного и специального программного обеспечения, имеющих возможность функционирования в средах различных операционных систем
Защита реализуется применением в информационных системах программного обеспечения «клиент-серверной» архитектуры («тонкого» клиента), имеющих возможность функционирования в средах различных операционных систем
ЗИС.27Создание (эмуляция) ложных информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации
Защита реализуется организационно-техническими мерами в соответствии с ОРД с применением СОВ
ЗИС.28Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы
Защита реализуется в соответствии с требованиями технического задания на проектирование информационной системы, ОРД и ЭД ИС
ЗИС.29Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системыВ случае возникновения отказов перевод информационной системы осуществляется с использованием средств восстановления ОС СН и с применением наборов базовых конфигураций
РА.1: п.10
ЗИС.30Защита мобильных технических средств, применяемых в информационной системеЗащита реализуется в соответствии с политикой управления доступом и правилами разграничения доступа к внешним машинным носителямЗащита реализуется в соответствии с ОРД и с использованием СКН и СКЗИРА.1: п.16
https://wiki.astralinux.ru/x/j4KhAQ
https://wiki.astralinux.ru/x/HAKtAg
  • No labels