Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 17 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Принятые обозначения и сокращения
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 17 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
| Меры защиты и обеспечения безопасности Раздел | Меры защиты и обеспечения безопасности Код | Меры защиты и обеспечения безопасности Меры защиты информации в информационных системах | Классы защищенности ГИС 3 | Классы защищенности ГИС 2 | Классы защищенности ГИС 1 | Средства реализации | Уровни защищенности Astra Linux Усиленный | Уровни защищенности Astra Linux Максимальный | Способ реализации меры защиты с применением функциональных возможностей Astra Linux | Компоненты/Механизмы Astra Linux | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации Astra Linux |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Меры защиты и обеспечения безопасности | Классы защищенности ГИС | Средства реализации | Уровни защищенности Astra Linux | Способ реализации меры защиты с применением функциональных возможностей Astra Linux | Компоненты/Механизмы Astra Linux | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации Astra Linux | |||||
| Раздел | Код | Меры защиты информации в информационных системах | 3 | 2 | 1 | Усиленный | Максимальный | ||||
| 1 | I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | ||||||||||
| 1 | ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + | + 1а, 2а, 3 | + 1а, 2а, 3, 4 | Средства Astra Linux, Организационные мероприятия, СДЗ, токены | + | + | Идентификация и аутентификация пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети, с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Поддержка двухфакторной аутентификации (PAM, ЕПП) | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.19 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | + | + | Средства Astra Linux, ОРД | + | + | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Идентификация терминалов осуществляется по номеру терминала. Идентификация ЭВМ осуществляется средствами Astra Linux по МАС-адресу, по логическим именам, именам в домене. Идентификация узлов сети осуществляется по IP-адресу и МАС-адресу. Идентификация внешних устройств осуществляется по логическим именам, по комбинации имени (соответствующих файлов в /dev), логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация внешних устройств осуществляется с использованием средств контроля подключения машинных носителей информации, обеспечивающего надежное сопоставление пользователя с устройством. Аутентификация ЭВМ в домене реализуется средствами Astra Linux с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация объектов, Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Идентификация и аутентификация компьютеров (ЕПП) | РА.1: п.13.4 Настройка принтера и управления печатью, п.18 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc | |
| 1 | ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + 1а, 2а | + 1а, 2а | + 1б, 2б | Средства Astra Linux, Организационные мероприятия, ОРД | + | + | Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности. Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Политика учетных записей (fly-admin-smc, FreeIPA,ALD), Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD) | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + 1б | + 1в | + 1г | Средства Astra Linux, Организационные мероприятия, ОРД При необходимости: СДЗ, токены | + | + | Управление средствами аутентификации (хранение, выдача, инициализация, блокирование средств) осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. В ОС реализована возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012 (ГОСТ Р 34.11-94). При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Для защиты аутентификационной информации по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012. При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации | Политика учетных записей (fly-admin-smc, FreeIPA,ALD), Поддержка двухфакторной аутентификации (PAM, ЕПП), Защита хранимой аутентификационной информации | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.19 "Поддержка средств двухфакторной аутентификации" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + | + | + | Средства Astra Linux | + | + | Защита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсе средствами Astra Linux по умолчанию. | Аутентификация с защищенной обратной связью (fly-dm) | РП:1: п.2.1 "Графический вход в систему" Справка Astra Linux по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm |
| 1 | ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + | + | + | Средства Astra Linux, Организационные мероприятия, ОРД При необходимости: СДЗ, токены | + | + | Идентификация и аутентификация внешних пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Поддержка двухфакторной аутентификации (PAM, ЕПП) | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.19 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.7 | Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа | Средства Astra Linux | + | + | Идентификация всех объектов и устройств и применение результатов идентификации производится Astra Linux по умолчанию в том числе при реализации механизмов управления доступом, контроля целостности, резервного копирования и регистрации событий безопасности, связанных с этими объектами доступа. Аутентификация объектов файловой системы, запускаемых и исполняемых модулей реализуется с использованием механизма контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на исполнение. Аутентификация объектов файловой системы, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа реализуется с использованием механизма контроля целостности файлов при их открытии на основе ЭП в расширенных атрибутах файловой системы. | Контроль исполняемых файлов (ЗПС) Контроль расширенных атрибутов (ЗПС) | ОП: п.4.1.9 "Контроль целостности", п.4.1.10.1 "Замкнутая программная среда", п.4.1.10.2 "Системные ограничения и блокировки" РКСЗ.1: п.2 "Идентификация и аутентификация", п.16.1 "Замкнутая программная среда" | |||
| 2 | II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||||||||||
| 2 | УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + 1,2 | + 1, 2, 3а | + 1, 2, 3б | Средства Astra Linux, ОРД | + | + | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Средства управления локальными пользователями (fly-admin-smc), Средства управления доменным пользователями (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/R4AS (ALD) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + 1, 2, 3 | + 1, 2, 3 | + 1, 2, 3, 4 | Средства Astra Linux, ОРД | + | + | Монитор обращений предусматривает дискреционное управление доступом. На защищаемые именованные объекты устанавливаются базовые правила разграничения доступа (ПРД) в виде идентификаторов номинальных субъектов, которые вправе распоряжаться доступом к данной сущности, и прав доступа к сущности. В СУБД PostgreSQL для управления правами на доступ к БД используется концепция ролей̆ - ролевое управление доступом. Под ролью понимается пользователь или группа пользователей̆ БД. Роли могут являться владельцами объектов БД и могут назначать привилегии на управление объектами для других ролей̆, имеющих доступ к данными объектам. Применение базовых ПРД не обеспечивают защиту системных и привилегированных процессов от несанкционированного доступа и управления при реализации угроз безопасности информации. В режиме защищенности «Воронеж» с целью исключения повышения привилегий пользователей и управления системных и привилегированных процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы, а также возможности изменения конфигурации программного обеспечения и параметров функционирования средств защиты информации, доступен метод мандатного контроля целостности (МКЦ). При реализации мандатного контроля целостности низкоцелостные (пользовательские) процессы не могут получить доступ к процессам высокого уровня целостности (системным и привилегированным), даже в случае несанкционированного повышения полномочий пользователя. МКЦ не предполагает использование мандатного управления доступом. Уровни целостности присваиваются по умолчанию при включении МКЦ с возможностью ручной настройки при необходимости. | Дискреционное управление доступом, МКЦ, Ролевое управление доступом в СУБД, | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД" |
| - | + | В режиме "Смоленск" дополнительно доступно мандатное управление доступом (МРД) к информации в процессе ее хранения, обработки и передачи при сетевом взаимодействии с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Мандатное управление доступом обеспечивает защиту от угроз безопасности, связанных с возможностью преднамеренных или ошибочных действий пользователей по изменению прав доступа к сущностям, владельцами которых являются пользователи, что не запрещается методом дискреционного управления доступа. Мандатное управление доступом позволяет минимизировать или исключить возможность реализации информационно-технических воздействий в результате получения несанкционированного доступа к объектам защиты различных уровней конфиденциальности. | МРД, Дискреционное управление доступом, МКЦ, Ролевое управление доступом в СУБД, | ||||||||
| 2 | УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + | + | МЭ, средства однонаправленной передачи, ОРД. Дополнительно: Средства Astra Linux | + | + | Реализуется с применением сертифицированных средств межсетевого экранирования. Дополнительно с целью контроля сетевых потоков на уровне узла может использоваться функция фильтрации и контроля сетевых потоков Astra Linux (система netfilter) (не является сертифицированным МЭ). Управление правилами осуществляется администратором с использованием средств управления фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов. | Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.13 "Сетевое взаимодействие" | |
| - | + | В режиме "Смоленск" правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками). Для поддержки мандатного управления доступом в сетевые пакеты протокола IPv4 (IPv6) внедряются классификационные метки. Порядок присвоения классификационных меток и их формат соответствует национальному стандарту ГОСТ Р 58256-2018. Прием сетевых пакетов подчиняется мандатным ПРД. | Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables), Модуль astralabel | ||||||||
| 2 | УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + | + | + 1 | ОРД, Средства Astra Linux | + | + | Разделение полномочий пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. В режимах защищенности «Смоленск» и «Воронеж» применение МКЦ из состава ОС обеспечивает дополнительный уровень распределения полномочий через установку соответствующих уровней целостности для субъектов (привилегированных пользователей) и объектов (системных файлов/папок/процессов). Уровень целостности субъекта соответствует его полномочиям по доступу к объектам в зависимости от их уровней целостности, а также отражает степень уверенности в корректности его функциональности. Все действия по администрированию системы будут выполняться доверенными субъектами в рамках привилегированных сессий. | Управление атрибутами МКЦ, Управление атрибутами локальных пользователей (fly-admin-smc), управление атрибутами доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + | + | + 1 | Средства Astra Linux, ОРД | + | + | Назначение минимально необходимых прав и привилегий, разделение полномочий пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. В режимах защищенности «Смоленск» и «Воронеж» применение МКЦ из состава ОС обеспечивает дополнительный уровень распределения полномочий через установку соответствующих уровней целостности (системных и привилегированных). Уровень целостности субъекта соответствует его полномочиям по доступу к объектам в зависимости от их уровней целостности, а также отражает степень уверенности в корректности его функциональности. Все действия по администрированию системы будут выполняться доверенными субъект-сессиями (субъектами). При реализации политики мандатного контроля целостности субъектам и сущностям задаются уровни целостности — совокупность (декартово произведение) неиерархических уровней (категорий) целостности и иерархических (линейных) уровней целостности. Для администрирования подсистемы мандатного контроля целостности множество Linux привилегий расширено специальными привилегиями. | Управление атрибутами МКЦ, Управление атрибутами локальных пользователей (fly-admin-smc), управление атрибутами доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| - | + | В режиме защищенности «Смоленск» субъектам и сущностям задаются классификационные метки (уровни конфиденциальности и категории конфиденциальности). Для администрирования подсистемы мандатного управления доступом множество Linux привилегий расширено специальными привилегиями. | Управление атрибутами МРД, Управление атрибутами МКЦ, Управление атрибутами локальных пользователей (fly-admin-smc), управление атрибутами доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД | ||||||||
| 2 | УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + | + | + 1 | Средства Astra Linux, ОРД | + | + | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | УПД.7 | Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации | Сторонними программными средствами | - | - | - | - | - | |||
| 2 | УПД.8 | Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему | Средства Astra Linux | + | + | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | Защищенная графическая подсистема - Средства управление рабочим столом Fly (fly-notify-prevlogin) | РА.1: п.11.6 "Рабочий стол Fly" | |||
| 2 | УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы | + 1а, 3 | Средства Astra Linux, ОРД | + | + | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга. | Механизм ограничения системных ресурсов (ulimits), средства аудита (auditd, zabbix) | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16.5.3. "Установка квот на использование системных ресурсов" Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog | ||
| 2 | УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | + | + 1а, 2 | + 1б, 2 | Средства Astra Linux, ОРД | + | + | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется защищённой графической подсистемой автоматически или по запросу. Управление параметрами политики блокировки осуществляется администратором в соответствии с организационно-распорядительной документацией с помощью инструментов управления политикой безопасности локально или централизованно с использованием средств управления доменом. | Защищенная графическая подсистема - Средства управление рабочим столом Fly (fly-admin-theme) | РА.1: п.11.6 "Рабочий стол Fly" РКСЗ.1: п.17.2 "Указания по эксплуатации ОС" Справка Astra Linux по утилите настройки элементов рабочего стола fly-admin-theme |
| 2 | УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + | + | + | Средства Astra Linux, ОРД, СДЗ | + | + | Защищенная графическая подсистема обеспечивает по умолчанию запрет пользователям на любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему fly-admin-dm, параметров системного загрузчика Grub, и управлением системных блокировок. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | ОП: п.4.1.2 "Идентификация и аутентификация" РП:1: п.2.1 "Графический вход в систему" РКСЗ.1: п.16.5.11 "Управление автоматическим входом", п.16.5.19 "Отключение отображения меню загрузчика" Справка Astra Linux по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2 https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) |
| 2 | УПД.12 | Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки | Средства Astra Linux, ОРД | - | + | В Astra Linux реализовано мандатное управление доступом к информации в процессе ее хранения, обработки и передачи при сетевом взаимодействии с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Управление атрибутами безопасности осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией. | МРД | РКСЗ.1: п.4.2 "Мандатное управление доступом" | |||
| 2 | УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + 2, 3 | + 2, 3, 5 | + 1, 2, 3, 5 | СКЗИ, ОРД Дополнительно: Средства Astra Linux | - | - | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сторонними сертифицированными криптографическими средствами защиты информации. В качестве дополнительной меры для обеспечения защищенного доступа для компьютеров в одной сети (в рамках ЛВС) возможно применение средства OpenVPN* из состава Astra Linux. *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации и не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | - | РА.1: п.6.10 "Средство создания защищенных каналов" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
| 2 | УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + 1 | + 1, 3 | + 1, 3, 4, 5 | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Реализуется средствами Astra Linux, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий и дискреционного разграничения доступа, путем предоставления возможностей использовать технологии беспроводного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/NwLUCg (Блокировка устройств) Справка Astra Linux по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
| 2 | УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + | + 1, 2 | + 1, 2 | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Реализуется средствами Astra Linux, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РА.1: п.18 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + 1а, 1б | + 1а, 1б | + 1а, 1б | Средства Astra Linux, ОРД, Организационно-технические мероприятия. Дополнительно: МЭ, средства однонаправленной передачи | + | + | Для контроля доступа из внешних информационных (автоматизированных) систем применяются сертифицированные средства межсетевого экранирования и средства однонаправленной передачи информации. С целью контроля сетевых потоков на уровне узла в качестве дополнительной меры возможно применение функций фильтрации и контроля сетевых потоков из состава Astra Linux (система netfilter) (не является сертифицированным МЭ). Организация взаимодействия с информационными системами сторонних организаций возможна с использованием средств построения доверительных отношений между доменами из состава Astra Linux с возможностью обращения клиентов одного домена к ресурсам другого домена. При построении доверительных отношений контроль доступа к информационной системе авторизованных пользователей внешних информационных систем осуществляется в соответствии с УПД.2. | ЕПП Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РА.1: п.8 "Средства организации ЕПП" |
| 2 | УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | + 1 | + 2 | СДЗ. Дополнительно: Средства Astra Linux | - | - | Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками Astra Linux. | Дополнительно: Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control) | РКСЗ.1:п.16.5 "Функции безопасности системы" | |
| 3 | III. Ограничение программной среды (ОПС) | ||||||||||
| 3 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения | + 1, 2, 3 | Средства Astra Linux, ОРД, СДЗ | + | + | Управление запуском (обращениями) в информационной системе только разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды: путем организации замкнутой программной среды (ЗПС), применением системного и графического киоска, средствами системных блокировок (astra-safepolicy), настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управлением запуска сервисов, системных служб, приложениями, планировщиком задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-safepolicy), управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планирование запуска задач (fly-admin-cron) | РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.5 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy) Справка Astra Linux по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron | ||
| 3 | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | + | + 1 | Средства Astra Linux, ОРД | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки (и запуска) в информационную систему только разрешенного программного обеспечения в режимах защищенности «Смоленск» и «Воронеж» обеспечивается средствами динамического контроля целостности (ЗПС) в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (ЭЦП). Организация замкнутой программной среды (ЗПС) обеспечит защиту от возможности загрузки и запуска исполняемого файла программного обеспечения или библиотеки, не обладающих корректной ЭЦП. Для обеспечения контроля параметров настройки компонентов программного обеспечения допускается использование программных средств управления конфигурациями. | Доверенный служебный репозиторий (ЗПС), Управление программными пакетами (synaptic), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев») https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка Astra Linux по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |
| 3 | ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | + | + | + | Средства Astra Linux, ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения. Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. В режимах защищенности «Смоленск» и «Воронеж» доступна возможность контроля установки (и запуска) в информационную систему только разрешенного программного обеспечения средствами динамического контроля целостности (ЗПС) в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (ЭЦП). Организация замкнутой программной среды (ЗПС) обеспечит защиту от возможности загрузки и запуска исполняемого файла программного обеспечения или библиотеки, не обладающих корректной ЭЦП. | Управление программными пакетами (synaptic), проверка целостности системы (fly-admin-int-check) Доверенный служебный репозиторий (ЗПС), Управление программными пакетами (synaptic), проверка целостности системы (fly-admin-int-check) | РА.1: п.5 "Управление программными пакетами" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев» fly-admin-repo) Справка Astra Linux по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check |
| 3 | ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | Средства Astra Linux, ОРД | + | + | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти и встроенного в ядро Astra Linux механизма очистки активных разделов страничного обмена. | Механизм очистки внешней памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), Механизм очистки оперативной памяти (linux kernel) | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.5.30 "Управление безопасным удалением файлов", п.16.5.31 "Управление очисткой разделов подкачки" | |||
| 4 | IV. Защита машинных носителей информации (ЗНИ) | ||||||||||
| 4 | ЗНИ.1 | Учет машинных носителей информации | + | + 1а | + 1а, 1б | Организационные мероприятия, ОРД | + | + | Учет машинных носителей информации, используемых в информационной системе для хранения и обработки информации, осуществляется в журналах ОРД. Регистрация устройств в базе учета устройств Astra Linux осуществляется с использованием встроенных средств регистрации и учета устройств, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
| 4 | ЗНИ.2 | Управление доступом к машинным носителям информации | + | + | + | Организационные мероприятия, ОРД | + | + | Политика управления доступом к машинным носителям информации разрабатывается администратором и регламентируется в ОРД. Реализация правил и процедур доступа к машинным носителям информации осуществляется с использованием встроенных средств регистрации и учета устройств, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
| - | + | Реализация политики управления доступом к машинным носителям информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | ||||||||
| 4 | ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | Организационные мероприятия, ОРД | + | + | Контроль перемещения машинных носителей информации за пределы контролируемой зоны обеспечивается администратором и регламентируется ОРД. Учет перемещаемых машинных носителей информации осуществляется в соответствии с ЗНИ.1 | - | - | |||
| 4 | ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах | Организационно-технические мероприятия | + | + | Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, осуществляется с применением средств Astra Linux, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |||
| - | + | Реализация политики управления доступом к машинным носителям информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | ||||||||
| 4 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) | + | + 1 | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Контроль использования интерфейсов ввода (вывода) реализуется с использованием механизма контроля подключаемых носителей из состава ОС СН путем настройки правил менеджера устройств udev (например, возможно ограничение на подключение устройства только в определенный USB-порт, запрет использования шин ввода (вывода) и т.д.), а также средств управления драйверами (удаление драйверов, обеспечивающих работу интерфейсов ввода (вывода)). | Средства разграничения доступа к подключаемым устройствам (udev), управление драйверами | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |
| 4 | ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | Средства Astra Linux, ОРД | + | + | Контроль ввода (вывода) информации на машинные носители информации осуществляется с применением средств Astra Linux, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |||
| - | + | Реализация политики управления доступом к машинным носителям информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | ||||||||
| 4 | ЗНИ.7 | Контроль подключения машинных носителей информации | Средства Astra Linux, ОРД | + | + | Контроль подключения машинных носителей информации реализуется средствами Astra Linux, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.5.21 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | |||
| - | + | Контроль подключения машинных носителей информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | ||||||||
| 4 | ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | + 1,5б | + 1, 5в | + 1, 2, 3, 5г | Организационно-технические мероприятия, Средства Astra Linux, ОРД, сторонние средства гарантированного уничтожения данных при усилении 5в, 5г. | + | + | Гарантированное уничтожение (стирание) информации на машинных носителях, исключающие возможность восстановления защищаемой информации, в режимах защищенности «Смоленск» и «Воронеж» обеспечивается механизмом очистки оперативной и внешней памяти на разделах с файловыми системами ext2, ext3, ext4, xfs. Данные любых файлов в пределах заданной ФС предварительно очищаются предопределенной или псевдослучайной маскирующей последовательностью. | Механизм очистки внешней памяти (astra-secdel-control) | РКСЗ.1: п.8 "Защита памяти" Справка Astra Linux по работе с утилитой форматирования внешних носителей fly-admin-format |
| 5 | V. Регистрация событий безопасности (РСБ) | ||||||||||
| 5 | РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + | + 1,3, 4а | + 1, 2, 3, 4б | ОРД | - | - | События безопасности, подлежащие регистрации, и сроки их хранения определяются администратором и фиксируются в ОРД. | - | - |
| 5 | РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + | + 1а | + 1а | ОРД | - | - | Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администратором и фиксируются в ОРД. | - | - |
| 5 | РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения | + | + 1 | + 1 | Средства Astra Linux, ОРД, SIEM | + | + | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью подсистемы регистрации событий (подсистемы auditd, модуля фильтрации и обработки syslog-ng-mod-astra) путем ведения журналов аудита событий безопасности согласно заданным правилам. Состав регистрируемой информации соответствует ГОСТ Р 59548-2022. Доступ к журналам аудита контролируется монитором обращений из состава Astra Linux в соответствии с установленными правилами разграничения доступа. Защита журнала аудита реализованной в Astra Linux подсистемы регистрации событий (syslog-ng-mod-astra) осуществляется средствами МКЦ (файл журнала и процесс, который его ведет, имеют метку высокой целостности). Дополнительно защита журнала обеспечивается отслеживанием изменения и удаления файла журнала недоверенными процессами. Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. Для реализации меры использование только штатных средств Astra Linux может быть недостаточно. Рекомендуется применение совместимых с Astra Linux SIEM-систем. | МКЦ, Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (syslog-ng-mod-astra, fly-admin-smc, system-config-audit), дискреционное разграничение доступа | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog |
| 5 | РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | + | + | + 1а, 2 | Средства Astra Linux, ОРД | + | + | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляется с использованием подсистемы регистрации событий (auditd, syslog-ng-mod-astra) и средств централизованного протоколирования и анализа журналов аудита Zabbix. Информирование администратора о событиях безопасности осуществляется с использованием «Центра уведомлений» (fly-notifications). Реагирование системы на события безопасности задается с использованием утилиты «Настройка регистрации системных событий» (fly-admin-events). За реагирование отвечает демон KNotification, который обрабатывает входящие от syslog-ng события и выполняет соответствующее (заданное во fly-admin-events) действие. | Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) |
| 5 | РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | + | + | + 1 | Средства Astra Linux, ОРД, Организационные мероприятия, SIEM, СОВ | + | + | Мониторинг (просмотр, анализ) результатов регистрации локальных событий безопасности Astra Linux осуществляется с использованием средств просмотра журналов подсистемы регистрации событий (auditd, syslog-ng-mod-astra): консольных инструментов ausearch, aureport, journalctl и графических утилит fly-event-viewer (просмотр журнала /parsec/log/astra/events) и ksystemlog (просмотр журнала аудита audit.log). Информирование администратора о событиях безопасности осуществляется с использованием «Центра уведомлений» (fly-notifications). Реагирование системы на события безопасности задается с использованием утилиты «Настройка регистрации системных событий» (fly-admin-events). За реагирование отвечает демон KNotification, который обрабатывает входящие от syslog-ng события и выполняет соответствующее (заданное во fly-admin-events) действие. Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. Для реализации меры использование только штатных средств Astra Linux может быть недостаточно. Рекомендуется применение совместимых с Astra Linux SIEM-систем и систем обнаружения вторжений. | Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с программой просмотра файлов журналов ksystemlog |
| 5 | РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | + | + | + 1 | Средства Astra Linux | + | + | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в Astra Linux служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) | РА.1: п.6.7 (Службы точного времени) https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени) |
| 5 | РСБ.7 | Защита информации о событиях безопасности | + | + 1 | + 1 | Средства Astra Linux, ОРД | + | + | Доступ к журналам аудита контролируется монитором обращений из состава Astra Linux в соответствии с установленными правилами разграничения доступа. Защита журнала аудита реализованной в Astra Linux подсистемы регистрации событий (syslog-ng-mod-astra) осуществляется средствами МКЦ (файл журнала и процесс, который его ведет, имеют метку высокой целостности). Дополнительно защита журнала обеспечивается отслеживанием изменения и удаления файла журнала недоверенными процессами. | МКЦ, Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Дискреционное управление доступом | РКСЗ.1: п.6 "Регистрация событий безопасности", п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с программой просмотра файлов журналов ksystemlog |
| 5 | РСБ.8 | Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе | Средства Astra Linux, ОРД | + | + | Просмотр и анализ информации о действиях пользователей осуществляется администратором (пользователям в соответствии с установленными правилами разграничения доступа) с использованием средств просмотра журналов подсистемы регистрации событий fly-event-viewer, ksystemlog). Для решения задач централизованного протоколирования и анализа действий пользователя используется программное решение Zabbix. | Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (syslog-ng-mod-astra, fly-admin-smc, system-config-audit) | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с программой просмотра файлов журналов ksystemlog | |||
| 6 | VI. Антивирусная защита (АВЗ) | ||||||||||
| 6 | АВЗ.1 | Реализация антивирусной защиты | + 1 | + 1, 2 | + 1, 2 | САВЗ | - | - | - | - | - |
| 6 | АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + 1 | + 1 | САВЗ | - | - | - | - | - |
| 7 | VII. Обнаружение вторжений (СОВ) | ||||||||||
| 7 | СОВ.1 | Обнаружение вторжений | + 2 | + 2 | СОВ | - | - | - | - | - | |
| 7 | СОВ.2 | Обновление базы решающих правил | + | + 1, 2, 3 | СОВ | - | - | - | - | - | |
| 8 | VIII. Контроль (анализ) защищенности информации (АНЗ) | ||||||||||
| 8 | АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | + 1,4 | + 1, 2,4 | + 1, 2,4,7 | Средства анализа (контроля) защищенности (сканеры безопасности), ОРД, Организационные мероприятия, Средства Astra Linux | + | + | Выявление и оперативное устранение уязвимостей Astra Linux производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76, и ГОСТ Р 56939. | Обновление ОС, fly-astra-update, fly-update-notifier | ОП: п.3 "Порядок обновления ОС" Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update, с утилитой "Проверка обновлений" fly-update-notifier https://wiki.astralinux.ru/x/2xZIB (fly-astra-update) |
| 8 | АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + | + | + | Средства Astra Linux, ОРД | + | + | Обновление безопасности производится администратором согласно документации на Astra Linux. Источником обновлений Astra Linux в соответствии с требованиями нормативных документов ФСТЭК России является официальный Интернет-ресурс разработчика. Контроль целостности обновлений Astra Linux до установки может быть реализован с использованием средств регламентного контроля целостности: - путем проверки соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 (gostsum); - путем проверки отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. После успешной установки обновления (в том числе, после установки обновления базового репозитория) проверка целостности программных пакетов установочного диска осуществляется проведением динамического контроля целостности файлов с использованием электронной цифровой подписи (режим ЗПС доступен только для режимов Astra Linux "Воронеж" и "Смоленск") и регламентного контроля целостности с использованием утилиты fly-admin-int-check с применением файла gostsums.txt, расположенного в корневом каталоге образа диска обновления repository-update.iso. Контроль установки обновлений ОС выполняется одним из следующих способов: - в «ручном» режиме путём сравнения списка установленных обновлений со списком обновлений, зафиксированным в журнале установки обновлений; - автоматизированный контроль установленных обновлений с использованием программы "Проверка обновлений" (пакет fly-update-notifier); - с использованием программы «Центр уведомлений» (пакет fly-notifications), реализующей вывод сообщений для пользователя на рабочем столе; - контроль установленных обновлений с использованием программных средств управления конфигурациями. | Обновление ОС (fly-astra-update, fly-update-notifier, fly-notifications), Регламентный контроль целостности (gostsum, fly-csp-cryptopro, fly-admin-int-check), динамический контроль целостности (ЗПС), управление программными пакетами (synaptic), редактор репозиториев (fly-admin-repo), Доверенный служебный репозиторий (ЗПС). Дополнительно: средства управления конфигурациями (Ansible/Puppet/Foreman) | ОП: п.3.2 "Внеочередное (оперативное) обновление" РА.1: п.6.11 "Средство удаленного администрирования Ansible" КСЗ.1: п.16.1 "Замкнутая программная среда" https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для Astra Linux) Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update |
| 8 | АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + | + 1 | + 1 | Средства Astra Linux, ОРД | + | + | Контроль работоспособности встроенного комплекса средств защиты информации Astra Linux осуществляется с помощью автоматического и регламентного тестирования функций безопасности, контролем соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации, и восстановлением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов в соответствии с ОЦЛ.3. Организация замкнутой программной среды (ЗПС) обеспечит динамический контроль целостности параметров настройки и исполняемых файлов программного обеспечения. Для обеспечения контроля параметров настройки допускается использование программных средств управления конфигурациями. | Тестирование СЗИ, динамический контроль целостности (ЗПС), Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) средства управления конфигурациями (Ansible/Puppet/Foreman) | РКСЗ.2 РА.1: п.17 "Резервное копирование и восстановление данных", п.6.11 "Средство удаленного администрирования Ansible" РКСЗ.1: п.10 "Надежное функционирование", п.16.1 "Замкнутая программная среда" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) |
| 8 | АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + | + 1 | + 1, 2 | Средствами Astra Linux, ОРД, Орг.мерами (визуальной проверкой может обеспечиваться контроль состава технических средств и средств защиты информации, требуемые, соблюдение правил эксплуатации и неизменности конфигурации ИС в ходе эксплуатации, контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации) | + | + | Контроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ - в соответствии с РСБ.3. Контроль установленного в ОС оборудования можно осуществлять с использованием специализированных утилит. Организация замкнутой программной среды (ЗПС) обеспечит динамический контроль целостности исполняемых файлов программного обеспечения и средств защиты информации. | Динамический контроль целостности (ЗПС), Контроль целостности (afick, fly-admin-int-check), средства аудита (auditd, zabbix), средства контроля установленного оборудования (lspci, lshw, lsusb). | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности", п.6 "Регистрация событий безопасности", п.16.1 "Замкнутая программная среда" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) https://wiki.astralinux.ru/x/k4-NAw (определение оборудования) Справка по работе с утилитой проверки целостности fly-admin-int-check |
| 8 | АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | + | + 1 | + 1 | Средства Astra Linux, ОРД, Организационные мероприятия | + | + | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты ИАФ.1, ИАФ.4, УПД.1, УПД.2, УПД.4, УПД.5. В Astra Linux осуществляется регистрация событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей. Регистрация событий безопасности осуществляется с помощью подсистемы регистрации событий (auditd, syslog-ng-mod-astra) путем ведения журналов аудита событий безопасности согласно заданным правилам. Просмотр и анализ результатов регистрации локальных событий безопасности Astra Linux осуществляется с использованием средств просмотра журналов подсистемы регистрации событий (fly-event-viewer, ksystemlog). | Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (syslog-ng-mod-astra, fly-admin-smc, system-config-audit) | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 9 | IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | ||||||||||
| 9 | ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | + 1, 3 | + 1, 3 | Средствами Astra Linux, Организационные мероприятия (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | + | + | В режимах защищенности «Смоленск» и «Воронеж» доступна возможность организации замкнутой программной среды (ЗПС) в целях осуществления контроля целостности программного обеспечения и средств защиты информации как в процессе загрузки, так и динамически в процессе исполнения. Динамический контроль целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение ОС осуществляется модулем ядра с использованием функции хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. Дополнительно применяются средства регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | ЗПС, Регламентный контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum), Тестирование СЗИ | РКСЗ.1: п.9 "Контроль целостности", п.16.1 "Замкнутая программная среда" РКСЗ.2 https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка по работе с утилитой проверки целостности fly-admin-int-check | |
| 9 | ОЦЛ.2 | Контроль целостности информации, содержащейся в базах данных информационной системы | Средствами Astra Linux, ОРД, Организационные мероприятия (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3») | + | + | Контроль целостности информации, содержащейся в базах данных информационной системы, осуществляется по контрольным суммам программных компонент базы данных как в процессе загрузки, так и динамически в процессе работы информационной системы. Динамический контроль целостности файлов при их открытии на основе ЭЦП в расширенных атрибутах файловой системы осуществляется модулем ядра с использованием функции хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. Дополнительно используются средства регламентного контроля целостности. Контроль целостности осуществляется по контрольным суммам объектов ФС БД в процессе загрузки системы или периодически с использованием системного планировщика заданий cron. | ЗПС, регламентный контроль целостности (afick) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности", п.16.1 "Замкнутая программная среда" | |||
| 9 | ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | + | + | + 1 | Средства Astra Linux, ОРД | + | + | В состав ОС входит комплекс программ для выполнения операций резервного копирования и восстановления объектов ФС. В целях обеспечения возможности восстановления работоспособности системы используется режим восстановления и средства резервного копирования. Средства организации единого пространства пользователей ОС предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В Astra Linux существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck), режим восстановления ОС Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.17 "Резервное копирование и восстановление данных" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) |
| 9 | ОЦЛ.4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) | + | + | Сторонние ПС | - | - | - | - | - | |
| 9 | ОЦЛ.5 | Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы | Средства Astra Linux, МЭ, Организационные мероприятия, ОРД | - | + | Контроль содержания информации, основанный на свойствах объектов доступа, осуществляется согласно установленной политики дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"). информации и реагирование на них; Контроль вывода содержащих защищаемую информацию документов на печать осуществляется защищенным комплексом печати и маркировки документов из состава Astra Linux. Контроль записи защищаемой информации на съемные машинные носители информации осуществляется средствами разграничения доступа к подключаемым устройствам (udev). Выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений осуществляется с использованием сторонних сертифицированных средств межсетевого экранирования и анализа трафика. | Мандатное управление доступом (Механизм сопоставления мандатного контекста пользователя с уровнем и категориями конфиденциальности устройства, Маркировка документов), Дискреционное управление доступом | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" РА.1: п.13 "Защищенный комплекс программ печати и маркировки документов" | |||
| 9 | ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему | + | Средствами Astra Linux, ОРД, Организационные мероприятия, возможна реализация на уровне прикладного ПО. | - | + | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной метки объекта (мандатное управление доступом доступно только для режима "Смоленск"). Мандатное управление доступом обеспечивает защиту от угроз безопасности, связанных с возможностью преднамеренных или ошибочных действий пользователей по изменению прав доступа к сущностям, владельцами которых являются пользователи, что не запрещается методом дискреционного управления доступа. | Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2" | ||
| 9 | ОЦЛ.7 | Контроль точности, полноты и правильности данных, вводимых в информационную систему | Прикладное ПО, Средства Astra Linux | + | + | Контроль точности, полноты и правильности данных, вводимых в информационную систему, путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и (или) иных правил ввода информации в информационную систему осуществляется с использованием прикладного ПО и средств СУБД. | СУБД | РА.2 | |||
| 9 | ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | Прикладное ПО, Средства Astra Linux | + | + | В режиме "Воронеж" ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и метки целостности объекта (МКЦ доступен только для режимов Astra Linux "Воронеж" и "Смоленск"). Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Мандатный контроль целостности, Дискреционное управление доступом, Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.3 "Дискреционное управление доступом", п.6 "Регистрация событий безопасности" | |||
| - | + | В режиме "Смоленск" ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя, метки целостности и классификационной метки объекта (МКЦ доступен только для режимов Astra Linux "Воронеж" и "Смоленск", мандатное управление доступом доступно только для режима "Смоленск"). Мандатное управление доступом обеспечивает защиту от угроз безопасности, связанных с возможностью преднамеренных или ошибочных действий пользователей по изменению прав доступа к сущностям, владельцами которых являются пользователи, что не запрещается методом дискреционного управления доступа. Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Мандатное управление доступом, Мандатный контроль целостности, Дискреционное управление доступом, Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.6 "Регистрация событий безопасности" | |||||||
| 10 | X. Обеспечение доступности информации (ОДТ) | ||||||||||
| 10 | ОДТ.1 | Использование отказоустойчивых технических средств | + | Организационно-технические мероприятия, ОРД Дополнительно: Средства Astra Linux | + | + | Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. В состав Astra Linux входят следующие программные средства обеспечения отказоустойчивости и высокой доступности: 1) Keepalived для организации мониторинга и обеспечения высокой доступности узлов и служб; 2) Pacemaker и Corosync, которые позволяют организовать отказоустойчивый режим из экземпляров ОС на нескольких ТС; 3) средство эффективного масштабирования HAProxy; 4) Astra Linux поддерживает распределенную файловую систему Ceph. 5) Для увеличения пропускной способности и повышения надёжности каналов передачи данных применяются механизмы агрегации сетевых каналов. 6) Средства организации ЕПП Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. 7) В ядро Astra Linux встроена программная реализация технологии RAID. | Средства аудита (zabbix), Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), Механизм ограничения системных ресурсов (ulimits) | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16.5.3 "Установка квот на использование системных ресурсов" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | ||
| 10 | ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | В состав Astra Linux входят следующие программные средства резервирования: 1) Средства обеспечения отказоустойчивости в домене. Средства организации ЕПП в Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена с использованием механизмов репликации, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. Также поддерживается создание обычных резервных копий всей системы и резервных копий данных. 2) Средства обеспечения отказоустойчивости и высокой доступности систем и прикладных сервисов: - для организации мониторинга и обеспечения высокой доступности узлов и служб - Keepalived; - Pacemaker и Corosync, которые позволяют организовать отказоустойчивый режим из экземпляров ОС на нескольких ТС; - средство эффективного масштабирования HAProxy; - распределенная файловая система Ceph. - в ядро Astra Linux встроена программная реализация технологии RAID. 3) Средства резервного копирования и восстановления данных включают утилиты командной строки и распределенные системы управления хранилищами данных: - комплекс программ Bacula; - утилита копирования rsync; - утилиты архивирования tar, cpio, gzip Bacula предоставляет возможность осуществлять полное резервирование ФС, инкрементальное и распределенное резервирование с удаленным управлением. Программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы. Утилита rsync предоставляет возможности для локального и удаленного копирования (резервного копирования) или синхронизации файлов и каталогов с минимальными затратами трафика. Утилиты командной строки tar, cpio, gzip представляют собой традиционные инструменты создания резервных копий и архивирования ФС. 4) Резервирование каналов связи с использованием специальных утилит, позволяющих производить агрегацию каналов связи. 5) Встроенные средства резервирования БД. PostgreSQL поддерживает возможность осуществления SQL-дампов, резервного копирования на уровне ФС и непрерывное архивирование. В процессе перезагрузки после сбоя Astra Linux автоматически выполняет программу проверки и восстановления ФС при помощи утилиты fsck. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.17 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | ||
| 10 | ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | + | + 1 | Организационные мероприятия, ОРД, Средства Astra Linux | + | + | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов, и принятия мер по восстановлению отказавших средств в соответствии с ОЦЛ.3. | Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с программой просмотра файлов журналов ksystemlog | |
| 10 | ОДТ.4 | Периодическое резервное копирование информации на резервные машинные носители информации | + 1, 2 | + 1, 3 | Организационные мероприятия, Средства Astra Linux, ОРД | + | + | Для выполнения операций периодического резервного копирования информации с сохранением мандатных атрибутов и атрибутов аудита в ОС применяется: 1) комплекс программ Bacula (предоставляет возможность осуществлять полное резервирование ФС, инкрементальное и распределенное резервирование с удаленным управлением) 2) утилита rsync 3) утилита tar (программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы) 4) PostgreSQL поддерживает возможность осуществления SQL-дампов, резервного копирования на уровне ФС и непрерывное архивирование. 5) Средства организации ЕПП Astra Linux предоставляют возможность резервного копирования данных и системы, развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.17 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | |
| 10 | ОДТ.5 | Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала | + | + 1 | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Для выполнения операций восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита в ОС применяется: 1) комплекс программ Bacula (предоставляет возможность осуществлять полное резервирование ФС, инкрементальное и распределенное резервирование с удаленным управлением) 2) утилита rsync 3) утилита tar (программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы) 4) В случае возникновения ошибок в хранящихся данных, нарушению целостности или в случае программного и/или аппаратного сбоя сервера СУБД необходимо проведение процедуры восстановления БД. При этом, в зависимости от тяжести повреждений может осуществляться как сохранение существующего кластера БД, с последующим его восстановлением, так и восстановление из резервных копий, созданных в процессе регулярного проведения регламентных работ. 5) Средства организации ЕПП Astra Linux предоставляют возможность резервного копирования и восстановления данных и системы. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk) | РА.1: п.17 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка Astra Linux по работе с утилитой планирования запуска задач fly-admin-cron | |
| 10 | ОДТ.6 | Кластеризация информационной системы и (или) ее сегментов | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). В состав Astra Linux входят следующие программные средства обеспечения отказоустойчивости и высокой доступности: 1) Keepalived для организации мониторинга и обеспечения высокой доступности узлов и служб; 2) Pacemaker и Corosync, которые позволяют организовать отказоустойчивый режим из экземпляров ОС на нескольких ТС; 3) средство эффективного масштабирования HAProxy; 4) Astra Linux поддерживает распределенную файловую систему Ceph. 5) Для увеличения пропускной способности и повышения надёжности каналов передачи данных применяются механизмы агрегации сетевых каналов. 6) Средства организации ЕПП Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. 7) В ядро Astra Linux встроена программная реализация технологии RAID. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), репликация в домене (FreeIPA) | ОП: п.4.1.15 "Обеспечение работы в отказоустойчивом режиме" РА1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.8.3.8.2 "Создание резервного сервера FreeIPA" https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | |||
| 10 | ОДТ.7 | Контроль состояния и качества предоставления уполномоченным лицом (провайдером) вычислительных ресурсов (мощностей), в том числе по передаче информации | + | + | Организационные мероприятия, ОРД | - | - | - | - | - | |
| 12 | XII. Защита технических средств (ЗТС) | ||||||||||
| 12 | ЗТС.1 | Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам | Организационно-технические мероприятия | - | - | - | - | - | |||
| 12 | ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
| 12 | ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | + | + | + | Организационно-технические мероприятия, СДЗ | - | - | - | - | - |
| 12 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
| 12 | ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | + | Организационно-технические мероприятия | - | - | - | - | - | ||
| 13 | XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | ||||||||||
| 13 | ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы | + 3 | + 3 | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется в соответствии с организационно-распорядительной документацией путем установки соответствующих прав и привилегий локально с помощью инструментов управления политикой безопасности, инструментов управления СУБД или централизованно с использованием средств управления доменом. Для ограничения пользовательской среды исполнения реализован специальный режимом ограничения действий пользователя - режим "киоск", который служит для ограничения прав пользователей на запуск программ в системе. Степень этих ограничений задается маской киоска, которая накладывается на права доступа к исполняемым файлам при любой попытке пользователя получить доступ. Для установки прав доступа существует система профилей — файлы с готовыми наборами прав доступа для запуска каких-либо программ, и возможность создания таких профилей под любые пользовательские задачи. Применение МКЦ из состава ОС обеспечивает дополнительный уровень разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями через установку соответствующих уровней целостности пользователям (системных и привилегированных). | МКЦ, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, ЕПП, Управление СУБД, Системный и графический киоск | см. раздел II. УПД РА.1: п.3.3 "Управление пользователями" ОП: п.4.1.3 "Организация ЕПП" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности", https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/zQC4B (Сравнение работы режима Киоск-2 и режима киоска) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | |
| 13 | ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | Средства Astra Linux | + | + | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. При обычном запуске все задачи имеют один и тот же приоритет, и ОС равномерно распределяет между ними процессорное время. С помощью утилиты можно понизить приоритет той или иной задачи, предоставив другим задачам больше процессорного времени. Понизить или повысить приоритет задачам имеет право только суперпользователь. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды" | |||
| 13 | ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + | + | + | ОРД, СКЗИ, МЭ, Организационно-технические мероприятия Дополнительно: Средства Astra Linux | - | - | Защита информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, обеспечивается путем защиты каналов связи от несанкционированного физического доступа к ним и применением в соответствии с законодательством Российской Федерации сертифицированных средств криптографической защиты информации, и применением сертифицированных средств межсетевого экранирования. В качестве дополнительной меры при сетевом доступе в рамках ЛВС могут применяться средства OpenVPN* и сервис электронной подписи (СЭП) из состава ОС СН (средства не являются сертифицированными СКЗИ). *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Дополнительно: Сервис электронной подписи (СЭП) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.9.5 «Сервис электронной подписи» https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
| 13 | ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) | Средства Astra Linux, СКЗИ | + | + | При сетевом доступе реализуется сертифицированными криптографическими средствами защиты информации. При организации ЕПП доверенный канал дополнительно обеспечивается применением сквозной доверенной аутентификации. При локальном доступе доверенный канал обеспечивается функциями аутентификации и сохранением контекста безопасности в процессе работы. Подсистема мандатного контроля целостности обеспечивает возможность модификации системного программного обеспечения (исполняемых файлов СЗИ, библиотек) или его поведения (конфигурация, наборы входных данных) только доверенным пользователям (высокоцелостным администраторам); В качестве дополнительной меры при сетевом доступе в рамках ЛВС возможно применение встроенных в Astra Linux средства OpenVPN*. *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Поддержка двухфакторной аутентификации (PAM, ЕПП), Мандатный контроль целостности (МКЦ), Дискреционное разграничение доступа | РА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" РКСЗ.1: п.7.1 "Изоляция процессов" | |||
| 13 | ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | + | + 1 | + 1, 2 | Средства Astra Linux, МЭ Организационно-технические мероприятия | + | + | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, контроль доступа к подключаемым устройствам в соответствии с установленными правилами, а также применением механизма фильтрации сетевых пакетов (не является сертифицированным МЭ). Использование мандатного контроля целостности (МКЦ) позволит исключить возможность несанкционированного изменения конфигурации модулей, отвечающих за работу соответствующих периферийных устройств. | МКЦ, дискреционное управление доступом, управление драйверами/устройствами. Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом" РА.1: п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" https://wiki.astralinux.ru/x/NwLUCg (Блокировка устройств) Справка Astra Linux по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
| 13 | ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами | Организационно-технические мероприятия, СКЗИ, МЭ, средства однонаправленной передачи информации, Средства Astra Linux | - | + | Для поддержки мандатного управления доступом в сетевые пакеты протокола IPv4 (IPv6) внедряются классификационные метки. Передача атрибутов информации в Astra Linux осуществляется в соответствии с политикой управления доступом. Защита при передаче реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением сертифицированных средств защиты канала передачи информации. Дополнительно с целью контроля сетевых потоков на уровне узла может использоваться функция фильтрации и контроля сетевых потоков Astra Linux (netfilter) с поддержкой фильтрации на основе классификационных меток (не является сертифицированным МЭ). При сетевом доступе в рамках ЛВС в качестве дополнительной меры обеспечения целостности заголовка IP-пакетов, содержащего классификационную метку, допускается применение программного средства Astra Linux, обеспечивающего подлинность и целостность передаваемых данных (OpenVPN*). *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Мандатное управление доступом Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables), Модуль astralabel | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.4.2 "Мандатное управление доступом", п.4.13 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока" | |||
| 13 | ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | + 1 | + 1, 2 | Средства Astra Linux, ОРД | + | + | В составе установочного диска Astra Linux отсутствуют средства связанные с технологиями мобильного кода использующими Java, ActiveX, VBScript. Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами ограничения программной среды. Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | Средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock) | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.5 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) | |
| 13 | ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | + | + | Организационно-технические мероприятия, ОРД | - | - | - | - | - | |
| 13 | ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | + | + | Организационно-технические мероприятия, ОРД | - | - | - | - | - | |
| 13 | ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам | Средства Astra Linux | + | + | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | РА.1: п.6.5 "Служба DNS" https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9) | |||
| 13 | ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | + | + 1 | СКЗИ, МЭ Дополнительно: Средства Astra Linux | + | + | Подлинность сетевых соединений обеспечивается применением сертифицированных средств построения защищенных каналов и средств межсетевого экранирования. В домене подлинность сетевых соединений дополнительно обеспечивается средствами организации сквозной доверенной аутентификации (ЕПП) из состава ОС СН. При сетевом доступе в рамках ЛВС в качестве дополнительной меры обеспечения целостности пакетов допускается применение программного средства OpenVPN* из состава Astra Linux. *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Организация ЕПП (Kerberos) | РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП" | |
| 13 | ЗИС.12 | Исключение возможности отрицания пользователем факта отправки информации другому пользователю | + | + | Организационно-технические мероприятия, СКЗИ | - | - | - | - | - | |
| 13 | ЗИС.13 | Исключение возможности отрицания пользователем факта получения информации от другого пользователя | + | + | Организационно-технические мероприятия, СКЗИ | - | - | - | - | - | |
| 13 | ЗИС.14 | Использование устройств терминального доступа для обработки информации | Организационно-технические мероприятия, Средства Astra Linux | + | + | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | https://wiki.astralinux.ru/x/EIQyAw | |||
| 13 | ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации | + | + | Средства Astra Linux, СКЗИ | + | + | Защита файлов, не подлежащих изменению, обеспечивается принятием мер защиты информации, направленных на обеспечение их конфиденциальности и целостности: применением правил дискреционного разграничения доступа и средств регламентного контроля целостности, применением средств мандатного контроля целостности объектов файловой системы, средств внедрения цифровой подписи в расширенные атрибуты объектов файловой системы с целью контроля их неизменности. Ручная разметка жесткого диска при установке ОС позволяет применить режим монтирования "только для чтения" и защитное преобразование данных для отдельных дисковых разделов. | Контроль расширенных атрибутов (ЗПС), Мандатный контроль целостности (МКЦ), Контроль целостности (Afick), Дискреционное разграничение доступом. | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды" | |
| - | + | На максимальном уровне защищенности защита файлов обеспечивается применением правил мандатного разграничения доступа. | Мандатное разграничение доступа. | ||||||||
| 13 | ЗИС.16 | Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов | Средства Astra Linux | - | + | В Astra Linux идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76. Условиями исключения скрытых каналов является реализуемая Astra Linux политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой областей оперативной памяти и обеспечение запуска процессов в замкнутой относительно остальных процессов среде по памяти (режимы МКЦ, механизм очистки освобождаемой внешней памяти доступны только для режимов Astra Linux "Воронеж" и "Смоленск"). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Механизм очистки внешней памяти (astra-secdel-control), режим киоска, блокировка запуска программ df,chattr,arp,ip | РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.5.12 "Блокировка запуска программ пользователя" | |||
| 13 | ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | + | + | Организационно-технические мероприятия, МЭ | - | - | Реализуется сертифицированными средствами межсетевого экранирования. Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств Astra Linux, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена. | VLAN, ЕПП | https://wiki.astralinux.ru/x/8w0AB (VLAN) | |
| 13 | ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения | Организационно-технические мероприятия. Дополнительно: Средства Astra Linux | + | + | Загрузка и исполнение на средствах вычислительной техники программного обеспечения с машинных носителей информации, доступных только для чтения, осуществляется под контролем средств разграничения доступа к таким носителям и средства динамического контроля целостности, обеспечивающего проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF (режим ЗПС доступен только для режимов Astra Linux "Воронеж" и "Смоленск"). С целью защиты коревой файловой системы от изменений возможно применение инструмента astra-overlay для организации режима работы «только чтение». | Средства управления регистрацией и учетом устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Контроль целостности (Afick), ЗПС, Средства ограничения программной среды (astra-overlay) | РА.1: п.18 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.16 "Ограничение программной среды", доп: п.16.5.21 "Включение на файловой системе режима работы "только чтение" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) https://wiki.astralinux.ru/x/HAKtAg (Cъемные USB-носители) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc | |||
| 13 | ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | Средства Astra Linux | + | + | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре Astra Linux. Одни и те же виртуальные адреса (с которыми и работает процессор) преобразуются в разные физические для разных адресных пространств. Процесс не может несанкционированным образом получить доступ к пространству другого процесса, т. к. непривилегированный пользовательский процесс лишен возможности работать с физической памятью напрямую. Механизм разделяемой памяти является санкционированным способом получить нескольким процессам доступ к одному и тому же участку памяти и находится под контролем дискреционных и мандатных ПРД. Адресное пространство ядра защищено от прямого воздействия пользовательских процессов с использованием механизма страничной защиты. | Изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов" | |||
| 13 | ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | + | + | + | СКЗИ, Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Для защиты беспроводных соединений в соответствии с законодательством Российской Федерации должны применяться сертифицированные средства криптографической защиты информации. Дополнительно: Ограничение на использование беспроводных соединений в ОС реализуется средствами Astra Linux, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий (Санкции PolicyKit-1), дискреционного разграничения доступом и управления драйверами устройств. | Дополнительно: Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/NwLUCg (Блокировка устройств) Справка Astra Linux по работе программой управления санкциями PolicyKit-1 |
| ЗИС.21 | Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы | + | Средства Astra Linux | + | + | При сетевом доступе реализуется сертифицированными криптографическими средствами защиты информации. При организации ЕПП доверенный канал дополнительно обеспечивается применением сквозной доверенной аутентификации. При локальном доступе доверенный канал обеспечивается функциями аутентификации и сохранением контекста безопасности в процессе работы. Подсистема мандатного контроля целостности обеспечивает возможность модификации системного программного обеспечения (исполняемых файлов СЗИ, библиотек) или его поведения (конфигурация, наборы входных данных) только доверенным пользователям (высокоцелостным администраторам); В качестве дополнительной меры при сетевом доступе в рамках ЛВС возможно применение встроенных в Astra Linux средства OpenVPN*. *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Штатные утилиты затирания данных (dd, shred), Механизм очистки оперативной памяти (linux kernel), Механизм очистки внешней памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control) | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.5.30 "Управление безопасным удалением файлов", п.16.5.31. "Управление очисткой разделов подкачки" | |||
| 13 | ЗИС.22 | Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы | + | + | Организационно-технические мероприятия, Средства Astra Linux, МЭ | + | + | Обеспечение защиты от угроз, направленных на отказ в обслуживании, реализуется настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей, применением функции фильтрации и контроля сетевых потоков Astra Linux (netfilter) (не является сертифицированным МЭ) и организацией замкнутой программной среды (организация ЗПС возможна только для режимов Astra Linux "Воронеж" и "Смоленск"). Ядро ОС применяет специальную технологию, которая обеспечивает защиту от переполнения буфера и запуска произвольного машинного кода за счет запрета записи в исполняемые области памяти. Максимальные квоты пользовательских процессов на аппаратные ресурсы задаются администратором в конфигурационном файле /etc/security/limits.conf. Также для управления аппаратными квотами (оперативная память, дисковое пространство) из различных пользовательских программ существует ряд системных вызовов: setrlimit(), getrlimit(), prlimit() и quotactl(). | Режим киоска, ограничивающие функции безопасности (механизмы защиты и блокировок), ЗПС, Механизм ограничения системных ресурсов (ulimits), Средства ограничения прав доступа к страницам памяти Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РКСЗ.1: п.16 "Ограничение программной среды" https://wiki.astralinux.ru/x/LoKhAQ (Настройка механизмов защиты и блокировок) https://wiki.astralinux.ru/x/zQC4B (Сравнение работы режима Киоск-2 и режима киоска) | |
| 13 | ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями | + 1, 2, 3, 4а, 4б, 4в, 5 | + 1, 2, 3, 4а, 4б, 4в, 4г, 4д, 5, 6, 7 | Организационно-технические мероприятия, МЭ, средства однонаправленной передачи, криптошлюзы | - | - | - | - | - | |
| 13 | ЗИС.24 | Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения | + | + | Организационно-технические мероприятия, Средства Astra Linux, Прикладное ПО | + | + | Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности обеспечивается применением средств организации домена, а также использованием сетевых и прикладных сервисов из состава Astra Linux | Средства организации ЕПП (FreeIPA,ALD, Samba), Защищенный комплекс программ гипертекстовой обработки данных (Apache2), СУБД, Защищенный комплекс программ печати и маркировки документов (cups) | РА.1: п.10 "Защищенный комплекс программ гипертекстовой обработки данных", п.13 "Защищенный комплекс программ печати и маркировки документов" ОП: п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП" РА.2 https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) | |
| 13 | ЗИС.25 | Использование в информационной системе или ее сегментах различных типов общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды) | Организационно-технические мероприятия, Средства Astra Linux, Средства виртуализации | + | + | Возможность использования в информационной системе различных типов программного обеспечения реализуется с помощью использования виртуальной инфраструктуры, в составе которой возможно функционирование «недоверенных» гостевых операционных систем в доверенной среде Astra Linux. | Средства виртуализации | РКСЗ.1: п.5 "Защита среды виртуализации" https://wiki.astralinux.ru/x/cQIy (Работа с виртуализацией) | |||
| 13 | ЗИС.26 | Использование прикладного и специального программного обеспечения, имеющих возможность функционирования в средах различных операционных систем | Сторонние средства (ПО «клиент-серверной» архитектуры («тонкого» клиента), имеющих возможность функционирования в средах различных операционных систем) | - | - | - | - | - | |||
| 13 | ЗИС.27 | Создание (эмуляция) ложных информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации | Средства создания ложных информационных объектов, МЭ | - | - | - | - | - | |||
| 13 | ЗИС.28 | Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы | Средства создания ложных информационных объектов, МЭ | - | - | - | - | - | |||
| 13 | ЗИС.29 | Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системы | Организационные мероприятия, Средства Astra Linux | + | + | В случае возникновения отказов перевод информационной системы в заранее определенную конфигурацию осуществляется с использованием средств восстановления Astra Linux и средств управления конфигурациями для применения наборов базовых конфигураций. Для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита в ОС применяется комплекс программ Bacula, утилита rsync и утилита tar. В процессе перезагрузки после сбоя ОС автоматически выполняет программу проверки и восстановления ФС при помощи утилиты fsck. Если повреждения ФС окажутся незначительными, то ее выполнения достаточно для обеспечения целостности ФС. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), средства управления конфигурациями (Ansible/Puppet/Foreman), fsck | РА.1: п.17 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD", п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | |||
| 13 | ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе | + | + | + | Средства Astra Linux, Организационные мероприятия | + | + | Защита реализуется в зависимости от мобильного технического средства (типа мобильного технического средства) мерами по идентификации и аутентификации в соответствии с ИАФ.1 и ИАФ.5, управлению доступом в соответствии с УПД.2, УПД.5, УПД.13 и УПД.15, ограничению программной среды в соответствии с ОПС.3, защите машинных носителей информации в соответствии с ЗНИ.1, ЗНИ.2, ЗНИ.4, ЗНИ.8, регистрации событий безопасности в соответствии с РСБ.1, РСБ.2, РСБ.3 и РСБ.5, контролю (анализу) защищенности в соответствии с АНЗ.1, АНЗ.2 и АНЗ.3, обеспечению целостности в соответствии с ОЦЛ.1. | Средства управления регистрацией и учетом устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм очистки внешней памяти (astra-secdel-control) | РА.1: п.18 "Средства разграничения доступа к подключаемым устройствам" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) |
| 11 | XI. Защита среды виртуализации (ЗСВ) | ||||||||||
| 11 | ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + | + 1 | + 1 | Средства Astra Linux | + | + | Идентификация и аутентификация пользователей осуществляется с использованием встроенных в Astra Linux механизмов идентификации и аутентификации пользователей согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7 с учетом требований ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения». Доступ к серверу виртуализации libvirt для управления средствами виртуализации и доступ непосредственно к рабочему столу виртуальной машины при их локальном и удаленном обращении осуществляется только после прохождения процессов идентификации и аутентификации субъектов доступа в Astra Linux. Взаимная идентификация и аутентификация пользователей и средства виртуализации при удаленном доступе возможна c использованием удаленной SSH-аутентификации, а также с использованием сетевого протокола сквозной доверенной аутентификации в ЕПП (удаленная SASL аутентификация с поддержкой̆ Kerberos). Аутентификация объектов доступа в виртуальной инфраструктуре, запускаемых и исполняемых модулей программного обеспечения виртуальной инфраструктуры реализуется с использованием: - механизма контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на исполнение; - механизма контроля целостности файлов при их открытии на основе ЭП в расширенных атрибутах файловой системы; - механизма контроля целостности средства виртуализации «отпечаток конфигурации». | Защита среды виртуализации (идентификация и аутентификация пользователей при доступе к виртуальной инфраструктуре), Средства виртуализации (KVM, QEMU, libvirt), средства управления виртуализацией (virt-manager, virsh), Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС), Механизм контроля целостности в средстве виртуализации «отпечаток конфигурации» | РКСЗ.1: п.5.5 "Идентификация и аутентификация пользователей в среде виртуализации", п.5.6 "Доверенная загрузка виртуальных машин", п.5.7 "Контроль целостности в среде виртуализации". РА.1: п.9.1.7 "Идентификация и аутентификация при доступе к серверу виртуализации libvirt" РА.1: п.9.1.8 "Идентификация и аутентификация при доступе к рабочему столу виртуальных машин" Справочный центр: https://wiki.astralinux.ru/x/cQIy (Виртуализация QEMU/KVM в Astra Linux) |
| 11 | ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + 1, 2 | + 1, 2 | + 1, 2 | Средства Astra Linux | + | + | Работа в среде виртуализации libvirt подчиняется правилам дискреционного управления доступом и возможна только после прохождения обязательной процедуры идентификации и аутентификации. Монитор обращений контролирует доступ к средствам управления виртуальной инфраструктурой, виртуальным машинам (ВМ), файлам-образам ВМ, виртуальному аппаратному обеспечению, к гипервизору и служебным данным. Дискреционное управление доступом при работе с сервером виртуализации libvirt осуществляется драйвером доступа parsec, специально разработанным с использованием прикладного программного интерфейса драйверов доступа libvirt. Основанием для принятия решения о предоставлении доступа к ВМ является сравнение дискреционных атрибутов ВМ и дискреционных атрибутов пользователя с учетом выполняемой операции и режима запуска ВМ. Также в средстве виртуализации реализован механизм ролевого управления доступом, который базируется на совместном применении драйвера доступа parsec и драйвера доступа Polkit, обеспечивающего разграничение возможностей выполнения привилегированных операций с объектами виртуализации. Управление доступом в виртуальной инфраструктуре осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12. | Средства виртуализации (KVM, QEMU, libvirt), Защита среды виртуализации (драйвер дискреционного управления доступом parsec, драйвер ролевого управления polkit), средства управления виртуализацией (virt-manager, virsh) | РКСЗ.1: п.5.1 "Дискреционное управление доступом в среде виртуализации", п.5.2 "Ролевое управление доступом в среде виртуализации", п.5.3 "Мандатное управление доступом в среде виртуализации", п.5.4 "Режим «только чтение»: запрет модификации образа виртуальной машины" Справочный центр: https://wiki.astralinux.ru/x/cQIy (Виртуализация QEMU/KVM в Astra Linux) |
| - | + | В режиме Astra Linux "Максимальный" работа в среде виртуализации libvirt подчиняется правилам как дискреционного, так и мандатного управления доступом и возможна только после прохождения обязательной процедуры идентификации и аутентификации. Дискреционное и мандатное управление доступом при работе с сервером виртуализации libvirt осуществляется драйвером доступа parsec, специально разработанным с использованием прикладного программного интерфейса драйверов доступа libvirt. | Дополнительно: Защита среды виртуализации (драйвер мандатного управления доступом parsec) | ||||||||
| 11 | ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + | + | + | Средства Astra Linux | + | + | Регистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5. Сбор, запись и хранение информации о событиях безопасности осуществляются подсистемой регистрации событий Astra Linux (службой auditd, модулем фильтрации и обработки syslog-ng-mod-astra с участием демона libvirtd). Регистрация осуществляется согласно заданным правилам в системные журналы в каталогах /var/log/ и /var/log/audit/, а также в защищенный журнал /parsec/log/astra/events/. Определение перечня событий, необходимых для регистрации и учета, выполняется с использованием утилиты fly-admin-events («Настройка регистрации системных событий»). Просмотр и анализ журналов событий безопасности осуществляется администратором с использованием консольных инструментов (ausearch, aureport, aulast, auvirt, journalctl) и графических утилит fly-event-viewer (просмотр журнала /parsec/log/astra/events) и ksystemlog. Информирование администратора о событиях безопасности осуществляется с использованием «Центра уведомлений» (fly-notifications). Реагирование системы на события безопасности задается с использованием утилиты «Настройка регистрации системных событий» (fly-admin-events). Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. | Средства виртуализации (демон libvirtd), Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), Центр уведомлений (fly-notifications) | РКСЗ.1: п.5.8 "Регистрация событий безопасности в среде виртуализации", п.6 "Регистрация событий безопасности" Справочный центр: https://wiki.astralinux.ru/x/-4JOAg (Zabbix) |
| 11 | ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | + | + 1, 2 | МЭ, Средства Astra Linux, СКЗИ | + | + | Реализуется с применением сертифицированных средств межсетевого экранирования. Дополнительно может использоваться функция управления потоками информации в виртуальной инфраструктуре. Для управления потоками информации в виртуальной инфраструктуре на канальном и сетевом уровнях применяются следующие встроенные механизмы управления потоками Astra Linux, обеспечивающие сетевую фильтрацию того или иного типа: - драйвер виртуальных сетей libvirt (обеспечивает изолированное мостовое устройство, к которому подключены гостевые TAP-устройства, возможна работа в режимах isolated, NAT, forward); - драйвер сетевых фильтров libvirt (обеспечивает полностью настраиваемую сетевую фильтрацию трафика на гостевых сетевых адаптерах с использованием сетевых фильтров nwfilter) (не является сертифицированным МЭ); - изоляция сетей с помощью VLAN (с применением программного многоуровневого коммутатора Open vSwitch). Для реализации меры использование только штатных средств может быть недостаточно. При построении виртуальных инфраструктур рекомендуется применение совместимых с Astra Linux сертифицированных МЭ: https://wiki.astralinux.ru/x/jJJYDw | Средства виртуализации (KVM, QEMU, libvirt), Защита среды виртуализации (драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), VLAN, Open vSwitch, средства управления виртуализацией (virt-manager, virsh) | РКСЗ.1: п.5.10 "Управление потоками информации в среде виртуализации" РА.1: п.6.8 "Программный коммутатор Open vSwitch" Справочный центр: https://wiki.astralinux.ru/x/jJJYDw (Межсетевые экраны в среде виртуализации Astra Linux) | |
| 11 | ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | Средства Astra Linux, СДЗ | + | + | Доверенная загрузка виртуальных машин обеспечивается: - с использованием механизма контроля целостности файлов при их открытии на основе ЭЦП (режим ЗПС) для обеспечения динамического контроля целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода (первичного загрузчика виртуальной машины); - с использованием механизма запрета запуска исполняемых файлов и разделяемых библиотек с неверной ЭЦП, а также без ЭЦ (режим ЗПС) для контроля целостности исполняемых файлов средства виртуализации; - с использованием механизма контроля целостности средства виртуализации «отпечаток конфигурации», осуществляющего динамический контроль целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода. - с использованием механизма контроля целостности исполняемых файлов При выявлении нарушения целостности объектов контроля осуществляется блокировка их запуска. Для обеспечения доверенной загрузки ЭВМ необходимо использовать сертифицированные средства доверенной загрузки или аппаратно-программные модули доверенной загрузки. | Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС), Защита среды виртуализации (механизм контроля целостности в средстве виртуализации «отпечаток конфигурации») | РКСЗ.1: п.5.6 "Доверенная загрузка виртуальных машин" | |||
| 11 | ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + 1 | + 1, 2 | Организационные мероприятия, Средства Astra Linux | + | + | Средства виртуализации из состава Astra Linux поддерживают возможность миграции виртуальных машин с одного физического хоста на другой без остановки ее работы. Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствам виртуализации Libvirt в соответствии с установленными правилами сетевого взаимодействия. В среде виртуализации реализовано создание, модификация, хранение, получение и удаление (в т.ч. централизованное) образов виртуальных машин. Для централизованного хранения образов ВМ используются хранилища данных, построенные на базе кластерной файловой системы ocfs2 или блочных устройств ceph/rbd. | Средства виртуализации (KVM, QEMU, libvirt), средства управления виртуализацией (virt-manager, virsh), Защита среды виртуализации (механизм централизованного хранения образов ВМ, механизм миграции ВМ) | РКСЗ.1: п.5.14 "Централизованное управление" | |
| 11 | ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | + 3 | + 1, 3 | Средства Astra Linux | + | + | Контроль целостности виртуальной инфраструктуры и ее конфигураций в режиме Astra Linux "Базовый" реализуется с использованием механизма регламентного контроля целостности AFICK. Контроль целостности виртуальной инфраструктуры и ее конфигураций реализуется: - с использованием механизма контроля целостности файлов при их открытии на основе ЭЦП (режим ЗПС) для обеспечения динамического контроля целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода (первичного загрузчика виртуальной машины); - с использованием механизма запрета запуска исполняемых файлов и разделяемых библиотек с неверной ЭЦП, а также без ЭЦ (режим ЗПС) для контроля целостности исполняемых файлов средства виртуализации; - с использованием механизма контроля целостности средства виртуализации «отпечаток конфигурации», осуществляющего динамический контроль целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода; - с использованием механизм регламентного контроля целостности AFICK. | Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС), Защита среды виртуализации (механизм контроля целостности в средстве виртуализации «отпечаток конфигурации»), средства регламентного контроля целостности AFICK | РКСЗ.1: п.5.6 "Контроль целостности в среде виртуализации", п.5.12 "Применение механизма контроля целостности областей памяти по запросу из гостевой ОС", п.9 "Контроль целостности", п.16.1 "Замкнутая программная среда" | |
| 11 | ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | + | + 1, 2, 3 | Организационно-технические мероприятия, Средства Astra Linux | + | + | Резервное копирование образов виртуальных машин и конфигурации виртуального оборудования виртуальных машин, а также параметров настройки средств виртуализации и сведений о событиях безопасности реализуется с использованием встроенных в средства виртуализации Astra Linux механизмов резервного копирования (инструментов командной строки virsh backup-begin, virsh dumpxml и virsh snapshot-create), а также встроенных в Astra Linux средств резервного копирования, средств кластеризации и создания распределенных хранилищ информации, механизмов агрегации каналов. | Защита среды виртуализации (механизмы резервного копирования средства виртуализации virsh backup-begin, virsh dumpxml, virsh snapshot-create), Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Cредства обеспечения отказоустойчивости и высокой доступности (Ceph, OCFS2, bounding) | РКСЗ.1 п.5.9 "Резервное копирование в среде виртуализации", п.10 "Надежное функционирование" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.17 "Резервное копирование и восстановление данных" Справочный центр: https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | |
| 11 | ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + | + 1 | + 1 | САВЗ | - | - | Реализуется сертифицированными САВЗ | - | - |
| 11 | ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей | + | + | + 2 | МЭ, Организационно-технические мероприятия, Средства Astra Linux | + | + | Реализуется с применением сертифицированных средств межсетевого экранирования. Дополнительно могут использоваться штатные средства ОС, реализующие технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, с применением программного многоуровневого коммутатора Open vSwitch, а также драйвера виртуальных сетей libvirt и драйвера сетевых фильтров nwfilter (не является сертифицированным МЭ). Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС. При построении виртуальных инфраструктур рекомендуется применение совместимых с Astra Linux сертифицированных МЭ: https://wiki.astralinux.ru/x/jJJYDw | VLAN, Open vSwitch, Защита среды виртуализации (драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Средства организации ЕПП | РКСЗ.1: п.5.10 "Управление потоками информации в среде виртуализации" РА.1: п.6.8 "Программный коммутатор Open vSwitch" Справочный центр: https://wiki.astralinux.ru/x/8w0AB (VLAN) |