Возможности по реализации мер защиты информации, содержащейся в ИСПДн, в соответствии с требованиями приказа ФСТЭК России №21, и способов их реализации средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) и Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

Принятые обозначения и сокращения


Сокращения

Обозначения

Описание

РА.1

Руководство администратора. Часть 1. РУСБ.10015-01 95 01-1

Эксплуатационная документация из комплекта поставки Astra Linux

РА.2

Руководство администратора. Часть 1. РУСБ.10015-01 95 01-2

Эксплуатационная документация из комплекта поставки Astra Linux

РКСЗ.1

Руководство по комплексу средств защиты. Часть 1 РУСБ.10015-01 97 01-1

Эксплуатационная документация из комплекта поставки Astra Linux

РКСЗ.2

Руководство по комплексу средств защиты. Часть 2 РУСБ.10015-01 97 01-2

Эксплуатационная документация из комплекта поставки Astra Linux

РП.1

Руководство пользователя. Часть 1. РУСБ.10015-01 93 01-1

Эксплуатационная документация из комплекта поставки Astra Linux

ОП

Описание применения. РУСБ.10015-01 31 01

Эксплуатационная документация из комплекта поставки Astra Linux

wiki.astralinux.ru

Официальный справочный интернет-ресурс wiki.astralinux.ru

Официальный справочный интернет-ресурс, содержащий информацию о порядке эксплуатации и вариантах реализации настроек Astra Linux

справка Astra Linux

Электронная справка Astra Linux

Электронная справка Astra Linux, вызываемая комбинацией клавиш ALT+F1 из интерфейса Astra Linux

СКЗИ

Сертифицированные средства криптографической защиты информации


МЭ

Сертифицированный межсетевой экран


ОРД

Организационно-распорядительная документация 


СДЗ

Сертифицированные средства доверенной загрузки 


CОВ

Сертифицированное средство обнаружения вторжений


САВЗ

Сертифицированные средства антивирусной защиты 


SIEM

Security information and event management, управление событиями и информацией о безопасности


Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux Special Edition  РУСБ.10015-01 (очередное обновление 1.6) и Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

Пожалуйста, разместите таблицу или макрос, генерирующий таблицы, в макросе "Фильтр таблиц".

Таблица загружается. Пожалуйста, подождите...

Условное обозначение и номер мерыМеры защиты информации в информационных системахСпособ реализации меры защиты с
использованием штатных средств Astra Linux Special Edition
Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации Astra Linux Special Edition
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ.1Идентификация и аутентификация пользователей, являющихся работниками оператора

Аутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.

Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации Astra Linux Special Edition, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).

ОП: п.4.1.3, 4.1.4
РА.1: п.7, п.8.6, п.17
РКСЗ.1: п.2
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
Справка Astra Linux Special Edition по утилите управления политикой безопасности fly-admin-smc
ИАФ.2Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативныхИдентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификацииРА.1: п.16
РКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQ
Справка Astra Linux Special Edition по утилите управления политикой безопасности fly-admin-smc
ИАФ.3Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторовУправление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасностиРА.1: п.7, п.8.6
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
Справка Astra Linux Special Edition по утилите управления политикой безопасности fly-admin-smc
ИАФ.4Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификацииУправление средствами аутентификации осуществляется администратором, для защиты аутентификационной информации в Astra Linux Special Edition по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012РА.1: п.7, 8.6, 14
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
Справка Astra Linux Special Edition по утилите управления политикой безопасности fly-admin-smc
ИАФ.5Защита обратной связи при вводе аутентификационной информацииЗащита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсеРП:1: п.2.1
Справка Astra Linux Special Edition по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm
ИАФ.6Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)Аутентификация осуществляется локально или с помощью организации единого пространства пользователейРА.1: п.7, п.8.6, п.17
РКСЗ.1: п.2
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
Справка Astra Linux Special Edition по утилите управления политикой безопасности fly-admin-smc
II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.1Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователейУправление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасностиРА.1: п.3.4, п.7, п.8.6
https://wiki.astralinux.ru/x/e4GhAQ
https://wiki.astralinux.ru/x/X4OhAQ
https://wiki.astralinux.ru/x/RIImAg
https://wiki.astralinux.ru/x/R4AS
Справка Astra Linux Special Edition по утилите управления политикой безопасности fly-admin-smc
УПД.2Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступаМонитор обращений из состава Astra Linux Special Edition предусматривает дискреционное, мандатное и ролевое управление доступом, а также реализацию мандатного контроля целостности. Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам.РКСЗ.1: п.3, п.4
РА.2
ОП: п.4.1.5, п.4.1.6, п.4.3.4
УПД.3Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами

Реализуется с применением сертифицированных МЭ.

Дополнительно: управление информационными потоками в информационной системе осуществляется средствами Astra Linux Special Edition, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.

Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012)

РКСЗ.1: п.11, п.3, п.4
УПД.4Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системыРазделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией оператораРА.1: п.3.4, п.8.6
РКСЗ.1: п.3, п.4
Справка Astra Linux Special Edition по утилите управления политикой безопасности fly-admin-smc
УПД.5Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системыНазначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией оператораРА.1: п.3.4, п.8.6
РКСЗ.1: п.3, п.4
Справка Astra Linux Special Edition по утилите управления политикой безопасности fly-admin-smc
УПД.6Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасностиРА.1: п.3.4
РКСЗ.1: п.2
УПД.7Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения установленных оператором правил обработки информации

УПД.8Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную системуСведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю (в соответствии с его правилами разграничения доступа) и администратору с использованием средств протоколированиясм. Вывод уведомления о предыдущем входе в систему
УПД.9Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системыОграничение числа параллельных сеансов для каждого пользователя (или группы) и мониторинга осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторингаРА.1: п.15
РП: п.3
Справка Astra Linux Special Edition по утилите управления политикой безопасности fly-admin-smc
УПД.10Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросуБлокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросуРА.1: п.8.6
РКСЗ.1: п.17.2
Справка Astra Linux Special Edition по утилите настройки элементов рабочего стола fly-admin-theme
УПД.11Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификацииРешение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам.РКСЗ.1: п.3, п.4
УПД.12Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработкиВ Astra Linux Special Edition реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256)РКСЗ.1: п.4
УПД.13Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети

УПД.14Регламентация и контроль использования в информационной системе технологий беспроводного доступа

УПД.15Регламентация и контроль использования в информационной системе мобильных технических средствРеализуется средствами Astra Linux Special Edition, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступаРА.1: п.16
РКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQ
Справка Astra Linux Special Edition по утилите управления политикой безопасности fly-admin-smc
УПД.16Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)

УПД.17Обеспечение доверенной загрузки средств вычислительной техники

III. Ограничение программной среды (ОПС)
ОПС.1Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспеченияЗадача запуска в информационной системе разрешенного программного обеспечения реализуется средствами ограничения программной средыРКСЗ.1: п.14, п.16
https://wiki.astralinux.ru/x/6oR0Ag
ОПС.2Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспеченияЗадача управления установкой в информационную систему разрешенного программного обеспечения реализуется средствами регламентного контроля целостности устанавливаемого программного обеспечения в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписиРА.1: п.9, п.14
ОП: п.4.1.10
РКСЗ.1: п.16
https://wiki.astralinux.ru/x/OwAy
https://wiki.astralinux.ru/x/6oR0Ag
ОПС.3Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентовЗадача установки в информационную систему разрешенного программного обеспечения реализуется средствами регламентного контроля целостности устанавливаемого программного обеспечения в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписиРА.1: п.9, п.14
РКСЗ.1: п.16
https://wiki.astralinux.ru/x/OwAy
https://wiki.astralinux.ru/x/6oR0Ag
ОПС.4Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файловИсключение хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется
с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов в соответствии с установленными правилами разграничения доступа
РКСЗ.1: п.7. п.8
IV. Защита машинных носителей информации (ЗНИ)
ЗНИ.1Учет машинных носителей информацииРеализуется средствами Astra Linux Special Edition, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступаРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.2Управление доступом к машинным носителям персональных данных

ЗНИ.3Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны

ЗНИ.4Исключение возможности несанкционированного ознакомления с содержанием персональных данных, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах

ЗНИ.5Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данныхРеализуется средствами Astra Linux Special Edition, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступаРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.6Контроль ввода (вывода) информации на машинные носители персональных данныхРеализуется средствами Astra Linux Special Edition, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступаРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.7Контроль подключения машинных носителей персональных данныхРеализуется средствами Astra Linux Special Edition, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступаРКСЗ.1: п.13
https://wiki.astralinux.ru/x/j4KhAQc
ЗНИ.8Уничтожение (стирание) персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличиванияЗадача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителейРКСЗ.1: п.8
https://wiki.astralinux.ru/x/roh0Ag
https://wiki.astralinux.ru/x/V4CJ
https://wiki.astralinux.ru/x/DALoAg
V. Регистрация событий безопасности (РСБ)
РСБ.1Определение событий безопасности, подлежащих регистрации, и сроков их храненияСобытия безопасности, подлежащие регистрации, и сроки их хранения определяются администраторомРКСЗ.1: п.6
РСБ.2Определение состава и содержания информации о событиях безопасности, подлежащих регистрацииСостав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администраторомРКСЗ.1: п.6
РСБ.3Сбор, запись и хранение информации о событиях безопасности в течение установленного времени храненияСбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM)РА.1: п.15
РКСЗ.1: п.6.3
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
РСБ.4Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памятиРеагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасностиРА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
РСБ.5Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на нихМониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторженийРА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
РСБ.6Генерирование временных меток и (или) синхронизация системного времени в информационной системеСинхронизация системного времени в информационной системе реализуется с использованием возможностей синхронизации системных часовРА.1: п.5.7
https://wiki.astralinux.ru/x/l4GhAQ
РСБ.7Защита информации о событиях безопасностиЗащита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудитаРА.1: п.15
РКСЗ.1: п.3, п.4
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
VI. Антивирусная защита (АВЗ)
АВЗ.1Реализация антивирусной защиты

АВЗ.2Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

VII. Обнаружение вторжений (СОВ)
СОВ.1Обнаружение вторжений

СОВ.2Обновление базы решающих правил

VIII. Контроль (анализ) защищенности информации (АНЗ)
АНЗ.1Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостейВыявление и оперативное устранение уязвимостей Astra Linux Special Edition производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76, и ГОСТ Р 56939ОП: п.3
АНЗ.2Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информацииКонтроль целостности обновлений Astra Linux Special Edition осуществляется проведением динамического контроля целостности файлов с использованием электронной цифровой подписи и регламентного контроля целостности с использованием функции хэшированияОП: п.3.2
https://wiki.astralinux.ru/x/X4AmAg
АНЗ.3Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информацииКонтроль работоспособности встроенного комплекса средств защиты информации Astra Linux Special Edition осуществляется с помощью автоматического и регламентного тестирования функций безопасностиРКСЗ.2
АНЗ.4Контроль состава технических средств, программного обеспечения и средств защиты информацииКонтроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ в соответствии с РСБ.3.РА.1: п.14, п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
АНЗ.5Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системеКонтроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6РА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
Справка Astra Linux Special Edition по утилите управления политикой безопасности fly-admin-smc
IX. Обеспечение целостности информационной системы и информации (ОЦЛ)
ОЦЛ.1Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информацииДля обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического и регламентного контроля целостностиРКСЗ.1: п.9
ОЦЛ.2Контроль целостности персональных данных, содержащихся в базах данных информационной системыКонтроль целостности информации реализуется с использованием функций безопасности системы управления базами данныхРА.2
РА.1: п.14
РКСЗ.1: п.9
ОЦЛ.3Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуацийВ целях обеспечения возможности восстановления работоспособности системы используется режим восстановления и средства резервного копированияРА.1: п.10
https://wiki.astralinux.ru/x/dQHGAg
ОЦЛ.4Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)

ОЦЛ.5Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы

ОЦЛ.6Ограничение прав пользователей по вводу информации в информационную системуВвод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4)РКСЗ.1: п.3, п.4
ОЦЛ.7Контроль точности, полноты и правильности данных, вводимых в информационную систему

ОЦЛ.8Контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных и предупреждение пользователей об ошибочных действияхКонтроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступаРКСЗ.1: п.3, п.4
РА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
X. Обеспечение доступности информации (ОДТ)
ОДТ.1Использование отказоустойчивых технических средствВозможность работы Astra Linux Special Edition на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер)РА.1: п.4.4
ОДТ.2Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системыРезервирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита
ОДТ.3Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестированиеКонтроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналовРА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
ОДТ.4Периодическое резервное копирование персональных данных на резервные машинные носители персональных данныхРезервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудитаРА.1: п.10
https://wiki.astralinux.ru/x/dQHGAg
https://wiki.astralinux.ru/x/roh0Ag
ОДТ.5Обеспечение возможности восстановления м с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервалаРезервное копирование осуществляется с использованием программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы, и сервисов планирования выполнения заданий

XI. Защита среды виртуализации (ЗСВ)

Меры защиты данного раздела неприменимы к Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1).
ЗСВ.1Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализацииИдентификация и аутентификация в виртуальной инфраструктуре осуществляется согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7РКСЗ.1: п.5, п.2
РА.1: п.2.4
ЗСВ.2Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машинУправление доступом осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13 с использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинамиРКСЗ.1: п.5
ЗСВ.3Регистрация событий безопасности в виртуальной инфраструктуреРегистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5 с использованием интерфейсов управления средствами виртуализации, штатных средств протоколирования и аудитаРКСЗ.1: п.5
РА.1: п.15
https://wiki.astralinux.ru/x/E4NOAg
https://wiki.astralinux.ru/x/-4JOAg
ЗСВ.4Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры

Реализуется с применением сертифицированных МЭ.

Дополнительно:

Управление информационными потоками в информационной системе осуществляется средствами Astra Linux Special Edition, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.

Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации

РКСЗ.1: п.3. п.4, п.11
РА.1: п.14
ЗСВ.5Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализациейДоверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузкиРКСЗ.1: п.16
РА.1: п.14
https://wiki.astralinux.ru/x/pAXoAg
ЗСВ.6Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данныхУправление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализацииРКСЗ.1: п.3, п.4, п.5
РА.1: п.2.4
https://wiki.astralinux.ru/x/pAXoAg
ЗСВ.7Контроль целостности виртуальной инфраструктуры и ее конфигурацийДоверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машинРКСЗ.1: п.16
РА.1: п.14
https://wiki.astralinux.ru/x/pAXoAg
ЗСВ.8Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктурыРезервное копирование реализуется с использованием средств кластеризации и создания распределенных хранилищ информацииРА.1: п.4.4, п.10.3
ЗСВ.9Реализация и управление антивирусной защитой в виртуальной инфраструктуре

ЗСВ.10Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователейРеализуется с применением МЭ.
Дополнительно разбиение виртуальной инфраструктуры на сегменты обеспечивается с использованием штатных средств Astra Linux Special Edition, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q
https://wiki.astralinux.ru/x/8w0AB
XII. Защита технических средств (ЗТС)
ЗТС.1Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам

ЗТС.2Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования

ЗТС.3Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены

ЗТС.4Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр

ЗТС.5Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.1Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системыРазделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации реализуется согласно мерам УПДсм. раздел II. УПД
ЗИС.2Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетомПредотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессовРА.1: п.4.2.3
ЗИС.3Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи

Реализуется с применением СКЗИ.

Дополнительно: обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использования защищенных каналов

РА.1: п.5.9, п.14
РКСЗ.1: п.9
ЗИС.4Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)

Реализуется с применением СКЗИ.

Дополнительно: доверенный канал обеспечивается средствами создания защищенных каналов и в соответствии с правилами разграничения доступа и установленными привилегиями

РА.1: п.5.9, п.3. п.4
ЗИС.5Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройствЗапрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетовРКСЗ.1: п.11
РА.1: 3, п.4
ЗИС.6Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системамиЗащита реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Передача и контроль целостности атрибутов информации осуществляется в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками в формате в соответствии с ГОСТ Р 58256 и контрольными суммами, вычисляемыми в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012). Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением средств защиты канала передачи информацииРКСЗ.1: п.4, п.9, п.11
РА.1: п.14
ЗИС.7Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кодаИсключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничение программной среды, в частности созданием «замкнутой программной среды». Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах.РКСЗ.1: п.6.3, п.16
РА.1: п.15
https://wiki.astralinux.ru/x/6oR0Ag
ЗИС.8Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи

ЗИС.9Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации

ЗИС.10Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресамПодтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен)РА.1: п.5.5
https://wiki.astralinux.ru/x/yIOhAQ
ЗИС.11Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисовОсуществляется средствами Astra Linux Special Edition, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использования защищенных каналов и проверки целостности передаваемых пакетовРКСЗ.1: п.11
РА.1: п.5.9, п.7.1
ЗИС.12Исключение возможности отрицания пользователем факта отправки персональных данных другому пользователю
https://wiki.astralinux.ru/x/XIV0Ag
ЗИС.13Исключение возможности отрицания пользователем факта получения персональных данных от другого пользователя
https://wiki.astralinux.ru/x/XIV0Ag
ЗИС.14Использование устройств терминального доступа для обработки персональных данныхВозможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологий «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службы виртуальных рабочих столовhttps://wiki.astralinux.ru/x/EIQyAw
ЗИС.15Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данныхЗащита файлов, не подлежащих изменению, реализуется средствами контроля целостности объектов файловой системы и настройкой
правил разграничения доступа
РКСЗ.1: п.9.4, п.16
ЗИС.16Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколовВ Astra Linux Special Edition идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76. Условиями исключения скрытых каналов является реализуемая Astra Linux Special Edition политика дискреционного и мандатного управления доступом, мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой областей оперативной памяти и обеспечение запуска процессов в замкнутой относительно остальных процессов среде по памяти
ЗИС.17Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы

ЗИС.18Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспеченияОбеспечение загрузки и исполнения программного обеспечения и контроль целостности программного обеспечения осуществляется средствами управления доступом к подключаемым устройствам и средствами контроля целостностиРА.1: п.16
РКСЗ.1: п.16
https://wiki.astralinux.ru/x/j4KhAQ
https://wiki.astralinux.ru/x/HAKtAg
https://wiki.astralinux.ru/x/6oR0Ag
ЗИС.19Изоляция процессов (выполнение программ) в выделенной области памятиИзоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре Astra Linux Special EditionРКСЗ.1: п.7
ЗИС.20Защита беспроводных соединений, применяемых в информационной системе

XIV. Выявление инцидентов и реагирование на них (ИНЦ)
ИНЦ.2Обнаружение, идентификация и регистрация инцидентовСбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилищеСм. комплекс мер защиты РСБ




Примечание.1. Иные меры комплекса мер защиты ИНЦ не рассматриваются, т. к. реализуются исключительно организационными мерами.
2. Комплекс мер защиты УКФ не рассматривается, т. к. реализуется исключительно организационными мерами.