Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7 (ОС СН)
Меры обеспечения безопасности значимого объекта | Категории значимости ЗО КИИ | Средства реализации | Режимы ОС СН | Способ реализации меры защиты с использованием штатных средств ОС СН | Компоненты ОС СН | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации ОС СН | ||||||
Раздел | Код | Меры обеспечения безопасности | 3 | 2 | 1 | Базовый | Усиленный | Максимальный | ||||
1 | I. Идентификация и аутентификация (ИАФ) | |||||||||||
1 | ИАФ.0 | Регламентация правил и процедур идентификации и аутентификации | + | + | + | Организационные мероприятия, ОРД | - | - | - | Правила и процедуры идентификации и аутентификации регламентируются ОРД. | - | - |
1 | ИАФ.1 | Идентификация и аутентификация пользователей и инициируемых ими процессов | + | + | + | Средства ОС СН + Организационные мероприятия При необходимости: СДЗ, токены | + | + | + | Идентификация и аутентификация пользователей и инициируемых ими процессов осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: Средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.2 | Идентификация и аутентификация устройств | + | + | + | Средства ОС СН + ОРД | + | + | + | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификация. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация устройств реализуется средствами ОС СН с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация устройств (ядро, parsec, dev, fstab), идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, регистрации устройств локально (fly-admin-smc), и централизованно (FreeIPA, ALD) Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.12.4 Настройка принтера и управления печатью, п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.3 | Управление идентификаторами | + | + | + | Средства ОС СН + Организационные мероприятия + ОРД | + | + | + | Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD). Управление устройствами локально (fly-admin-smc) и в домене (FreeIPA,ALD) | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.4 | Управление средствами аутентификации | + | + | + | Средства ОС СН + Организационные мероприятия При необходимости: СДЗ, токены | + | + | + | Управление средствами аутентификации осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Для защиты аутентификационной информации в ОС СН по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012 При необходимости применения многофакторной аутентификации, управление токенами с использованием средств поддержки двухфакторной аутентификации. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) Дополнительно: средства поддержки двухфакторной аутентификации | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.5 | Идентификация и аутентификация внешних пользователей | + | + | + | Средства ОС СН + Организационные мероприятия При необходимости: СДЗ, токены | + | + | + | Идентификация и аутентификация внешних пользователей осуществляется локально или централизованно с помощью организации единого пространства пользователей. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Дополнительно: средства поддержки двухфакторной аутентификации | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.18 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.6 | Двусторонняя аутентификация | Средства ОС СН При необходимости СКЗИ | + | + | + | Двусторонняя аутентификация осуществляется с использованием сетевого протокола сквозной доверенной аутентификации в ЕПП. | Сквозная аутентификация (ЕПП) Дополнительно: СКЗИ | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.6.10 "Средство создания защищенных каналов", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", РКСЗ.1: п.1.3 "Средства организации ЕПП", п.2 "Идентификация и аутентификация", п.4.8 "Сетевое взаимодействие" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) | |||
1 | ИАФ.7 | Защита аутентификационной информации при передаче | + | + | + | Средства ОС СН При необходимости СКЗИ | + | + | + | Защита аутентификационной информации при передаче осуществляется с использованием сетевого протокола сквозной доверенной аутентификации, а также с использованием отечественных алгоритмов по ГОСТ 28147-89 и ГОСТ Р 34.11-2012, средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети или сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN). | OpenVPN, СКЗИ, Средства организации ЕПП | ОП: п.4.1.3 "Организация ЕПП" РА.1: п.6.10 "Средство создания защищенных каналов", п.8 "Средства организации ЕПП" РКСЗ.1: п.1.3 "Средства организации ЕПП" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
2 | II. Управление доступом (УПД) | |||||||||||
2 | УПД.0 | Регламентация правил и процедур управления доступом | + | + | + | Организационные мероприятия, ОРД | - | - | - | Правила и процедуры управления доступом регламентируются ОРД. | - | - |
2 | УПД.1 | Управление учетными записями пользователей | + | + | + | Средства ОС СН + Организационные мероприятия | + | + | + | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. | Управление локальными пользователями (fly-admin-smc). Управление доменным пользователями (FreeIPA,ALD) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/R4AS (ALD) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.2 | Реализация модели управления доступом | + | + | + | Средства ОС СН + Организационные мероприятия | + | + | + | Монитор обращений из состава ОС СН предусматривает дискреционное, мандатное (мандатное управление доступом доступно только для режима "Смоленск") и ролевое управление доступом, а также реализацию мандатного контроля целостности (режим МКЦ доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. Разделение полномочий (ролей) пользователей, назначение минимально необходимых прав и привилегий осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией. | Дискреционное управление доступом, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA) Дополнительно: мандатное управление доступом, МКЦ, управление доступом в БД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД" |
2 | УПД.3 | Доверенная загрузка | + | + | СДЗ, дополнительно: Средства ОС СН | - | - | - | Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками ОС СН. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control) | РКСЗ.1:п.16.4 "Функции безопасности системы" | |
2 | УПД.4 | Разделение полномочий (ролей) пользователей | + | + | + | ОРД + Средства ОС СН | + | + | + | Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.5 | Назначение минимально необходимых прав и привилегий | + | + | + | Средства ОС СН + ОРД | + | + | + | Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД Дополнительно: Мандатное управление доступом, МКЦ. | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.6 | Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему | + | + | + | Средства ОС СН + ОРД | + | + | + | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc |
2 | УПД.7 | Предупреждение пользователя при его доступе к информационным ресурсам | Сторонними программными средствами | - | - | - | - | - | - | |||
2 | УПД.8 | Оповещение пользователя при успешном входе о предыдущем доступе к информационной (автоматизированной) системе | Средства ОС СН | + | + | + | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | fly-notify-prevlogin | РА.1: п.11.6 "Рабочий стол Fly" см. Вывод уведомления о предыдущем входе в систему https://wiki.astralinux.ru/x/eoxsAw (fly-notify-prevlogin) | |||
2 | УПД.9 | Ограничение числа параллельных сеансов доступа | + | Средства ОС СН + ОРД | + | + | + | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга. | Системные ограничения ulimits (fly-admin-smc), средства аудита (auditd, zabbix) | РКСЗ.1: п.16.4.3. "Установка квот на использование системных ресурсов" РА.1: п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog | ||
2 | УПД.10 | Блокирование сеанса доступа пользователя при неактивности | + | + | + | Средства ОС СН + ОРД | + | + | + | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу. | Средства управление рабочим столом Fly (fly-admin-theme) | РА.1: п.11.6 "Рабочий стол Fly" РКСЗ.1: п.17.2 "Указания по эксплуатации ОС" Справка ОС СН по утилите настройки элементов рабочего стола fly-admin-theme |
2 | УПД.11 | Управление действиями пользователей до идентификации и аутентификации | + | + | + | Средства ОС СН + ОРД При необходимости: СДЗ | + | + | + | По умолчанию пользователям запрещены любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему и параметров системного загрузчика Grub. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | ОП: п.4.1.2 "Идентификация и аутентификация" РП:1: п.2.1 "Графический вход в систему" РКСЗ.1: п.4.16 "Настройка загрузчика GRUB 2" п.16.4.10 "Управление автоматическим входом", п.16.4.12 "Управление загрузкой ядра hardened" п.16.4.18 "Отключение отображения меню загрузчика" Справка ОС СН по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2 https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) |
2 | УПД.12 | Управление атрибутами безопасности | Средства ОС СН + ОРД | - | - | + | В ОС СН реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Управление атрибутами безопасности осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией. | Мандатное управление доступом | РКСЗ.1: п.4.2 "Мандатное управление доступом" | |||
2 | УПД.13 | Реализация защищенного удаленного доступа | + | + | + | VPN-решения/ Средства ОС СН + ОРД | + | + | + | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ (VPN-решения) | РА.1: п.6.10 "Средство создания защищенных каналов" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
2 | УПД.14 | Контроль доступа из внешних информационных (автоматизированных) систем | + | + | + | Организационно-технические мероприятия + МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | + | + | + | Контроль доступа из внешних информационных (автоматизированных) систем осуществляется: - на уровне узла средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами, совместно с монитором обращений из состава ОС СН; - на уровне сетевого и межсетевого разграничения доступа - внешними средствами межсетевого экранирования, средствами однонаправленной передачи информации. | Дискреционное управление доступом, ЕПП, Средства межсетевого экранирования (astra-ufw-control) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.11 "Фильтрация сетевого потока" РА.1: п.8 "Средства организации ЕПП" |
3 | III. Ограничение программной среды (ОПС) | |||||||||||
3 | ОПС.0 | Регламентация правил и процедур ограничения программной среды | + | + | Организационные мероприятия, ОРД | - | - | - | Политика ограничения программной среды разрабатывается администратором и регламентируется в ОРД. | - | - | |
3 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения | + | Средства ОС СН + ОРД, СДЗ | - | + | + | Управление запуском (обращениями) в информационной системе разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"), системным и графическим киоском, а также средствами системных блокировок, настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управление запуском сервисов, системных служб, приложениями, планированием запуска задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock, astra-sysrq-lock, astra-ptrace-lock, astra-lkrg-control, astra-modban-lock, astra-noautonet-control, astra-nobootmenu-control, astra-commands-lock, astra-nochmodx-lock, astra-noautonet-control), grub (fly-admin-grub2) управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планированием запуска задач (fly-admin-cron) | РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.4 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy) Справка ОС СН по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron | ||
3 | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения | + | + | Средства ОС СН + ОРД | + | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки в информационную систему разрешенного программного обеспечения может быть реализован с использованием средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями. | Управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Редактор репозиториев) https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |
3 | ОПС.3 | Управление временными файлами | Средства ОС СН + ОРД | - | + | + | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти (доступен для режимов ОС СН "Воронеж" и "Смоленск") и встроенного в ядро ОС СН механизма изоляции процессов. | Ядро - механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.4.29 "Управление безопасным удалением файлов", п.16.4.30. "Управление очисткой разделов подкачки" | |||
4 | IV. Защита машинных носителей информации (ЗНИ) | |||||||||||
4 | ЗНИ.0 | Регламентация правил и процедур защиты машинных носителей информации | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика защиты машинных носителей информации разрабатывается администратором и регламентируется в ОРД. | - | - |
4 | ЗНИ.1 | Учет машинных носителей информации | + | + | + | Организационные мероприятия, ОРД | - | - | - | - | - | - |
4 | ЗНИ.2 | Управление физическим доступом к машинным носителям информации | + | + | + | Организационные мероприятия, ОРД | - | - | - | - | - | - |
4 | ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | Организационные мероприятия, ОРД | - | - | - | - | - | - | |||
4 | ЗНИ.4 | Исключение возможности несанкционированного чтения информации на машинных носителях информации | Организационные мероприятия, ОРД | - | - | - | - | - | - | |||
4 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev), управление драйверами | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
4 | ЗНИ.6 | Контроль ввода (вывода) информации на съемные машинные носители информации | + | Средства ОС СН + ОРД | + | + | + | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||
4 | ЗНИ.7 | Контроль подключения съемных машинных носителей информации | + | + | + | Средства ОС СН + ОРД | + | + | + | Реализуется средствами ОС СН, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства разграничения доступа к подключаемым устройствам (udev, astra-mount-lock) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.4.20 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
4 | ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях информации | + | + | + | Средства ОС СН + ОРД | + | + | + | Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей, средств затирания данных. | Средства затирания данных (dd, shred) Дополнительно: Механизм очистки памяти (astra-secdel-control) | РКСЗ.1: п.8 "Защита памяти" https://wiki.astralinux.ru/x/DALoAg (Твердотельные накопители (SSD)) Справка ОС СН по работе с утилитой форматирования внешних носителей fly-admin-format |
5 | V. Аудит безопасности (АУД) | |||||||||||
5 | АУД.0 | Регламентация правил и процедур аудита безопасности | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика аудита безопасности разрабатывается администратором и регламентируется в ОРД. | - | - |
5 | АУД.1 | Инвентаризация информационных ресурсов | + | + | + | Организационные мероприятия, ОРД | - | - | - | - | - | - |
5 | АУД.2 | Анализ уязвимостей и их устранение | + | + | + | Организационные мероприятия, ОРД | - | - | - | Выявление и оперативное устранение уязвимостей ОС СН производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131, и ГОСТ Р 56939. | - | - |
5 | АУД.3 | Генерирование временных меток и (или) синхронизация системного времени | + | + | + | Средства ОС СН | + | + | + | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в ОС СН служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) | РА.1: п.6.7 (Службы точного времени) https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени) |
5 | АУД.4 | Регистрация событий безопасности | + | + | + | Средства ОС СН + ОРД, SIEM | + | + | + | Регистрация событий безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog |
5 | АУД.5 | Контроль и анализ сетевого трафика | + | Средства ОС СН + ОРД, SIEM, МЭ, СОВ. | + | + | + | Контроль сетевых потоков в ОС CН осуществляет встроенный в ядро ОС СН фильтр сетевых пакетов и монитор обращений. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. С целью выявления инцидентов безопасности и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. | Средства межсетевого экранирования (astra-ufw-control), Средства аудита (auditd, zabbix), Системный журнал (ksystemlog,system-config-audit) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности", п.11 "Фильтрация сетевого потока" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog | ||
5 | АУД.6 | Защита информации о событиях безопасности | + | + | + | Средства ОС СН + ОРД | + | + | + | Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита. | Средства аудита (auditd, zabbix), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog |
5 | АУД.7 | Мониторинг безопасности | + | + | + | Средства ОС СН + ОРД, Организационные мероприятия, SIEM, СОВ | + | + | + | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений. | Средства аудита (auditd, zabbix), Системный журнал (ksystemlog) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с программой просмотра файлов журналов ksystemlog |
5 | АУД.8 | Реагирование на сбои при регистрации событий безопасности | + | + | + | Средства ОС СН + ОРД | + | + | + | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности. | Средства аудита (zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) |
5 | АУД.9 | Анализ действий отдельных пользователей | + | Средства ОС СН + ОРД | + | + | + | Просмотр и анализ информации о действиях пользователей предоставляется администратору (пользователям в соответствии с установленными правилами разграничения доступа) с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности. | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | ||
5 | АУД.10 | Проведение внутренних аудитов | + | + | + | Организационные мероприятия, ОРД | - | - | - | - | - | - |
5 | АУД.11 | Проведение внешних аудитов | Организационные мероприятия, ОРД | - | - | - | - | - | - | |||
6 | VI. Антивирусная защита (АВЗ) | |||||||||||
6 | АВЗ.0 | Регламентация правил и процедур антивирусной защиты | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика антивирусной защиты разрабатывается администратором и регламентируется в ОРД. | - | - |
6 | АВЗ.1 | Реализация антивирусной защиты | + | + | + | АВЗ | - | - | - | - | - | - |
6 | АВЗ.2 | Антивирусная защита электронной почты и иных сервисов | + | + | + | АВЗ | - | - | - | - | - | - |
6 | АВЗ.3 | Контроль использования архивных, исполняемых и зашифрованных файлов | + | АВЗ Дополнительно: Средства ОС СН | - | + | + | Контроль использования файлов обеспечивается монитором обращений из состава ОС СН совместно с использованием средств управления программными пакетами, контроля целостности объектов файловой системы, средств ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, архивных, исполняемых и зашифрованных файлов в соответствии с установленными правилами разграничения доступа. Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | ЗПС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), Средства аудита (auditd, zabbix) Дискреционное управление доступом. Контроль расширенных атрибутов (ЗПС) | РА.1: п.5 "Управление программными пакетами", п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.3 "Дискреционное управление доступом", п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||
6 | АВЗ.4 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | АВЗ | - | - | - | - | - | - |
6 | АВЗ.5 | Использование средств антивирусной защиты различных производителей | + | АВЗ | - | - | - | - | - | - | ||
7 | VII. Предотвращение вторжений (компьютерных атак) (СОВ) | |||||||||||
7 | СОВ.0 | Регламентация правил и процедур предотвращения вторжений (компьютерных атак) | + | + | Организационные мероприятия, ОРД | - | - | - | Политика предотвращения вторжений (компьютерных атак) разрабатывается администратором и регламентируется в ОРД. | - | - | |
7 | СОВ.1 | Обнаружение и предотвращение компьютерных атак | + | + | СОВ | - | - | - | - | - | - | |
7 | СОВ.2 | Обновление базы решающих правил | + | + | СОВ | - | - | - | - | - | - | |
8 | VIII. Обеспечение целостности (ОЦЛ) | |||||||||||
8 | ОЦЛ.0 | Регламентация правил и процедур обеспечения целостности | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика обеспечения целостности разрабатывается администратором и регламентируется в ОРД. | - | - |
8 | ОЦЛ.1 | Контроль целостности программного обеспечения | + | + | + | Средствами ОС СН, Организационные мероприятия (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | + | + | + | Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | Контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum), Тестирование СЗИ Дополнительно: ЗПС | РКСЗ.1: п.9 "Контроль целостности" РКСЗ.2 https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка по работе с утилитой проверки целостности fly-admin-int-check |
8 | ОЦЛ.2 | Контроль целостности информации | Средствами ОС СН, ОРД, Организационные мероприятия | + | + | + | Контроль целостности информации реализуется с использованием средств динамического и регламентного контроля целостности. | Контроль целостности (afick) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности" | |||
8 | ОЦЛ.3 | Ограничения по вводу информации в информационную (автоматизированную) систему | + | Средствами ОС СН, ОРД, Организационные мероприятия, возможна реализация на уровне прикладного ПО. | - | - | + | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной метки объекта (мандатное управление доступом доступно только для режима "Смоленск"). | Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦ, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2" | ||
8 | ОЦЛ.4 | Контроль данных, вводимых в информационную (автоматизированную) систему | + | + | Прикладное ПО, Средства ОС СН, возможна реализация на уровне прикладного ПО. | + | + | + | Контроль данных, вводимых в информационную (автоматизированную) систему, осуществляется согласно установленной политики управления доступом с использованием прикладного ПО, средств СУБД, средств протоколирования и аудита событий ОС СН. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ, СУБД | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) РА.2 | |
8 | ОЦЛ.5 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | + | + | Прикладное ПО, Средства ОС СН, возможна реализация на уровне прикладного ПО. | + | + | + | Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Средства аудита (auditd, zabbix) Дискреционное управление доступом Дополнительно: Мандатное управление доступом, МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
8 | ОЦЛ.6 | Обезличивание и (или) деидентификация информации | Сторонние ПС | - | - | - | - | - | - | |||
9 | IX. Обеспечение доступности (ОДТ) | |||||||||||
9 | ОДТ.0 | Регламентация правил и процедур обеспечения доступности | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика обеспечения доступности разрабатывается администратором и регламентируется в ОРД. | - | - |
9 | ОДТ.1 | Использование отказоустойчивых технических средств | + | + | Организационно-технические мероприятия, ОРД Дополнительно: Средства ОС СН | + | + | + | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. | Системные ограничения ulimits (fly-admin-smc), средства аудита (zabbix) Дополнительно: Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA) | РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.15 "Средства централизованного протоколирования и аудита" Справка ОС СН по утилите управления политикой безопасности fly-admin-smc | |
9 | ОДТ.2 | Резервирование средств и систем | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | |
9 | ОДТ.3 | Контроль безотказного функционирования средств и систем | + | + | Организационные мероприятия, ОРД, Средства ОС СН | + | + | + | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов, и принятию мер по восстановлению отказавших средств в соответствии с ОЦЛ.3 | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog | |
9 | ОДТ.4 | Резервное копирование информации | + | + | + | Организационные мероприятия, Средства ОС СН, ОРД | + | + | + | Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) |
9 | ОДТ.5 | Обеспечение возможности восстановления информации | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Восстановление информации осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron |
9 | ОДТ.6 | Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях | + | + | + | + | + | + | Восстановление информации осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron | |
9 | ОДТ.7 | Кластеризация информационной (автоматизированной) системы | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), репликация в домене (FreeIPA) | ОП: п.4.1.15 "Обеспечение работы в отказоустойчивом режиме" РА1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.8.3.8.2 "Создание резервного сервера FreeIPA" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | |||
9 | ОДТ.8 | Контроль предоставляемых вычислительных ресурсов и каналов связи | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности вычислительных ресурсов и каналов связи осуществляется с использованием средств централизованного протоколирования и аудита. | Средства аудита (auditd, zabbix), системные ограничения ulimits (fly-admin-smc) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.16.4.3 "Установка квот на использование системных ресурсов" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с программой просмотра файлов журналов ksystemlog |
10 | X. Защита технических средств и систем (ЗТС) | |||||||||||
10 | ЗТС.0 | Регламентация правил и процедур защиты технических средств и систем | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика защиты технических средств и систем разрабатывается администратором и регламентируется в ОРД. | - | - |
10 | ЗТС.1 | Защита информации от утечки по техническим каналам | Организационно-технические мероприятия | - | - | - | - | - | - | |||
10 | ЗТС.2 | Организация контролируемой зоны | + | + | + | Организационно-технические мероприятия | - | - | - | - | - | - |
10 | ЗТС.3 | Управление физическим доступом | + | + | + | Организационно-технические мероприятия | - | - | - | - | - | - |
10 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | Организационно-технические мероприятия | - | - | - | - | - | - |
10 | ЗТС.5 | Защита от внешних воздействий | + | + | + | Организационно-технические мероприятия | - | - | - | - | - | - |
10 | ЗТС.6 | Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации | Организационно-технические мероприятия | - | - | - | - | - | - | |||
11 | XI. Защита информационной (автоматизированной) системы и ее компонентов (ЗИС) | |||||||||||
11 | ЗИС.0 | Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов | + | + | + | Организационные мероприятия, ОРД | - | - | - | Политика защиты информационной (автоматизированной) системы и ее компонентов разрабатывается администратором и регламентируется в ОРД. | - | - |
11 | ЗИС.1 | Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется согласно ОРД локально или централизованно с использованием средств управления политикой безопасности. | Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, дискреционное управление доступом, средства организации домена Дополнительно: Системный и графический киоск | см. раздел II. УПД РА.1: п.3.3 "Управление пользователями", п.4.1.3 "Организация ЕПП" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности", https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) Справка ОС СН по утилите управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
11 | ЗИС.2 | Защита периметра информационной (автоматизированной) системы | + | + | + | Организационно-технические мероприятия, МЭ, СОВ | - | - | - | - | - | - |
11 | ЗИС.3 | Эшелонированная защита информационной (автоматизированной) системы | + | + | + | Организационно-технические мероприятия, МЭ, СОВ | + | + | + | Эшелонированная защита обеспечивается применением в информационной системе сертифицированных средств защиты информации, таких как средства сетевой защиты информации (межсетевые экраны, системы обнаружения/предотвращения вторжений), средства антивирусной защиты, средства для автоматизации по работе с событиями и инцидентами, применением операционной системы защищённого исполнения. На базовом уровне из состава ОС СН для построения эшелонированной защиты применяются механизмы контроля вывода информации на носители информации, контроля информационных потоков. Для повышения уровня защиты средствами ОС СН реализуется создание замкнутой программной среды и применение режима мандатного контроля целостности (режимы ЗПС, МКЦ доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Средства разграничения доступа к подключаемым устройствам, Средства межсетевого экранирования (astra-ufw-control), Защищенный комплекс программ печати и маркировки документов (cups), Дискреционное управление доступом. Дополнительно: МКЦ, ЗПС | РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов", п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.4.10 "Сетевое взаимодействие", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством", п.16 "Ограничение программной среды https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc |
11 | ЗИС.4 | Сегментирование информационной (автоматизированной) системы | + | + | Организационно-технические мероприятия, МЭ Дополнительно: Средства ОС СН | + | + | + | Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена. | VLAN | https://wiki.astralinux.ru/x/8w0AB (VLAN) | |
11 | ЗИС.5 | Организация демилитаризованной зоны | + | + | + | Организационно-технические мероприятия, МЭ | - | - | - | - | - | - |
11 | ЗИС.6 | Управление сетевыми потоками | + | + | + | МЭ или средства однонаправленной передачи, Средства ОС СН, ОРД. | + | + | + | Фильтрацию сетевых потоков в ОС CН осуществляет встроенный в ядро ОС СН фильтр сетевых пакетов и монитор обращений. Управление сетевыми потоками в информационной системе (фильтрация, маршрутизация, контроль соединений) обеспечивается: - на уровне узла средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками - доступно только для режима "Смоленск"); - на уровне сетевого и межсетевого разграничения доступа - внешними средствами межсетевого экранирования, средствами однонаправленной передачи информации. | Средства межсетевого экранирования (astra-ufw-control) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие" |
11 | ЗИС.7 | Использование эмулятора среды функционирования программного обеспечения ("песочница") | АВЗ, Средства ОС СН | + | + | + | Эмуляция среды функционирования реализуется средствами виртуализации. | Контейнерная изоляция (lxc, docker, firejail) | РКСЗ.1: п.5 "Защита среды виртуализации", п.2 "Идентификация и аутентификация" РА.1: п.9 "Виртуализация среды исполнения" https://wiki.astralinux.ru/x/XoU_Bw "Применение системы изоляции.." | |||
11 | ЗИС.8 | Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы | + | + | + | Средства создания ложных информационных объектов,МЭ | - | - | - | - | - | - |
11 | ЗИС.9 | Создание гетерогенной среды | Организационно-технические мероприятия, Средства ОС СН, Средства виртуализации | + | + | + | Возможность использования в информационной системе различных типов программного обеспечения реализуется с помощью использования виртуальной инфраструктуры, в составе которой возможно функционирование «недоверенных» гостевых операционных систем в доверенной среде ОС СН. | Средства виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |||
11 | ЗИС.10 | Использование программного обеспечения, функционирующего в средах различных операционных систем | Организационно-технические мероприятия | - | - | - | - | - | - | |||
11 | ЗИС.11 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | Средства ОС СН | + | + | + | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды" | |||
11 | ЗИС.12 | Изоляция процессов (выполнение программ) в выделенной области памяти | Средства ОС СН | + | + | + | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС СН. | Изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов" | |||
11 | ЗИС.13 | Защита неизменяемых данных | + | + | Средства ОС СН, СКЗИ | + | + | + | Защита файлов, не подлежащих изменению, реализуется на базовом уровне применением правил дискреционного разграничения доступа, на усиленном и максимальном уровне защиты - средствами мандатного контроля целостности объектов файловой системы и средствами ограничения программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") совместно с дискреционным разграничением доступа. | Контроль целостности (Afick), Дополнительно: Контроль расширенных атрибутов (ЗПС), Мандатный контроль целостности (МКЦ) | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды" | |
11 | ЗИС.14 | Использование неперезаписываемых машинных носителей информации | Организационно-технические мероприятия | - | - | - | - | - | - | |||
11 | ЗИС.15 | Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек | Организационно-технические мероприятия, Сторонние ПС | - | - | - | - | - | - | |||
11 | ЗИС.16 | Защита от спама | + | + | Сторонние ПС | - | - | - | - | - | - | |
11 | ЗИС.17 | Защита информации от утечек | Средства ОС СН, Организационно-технические мероприятия | + | + | + | На базовом уровне защита информации от утечек реализуется комплексным применением инструментов по защите машинных носителей информации, фильтрации сетевых потоков, вывода документов на печать в соответствии с установленными правилами разграничения доступа. На максимальном уровне защита информации от утечек реализуется дополнительным применением мандатного разграничения доступа с использованием классификационных меток при передаче информации по сети (фильтрации сетевых потоков), сопоставлении мандатного контекста пользователей с уровнем и категориями конфиденциальности, установленными для устройств, и маркировкой документов при их выводе на печать (мандатное управление доступом доступно только для режима "Смоленск"). | Средства разграничения доступа к подключаемым устройствам, Средства межсетевого экранирования (astra-ufw-control), Защищенный комплекс программ печати и маркировки документов (cups), Дискреционное управление доступом, Мандатное управление доступом | РА.1: п.12 "Защищенный комплекс программ печати и маркировки документов", п.17 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.4.10 "Сетевое взаимодействие", п.12 "Маркировка документов", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Cъемные носители в ОС Astra Linux) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc | |||
11 | ЗИС.18 | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию | Средства ОС СН, МЭ | + | + | + | Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию, реализуется с помощью средств фильтрации сетевых потоков и защищенным комплексом программ гипертекстовой обработки данных. | Защищенный комплекс программ гипертекстовой обработки данных (Apache2), Фильтрация сетевого потока (astra-ufw-control) | РА.1: п.10 "Защищенный комплекс программ гипертекстовой обработки данных" РКСЗ.1: п.11 "Фильтрация сетевого потока" | |||
11 | ЗИС.19 | Защита информации при ее передаче по каналам связи | + | + | + | Организационно-технические мероприятия (СКЗИ), ОРД, Средства ОС СН | + | + | + | Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использованием защищенных каналов, реализуется сертифицированными средствами защиты, предназначенными для построения виртуальных частных сетей (VPN) или средствами ОС СН, обеспечивающими создание защищенных каналов типа точка-точка или сервер-клиент с использованием свободной реализации технологии виртуальной частной сети. | OpenVPN, СКЗИ, Средства контроля целостности (сервис электронной подписи) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.9.5 «Сервис электронной подписи» https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
11 | ЗИС.20 | Обеспечение доверенных канала, маршрута | + | + | + | Организационно-технические мероприятия (СКЗИ), Средства ОС СН | + | + | + | Доверенный канал обеспечивается - локально функциями аутентификации и сохранением контекста; - в ЛВС при сетевом доступе встроенными в ОС СН средствами создания защищенных каналов и (или) средствами организации ЕПП; - при межсетевом доступе внешними средствами создания защищенных каналов. | OpenVPN, СКЗИ, Средства организации ЕПП | РА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные службы, состояния и команды" РКСЗ.1: п.7.1 "Изоляция процессов" |
11 | ЗИС.21 | Запрет несанкционированной удаленной активации периферийных устройств | + | + | + | Организационно-технические мероприятия (СКЗИ), Средства ОС СН | + | + | + | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов. | Средства межсетевого экранирования (astra-ufw-control), дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом" РА.1: п.3 "Системные компоненты", п.4 "Системные службы, состояния и команды" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
11 | ЗИС.22 | Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами | Организационно-технические мероприятия (СКЗИ, МЭ и/или средств однонаправленной передачи информации, поддерживающими форматы атрибутов безопасности), Средства ОС СН | - | - | + | Передача и контроль целостности атрибутов информации осуществляется в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками - доступно только для режима ОС СН "Смоленск"). | Мандатное управление доступом (передача и контроль меток конфиденциальности при передаче информации по сети), Средства межсетевого экранирования (astra-ufw-control) СКЗИ (OpenVPN) | РКСЗ.1: п.4.2 "Мандатное управление доступом", п.4.10 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока" | |||
11 | ЗИС.23 | Контроль использования мобильного кода | Средства ОС СН + ОРД | - | + | + | В составе установочного диска ОС СН отсутствуют средства связанные с технологиями мобильного кода использующими Java, ActiveX, VBScript. Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничения программной среды, в частности созданием «замкнутой программной среды» (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") . Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | Средства аудита (auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock), ЗПС | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.4 "Функции безопасности системы" РА.1: п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) | |||
11 | ЗИС.24 | Контроль передачи речевой информации | Организационно-технические мероприятия, ОРД | - | - | - | - | - | - | |||
11 | ЗИС.25 | Контроль передачи видеоинформации | Организационно-технические мероприятия, ОРД | - | - | - | - | - | - | |||
11 | ЗИС.26 | Подтверждение происхождения источника информации | Средства ОС СН | + | + | + | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | РА.1: п.6.5 "Служба DNS" https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9) | |||
11 | ЗИС.27 | Обеспечение подлинности сетевых соединений | + | + | Организационно-технические мероприятия (СКЗИ, МЭ), Средства ОС СН | + | + | + | Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использованием защищенных каналов и проверкой целостности передаваемых пакетов совместно со средствами ОС СН, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. | OpenVPN, СКЗИ, Средства межсетевого экранирования (astra-ufw-control), Организация ЕПП (Kerberos) | РКСЗ.1: п.11 "Фильтрация сетевого потока" РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП" | |
11 | ЗИС.28 | Исключение возможности отрицания отправки информации | Организационно-технические мероприятия (СКЗИ) | - | - | - | - | - | - | |||
11 | ЗИС.29 | Исключение возможности отрицания получения информации | Организационно-технические мероприятия (СКЗИ) | - | - | - | - | - | - | |||
11 | ЗИС.30 | Использование устройств терминального доступа | Организационно-технические мероприятия, СКЗИ, Средства ОС СН | + | + | + | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | https://wiki.astralinux.ru/x/EIQyAw | |||
11 | ЗИС.31 | Защита от скрытых каналов передачи информации | Средства ОС СН | - | - | + | В ОС СН идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131. Условиями исключения скрытых каналов является реализуемая ОС СН политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой областей оперативной памяти и обеспечение запуска процессов в замкнутой относительно остальных процессов среде по памяти (режимы МКЦ, механизм очистки освобождаемой внешней памяти доступны только для режимов ОС СН "Воронеж" и "Смоленск"). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Очистка памяти (secdel), режим киоска, блокировка запуска программ df,chattr,arp,ip | РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.4.11 "Блокировка запуска программ пользователя" | |||
11 | ЗИС.32 | Защита беспроводных соединений | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Ограничение на использование в информационной системе беспроводных соединений реализуется средствами ОС СН, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий, дискреционного разграничения доступом и управления устройствами. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/Rg1RBg (Блокировка устройств) Справка ОС СН по работе программой управления санкциями PolicyKit-1 |
11 | ЗИС.33 | Исключение доступа через общие ресурсы | + | Средства ОС СН | + | + | + | Исключение доступа через общие ресурсы реализуется монитором обращений из состава ОС СН совместно с применением средств организации домена, а также применением мандатного управления доступом для максимального уровня защиты (мандатное управление доступом доступно только для режима "Смоленск"). | Средства организации ЕПП ( Samba), Дискреционное управление доступом Дополнительно: Мандатное управление доступом | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом" | ||
11 | ЗИС.34 | Защита от угроз отказа в обслуживании (DOS, DDOS-атак) | + | + | + | Организационно-технические мероприятия, Средства ОС СН | + | + | + | Обеспечение защиты от угроз, направленных на отказ в обслуживании, реализуется в базовом режиме настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей, и, для обеспечения усиленной защиты, обеспечением замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). | Режим киоска, ограничивающие функции безопасности (механизмы защиты и блокировок) Дополнительно: ЗПС | РКСЗ.1: п.16 "Ограничение программной среды" https://wiki.astralinux.ru/x/LoKhAQ (Настройка механизмов защиты и блокировок) https://wiki.astralinux.ru/x/zQC4B (Режим киоска) |
11 | ЗИС.35 | Управление сетевыми соединениями | + | + | + | Средства ОС СН, ОРД, МЭ | + | + | + | Управление сетевыми соединениями обеспечивается средствами ОС СН, реализующими функции управления базовыми сетевыми службами, а также функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации. | Базовые сетевые службы, Средства межсетевого экранирования (astra-ufw-control) | РА.1: п.6 Базовые сетевые службы, РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.10 "Сетевое взаимодействие" |
11 | ЗИС.36 | Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем | Средства создания ложных информационных объектов,МЭ | - | - | - | - | - | - | |||
11 | ЗИС.37 | Перевод информационной (автоматизированной) системы в безопасное состояние при возникновении отказов (сбоев) | Организационные мероприятия, Средства ОС СН | + | + | + | В случае возникновения отказов перевод информационной системы осуществляется с использованием средств восстановления ОС СН и с применением наборов базовых конфигураций. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), средства управления конфигурациями (Ansible/Puppet/Foreman) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD", п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | |||
11 | ЗИС.38 | Защита информации при использовании мобильных устройств | + | + | + | Организационно-технические мероприятия, Средства ОС СН | + | + | + | Защита реализуется в соответствии с политикой управления доступом и правилами разграничения доступа к внешним машинным носителям. | Средства разграничения доступа к подключаемым устройствам | РА.1: п.17 "Средства разграничения доступа к подключаемым устройствам" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
11 | ЗИС.39 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | + | Средства ОС СН | + | + | + | Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации. | Защита среды виртуализации | РКСЗ.1: п.3 "Дискреционное управление доступом", п.5 "Защита среды виртуализации" РА.1: п.9 "Виртуализация среды исполнения" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) |
12 | XII. Реагирование на компьютерные инциденты (ИНЦ) | |||||||||||
12 | ИНЦ.0 | Регламентация правил и процедур реагирования на компьютерные инциденты | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
12 | ИНЦ.1 | Выявление компьютерных инцидентов | + | + | + | Средства ОС СН, SIEM | + | + | + | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog |
12 | ИНЦ.2 | Информирование о компьютерных инцидентах | + | + | + | Средства ОС СН, SIEM | + | + | + | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog |
12 | ИНЦ.3 | Анализ компьютерных инцидентов | + | + | + | Средства ОС СН, SIEM | + | + | + | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM). | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog |
12 | ИНЦ.4 | Устранение последствий компьютерных инцидентов | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
12 | ИНЦ.5 | Принятие мер по предотвращению повторного возникновения компьютерных инцидентов | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
12 | ИНЦ.6 | Хранение и защита информации о компьютерных инцидентах | + | + | + | Средства ОС СН, SIEM | + | + | + | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog |
13 | XIII. Управление конфигурацией (УКФ) | |||||||||||
13 | УКФ.0 | Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
13 | УКФ.1 | Идентификация объектов управления конфигурацией | Организационные мероприятия | - | - | - | - | - | - | |||
13 | УКФ.2 | Управление изменениями | + | + | + | Средства ОС СН | + | + | + | Управление изменениями конфигурации, применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями. Управление изменениями осуществляется в соответствии с установленными правилами разграничения доступа, изменения учитываются при регистрации событий безопасности, связанных с этими изменениями. | Средства управления конфигурациями (Ansible/Puppet/Foreman), Средства аудита (auditd, zabbix) | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible", п.15 "Средства централизованного протоколирования и аудита" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) |
13 | УКФ.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения | + | + | + | Средства ОС СН + ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | + | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения и средств динамического контроля целостности в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск"). Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. | Управление программными пакетами (synaptik), проверка целостности системы (fly-admin-int-check) Дополнительно: доверенный репозиторий (ЗПС) | РА.1: п.5 "Управление программными пакетами" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев») https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check |
13 | УКФ.4 | Контроль действий по внесению изменений | Организационные мероприятия, Средства ОС СН | + | + | + | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности. Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. | Средства аудита (auditd, zabbix) | РА.1: п.15 "Средства централизованного протоколирования и аудита" РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка ОС СН по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, с программной просмотра файлов журналов ksystemlog | |||
14 | XIV. Управление обновлениями программного обеспечения (ОПО) | |||||||||||
14 | ОПО.0 | Регламентация правил и процедур управления обновлениями программного обеспечения | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
14 | ОПО.1 | Поиск, получение обновлений программного обеспечения от доверенного источника | + | + | + | Средства ОС СН + ОРД | + | + | + | Обновление безопасности производится администратором согласно документации на ОС СН. Источником обновлений ОС СН в соответствии с требованиями нормативных документов ФСТЭК России является официальный интернет-ресурс разработчика. | Обновление ОС | ОП: п.3 "Порядок обновления ОС" https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для ОС СН) Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update |
14 | ОПО.2 | Контроль целостности обновлений программного обеспечения | + | + | + | Средства ОС СН + ОРД | + | + | + | Контроль целостности обновлений безопасности в составе информационных (автоматизированных) систем потребителей осуществляется следующим порядком: - до установки обновления — проведением проверки электронной подписи обновления; - после установки обновления — проведением динамического контроля целостности файлов с использованием электронной цифровой подписи (режим ЗПС доступен только для режимов ОС СН "Воронеж" и "Смоленск") и регламентного контроля целостности с использованием функции хэширования и сверки полученного значения с эталонным, указанным в специальном файле с контрольными суммами, входящем в состав обновлений безопасности. Применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями. | Обновление ОС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.3 "Порядок обновления ОС", п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Редактор репозиториев) https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check |
14 | ОПО.3 | Тестирование обновлений программного обеспечения | + | + | + | Средства ОС СН + ОРД | + | + | + | Контроль работоспособности встроенного комплекса средств защиты информации ОС СН осуществляется с помощью автоматического и регламентного тестирования функций безопасности. | Тестирование СЗИ | РКСЗ.2 |
14 | ОПО.4 | Установка обновлений программного обеспечения | + | + | + | Средства ОС СН + ОРД | + | + | + | Обновление безопасности производится администратором согласно документации на ОС СН в ручном или автоматическом режиме. | Обновление ОС, управление программными пакетами (synaptik), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) Дополнительно: ЗПС | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.3 "Порядок обновления ОС", п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Редактор репозиториев) https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка ОС СН по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check |
15 | XV. Планирование мероприятий по обеспечению безопасности (ПЛН) | |||||||||||
15 | ПЛН.0 | Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
15 | ПЛН.1 | Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
15 | ПЛН.2 | Контроль выполнения мероприятий по обеспечению защиты информации | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
16 | XVI. Обеспечение действий в нештатных ситуациях (ДНС) | |||||||||||
16 | ДНС.0 | Регламентация правил и процедур обеспечения действий в нештатных ситуациях | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
16 | ДНС.1 | Разработка плана действий в нештатных ситуациях | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
16 | ДНС.2 | Обучение и отработка действий персонала в нештатных ситуациях | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
16 | ДНС.3 | Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций | + | + | Организационно-технические мероприятия | - | - | - | - | - | - | |
16 | ДНС.4 | Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | Средства организации ЕПП ОС СН предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. Возможность работы ОС СН на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.16 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/niaaBg (Агрегация каналов (bonding)) | |
16 | ДНС.5 | Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций | + | + | + | Организационно-технические мероприятия, ОРД, Средства ОС СН | + | + | + | В ОС СН существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck. Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить ОС СН с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии. Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий. В состав ОС СН входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), планированием запуска задач (fly-admin-cron), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.16 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка ОС СН по работе с утилитой планирования запуска задач fly-admin-cron |
16 | ДНС.6 | Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
17 | XVII. Информирование и обучение персонала (ИПО) | |||||||||||
17 | ИПО.0 | Регламентация правил и процедур информирования и обучения персонала | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
17 | ИПО.1 | Информирование персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
17 | ИПО.2 | Обучение персонала правилам безопасной работы | + | + | + | Организационные мероприятия | - | - | - | - | - | - |
17 | ИПО.3 | Проведение практических занятий с персоналом по правилам безопасной работы | + | + | Организационные мероприятия | - | - | - | - | - | - | |
17 | ИПО.4 | Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы | + | + | + | Организационные мероприятия | - | - | - | - | - | - |