Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 21 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Принятые обозначения и сокращения
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 21 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
| Меры защиты и обеспечения безопасности Раздел | Меры защиты и обеспечения безопасности Код | Меры защиты и обеспечения безопасности Содержание мер по обеспечению безопасности персональных данных | Уровни защищенности ИСПДн 4 | Уровни защищенности ИСПДн 3 | Уровни защищенности ИСПДн 2 | Уровни защищенности ИСПДн 1 | Средства реализации | Уровни защищенности Astra Linux Усиленный | Уровни защищенности Astra Linux Максимальный | Способ реализации меры защиты с применением функциональных возможностей Astra Linux | Компоненты/Механизмы Astra Linux | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации Astra Linux |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Меры защиты и обеспечения безопасности | Уровни защищенности ИСПДн | Средства реализации | Уровни защищенности Astra Linux | Способ реализации меры защиты с применением функциональных возможностей Astra Linux | Компоненты/Механизмы Astra Linux | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации Astra Linux | ||||||
| Раздел | Код | Содержание мер по обеспечению безопасности персональных данных | 4 | 3 | 2 | 1 | Усиленный | Максимальный | ||||
| 1 | I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||||||||||
| 1 | ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + | + | + | + | Средства Astra Linux, Организационные мероприятия, СДЗ, токены | + | + | Идентификация и аутентификация пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Поддержка двухфакторной аутентификации (PAM, ЕПП) | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.19 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | + | + | Средства Astra Linux, ОРД | + | + | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Идентификация терминалов осуществляется по номеру терминала. Идентификация ЭВМ осуществляется средствами Astra Linux по МАС-адресу, по логическим именам, именам в домене. Идентификация узлов сети осуществляется по IP-адресу и МАС-адресу. Идентификация внешних устройств осуществляется по логическим именам, по комбинации имени (соответствующих файлов в /dev), логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация внешних устройств осуществляется с использованием средств контроля подключения машинных носителей информации, обеспечивающего надежное сопоставление пользователя с устройством. Аутентификация ЭВМ в домене реализуется средствами Astra Linux с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация объектов, Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Идентификация и аутентификация компьютеров (ЕПП) | РА.1: п.13.4 Настройка принтера и управления печатью, п.18 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc | ||
| 1 | ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + | + | + | + | Средства Astra Linux, Организационные мероприятия, ОРД | + | + | Управление идентификаторами пользователей осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Политика учетных записей (fly-admin-smc, FreeIPA,ALD), Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD) | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + | + | + | + | Средства Astra Linux, Организационные мероприятия, ОРД При необходимости: СДЗ, токены | + | + | Управление средствами аутентификации (хранение, выдача, инициализация, блокирование средств) осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. В ОС реализована возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012 (ГОСТ Р 34.11-94). При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Для защиты аутентификационной информации по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012. При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации | Политика учетных записей (fly-admin-smc, FreeIPA,ALD), Поддержка двухфакторной аутентификации (PAM, ЕПП), Защита хранимой аутентификационной информации | РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.19 "Поддержка средств двухфакторной аутентификации" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + | + | + | + | Средства Astra Linux | + | + | Защита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсе средствами Astra Linux по умолчанию. | Аутентификация с защищенной обратной связью (fly-dm) | РП:1: п.2.1 "Графический вход в систему" Справка Astra Linux по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm |
| 1 | ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + | + | + | + | Средства Astra Linux, Организационные мероприятия, ОРД При необходимости: СДЗ, токены | + | + | Идентификация и аутентификация внешних пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Поддержка двухфакторной аутентификации (PAM, ЕПП) | ОП: п.4.1.2 "Идентификация и аутентификация", п.4.1.3 "Организация ЕПП" РА.1: п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly", п.19 "Поддержка средств двухфакторной аутентификации" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | II. Управление доступом субъектов доступа к объектам доступа (УПД) | |||||||||||
| 2 | УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | + | + | + | + | Средства Astra Linux, ОРД | + | + | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Средства управления локальными пользователями (fly-admin-smc), Средства управления доменным пользователями (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями", п.8 "Средства организации ЕПП", п.11.6 "Рабочий стол Fly" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/R4AS (ALD) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + | + | + | + | Средства Astra Linux, ОРД | + | + | Монитор обращений предусматривает дискреционное управление доступом. На защищаемые именованные объекты устанавливаются базовые правила разграничения доступа (ПРД) в виде идентификаторов номинальных субъектов, которые вправе распоряжаться доступом к данной сущности, и прав доступа к сущности. В СУБД PostgreSQL для управления правами на доступ к БД используется концепция ролей̆ - ролевое управление доступом. Под ролью понимается пользователь или группа пользователей̆ БД. Роли могут являться владельцами объектов БД и могут назначать привилегии на управление объектами для других ролей̆, имеющих доступ к данными объектам. Применение базовых ПРД не обеспечивают защиту системных и привилегированных процессов от несанкционированного доступа и управления при реализации угроз безопасности информации. В режиме защищенности «Воронеж» с целью исключения повышения привилегий пользователей и управления системных и привилегированных процессами в случае использования дефектов/уязвимостей в программном обеспечении информационной системы, а также возможности изменения конфигурации программного обеспечения и параметров функционирования средств защиты информации, доступен метод мандатного контроля целостности (МКЦ). При реализации мандатного контроля целостности низкоцелостные (пользовательские) процессы не могут получить доступ к процессам высокого уровня целостности (системным и привилегированным), даже в случае несанкционированного повышения полномочий пользователя. МКЦ не предполагает использование мандатного управления доступом. Уровни целостности присваиваются по умолчанию при включении МКЦ с возможностью ручной настройки при необходимости. | Дискреционное управление доступом, МКЦ, Ролевое управление доступом в СУБД, | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" РА.2 ОП: п.4.1.4 "Дискреционное управление доступом", п.4.1.5 "Мандатное управление доступом и контроль целостности", п.4.1.17 "Обеспечение доступа к БД" |
| - | + | В режиме "Смоленск" дополнительно доступно мандатное управление доступом (МРД) к информации в процессе ее хранения, обработки и передачи при сетевом взаимодействии с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Мандатное управление доступом обеспечивает защиту от угроз безопасности, связанных с возможностью преднамеренных или ошибочных действий пользователей по изменению прав доступа к сущностям, владельцами которых являются пользователи, что не запрещается методом дискреционного управления доступа. Мандатное управление доступом позволяет минимизировать или исключить возможность реализации информационно-технических воздействий в результате получения несанкционированного доступа к объектам защиты различных уровней конфиденциальности. | Дискреционное управление доступом, МКЦ, МРД, Ролевое управление доступом в СУБД, | |||||||||
| 2 | УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + | + | + | + | МЭ, средства однонаправленной передачи, ОРД. Дополнительно: Средства Astra Linux | + | + | Реализуется с применением сертифицированных средств межсетевого экранирования. Дополнительно с целью контроля сетевых потоков на уровне узла может использоваться функция фильтрации и контроля сетевых потоков Astra Linux (система netfilter) (не является сертифицированным МЭ). Управление правилами осуществляется администратором с использованием средств управления фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов. | Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом", п.4.13 "Сетевое взаимодействие" |
| - | + | В режиме "Смоленск" правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками). Для поддержки мандатного управления доступом в сетевые пакеты протокола IPv4 (IPv6) внедряются классификационные метки. Порядок присвоения классификационных меток и их формат соответствует национальному стандарту ГОСТ Р 58256-2018. Прием сетевых пакетов подчиняется мандатным ПРД. | Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables), Модуль astralabel | |||||||||
| 2 | УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + | + | + | + | ОРД, Средства Astra Linux | + | + | Разделение полномочий пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. В режимах защищенности «Смоленск» и «Воронеж» применение МКЦ из состава ОС обеспечивает дополнительный уровень распределения полномочий через установку соответствующих уровней целостности для субъектов (привилегированных пользователей) и объектов (системных файлов/папок/процессов). Уровень целостности субъекта соответствует его полномочиям по доступу к объектам в зависимости от их уровней целостности, а также отражает степень уверенности в корректности его функциональности. Все действия по администрированию системы будут выполняться доверенными субъектами в рамках привилегированных сессий. | Управление атрибутами МКЦ, Управление атрибутами локальных пользователей (fly-admin-smc), управление атрибутами доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + | + | + | + | Средства Astra Linux, ОРД | + | + | Назначение минимально необходимых прав и привилегий, разделение полномочий пользователей осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией оператора. В режимах защищенности «Смоленск» и «Воронеж» применение МКЦ из состава ОС обеспечивает дополнительный уровень распределения полномочий через установку соответствующих уровней целостности (системных и привилегированных). Уровень целостности субъекта соответствует его полномочиям по доступу к объектам в зависимости от их уровней целостности, а также отражает степень уверенности в корректности его функциональности. Все действия по администрированию системы будут выполняться доверенными субъект-сессиями (субъектами). При реализации политики мандатного контроля целостности субъектам и сущностям задаются уровни целостности — совокупность (декартово произведение) неиерархических уровней (категорий) целостности и иерархических (линейных) уровней целостности. Для администрирования подсистемы мандатного контроля целостности множество Linux привилегий расширено специальными привилегиями. | Управление атрибутами МКЦ, Управление атрибутами локальных пользователей (fly-admin-smc), управление атрибутами доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД | РА.1: п.3.3 "Управление пользователями", п.11.6 "Рабочий стол Fly" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности" Описание СУБД: п.10 Роли и привилегии в СУБД https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| - | + | В режиме защищенности «Смоленск» субъектам и сущностям задаются классификационные метки (уровни конфиденциальности и категории конфиденциальности). Для администрирования подсистемы мандатного управления доступом множество Linux привилегий расширено специальными привилегиями. | Управление атрибутами МРД, Управление атрибутами МКЦ, Управление атрибутами локальных пользователей (fly-admin-smc), управление атрибутами доменных пользователей (ALD/ FreeIPA), дискреционное управление доступом, управление ролями СУБД | |||||||||
| 2 | УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + | + | + | + | Средства Astra Linux, ОРД | + | + | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности локально или централизованно. | Управление политикой безопасности локальных пользователей (fly-admin-smc), Управление политикой безопасности доменных пользователей (FreeIPA, ALD) | РА.1: п.3.3 "Управление пользователями" РКСЗ.1: п.2 "Идентификация и аутентификация" https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | УПД.7 | Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных | Сторонними программными средствами | - | - | - | - | - | ||||
| 2 | УПД.8 | Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему | Средства Astra Linux | + | + | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю автоматически при входе пользователя в систему. | Защищенная графическая подсистема - Средства управление рабочим столом Fly (fly-notify-prevlogin) | РА.1: п.11.6 "Рабочий стол Fly" | ||||
| 2 | УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы | Средства Astra Linux, ОРД | + | + | Ограничение числа параллельных сеансов для каждого пользователя (или группы) осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга | Механизм ограничения системных ресурсов (ulimits), средства аудита (auditd, zabbix) | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16.5.3. "Установка квот на использование системных ресурсов" Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc, по работе с программой просмотра файлов журналов ksystemlog | ||||
| 2 | УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | + | + | + | Средства Astra Linux, ОРД | + | + | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется защищённой графической подсистемой автоматически или по запросу. Управление параметрами политики блокировки осуществляется администратором в соответствии с организационно-распорядительной документацией с помощью инструментов управления политикой безопасности локально или централизованно с использованием средств управления доменом. | Защищенная графическая подсистема - Средства управление рабочим столом Fly (fly-admin-theme) | РА.1: п.11.6 "Рабочий стол Fly" РКСЗ.1: п.17.2 "Указания по эксплуатации ОС" Справка Astra Linux по утилите настройки элементов рабочего стола fly-admin-theme | |
| 2 | УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + | + | + | Средства Astra Linux, ОРД, СДЗ | + | + | Защищенная графическая подсистема обеспечивает по умолчанию запрет пользователям на любые действия до прохождения процедур идентификации и аутентификации. Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации осуществляется администратором путем настройки графического входа в систему fly-admin-dm, параметров системного загрузчика Grub, и управлением системных блокировок. | Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control, astra-hardened-control), защищённая графическая подсистема (fly-admin-dm, fly-dm, fly-qdm) | ОП: п.4.1.2 "Идентификация и аутентификация" РП:1: п.2.1 "Графический вход в систему" РКСЗ.1: п.16.5.11 "Управление автоматическим входом", п.16.5.19 "Отключение отображения меню загрузчика" Справка Astra Linux по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm, настройки загрузчика ОС GRUB2 fly-admin-grub2 https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) | |
| 2 | УПД.12 | Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки | Средства Astra Linux, ОРД | - | + | В Astra Linux реализовано мандатное управление доступом к информации в процессе ее хранения, обработки и передачи при сетевом взаимодействии с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256). Управление атрибутами безопасности осуществляется администратором с помощью инструментов управления политикой безопасности локально или централизованно в соответствии с организационно-распорядительной документацией. | МРД | РКСЗ.1: п.4.2 "Мандатное управление доступом" | ||||
| 2 | УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + | + | + | + | СКЗИ, ОРД Дополнительно: Средства Astra Linux | - | - | Защищенный удаленный доступ через внешние информационно-телекоммуникационные сети реализуется сторонними сертифицированными криптографическими средствами защиты информации. В качестве дополнительной меры для обеспечения защищенного доступа для компьютеров в одной сети (в рамках ЛВС) возможно применение средства OpenVPN* из состава Astra Linux. *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации и не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | - | РА.1: п.6.10 "Средство создания защищенных каналов" https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
| 2 | УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + | + | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Реализуется средствами Astra Linux, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий и дискреционного разграничения доступа, путем предоставления возможностей использовать технологии беспроводного доступа только тем пользователям, которым он необходим для выполнения установленных должностных обязанностей. | Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/NwLUCg (Блокировка устройств) Справка Astra Linux по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 |
| 2 | УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + | + | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Реализуется средствами Astra Linux, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РА.1: п.18 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 2 | УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + | + | + | + | Средства Astra Linux, ОРД, Организационно-технические мероприятия. Дополнительно: МЭ, средства однонаправленной передачи | + | + | Для контроля доступа из внешних информационных (автоматизированных) систем применяются сертифицированные средства межсетевого экранирования и средства однонаправленной передачи информации. С целью контроля сетевых потоков на уровне узла в качестве дополнительной меры возможно применение функций фильтрации и контроля сетевых потоков из состава Astra Linux (система netfilter) (не является сертифицированным МЭ). Организация взаимодействия с информационными системами сторонних организаций возможна с использованием средств построения доверительных отношений между доменами из состава Astra Linux с возможностью обращения клиентов одного домена к ресурсам другого домена. При построении доверительных отношений контроль доступа к информационной системе авторизованных пользователей внешних информационных систем осуществляется в соответствии с УПД.2. | ЕПП Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РА.1: п.8 "Средства организации ЕПП" |
| 2 | УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | + | + | СДЗ. Дополнительно: Средства Astra Linux | - | - | Доверенная загрузка средств вычислительной техники обеспечивается с использованием средств доверенной загрузки и вспомогательными настройками Astra Linux. | Дополнительно: Grub (fly-admin-grub2), ограничивающие функции безопасности (astra-nobootmenu-control, astra-autologin-control) | РКСЗ.1:п.16.5 "Функции безопасности системы" | ||
| 3 | III. Ограничение программной среды (ОПС) | |||||||||||
| 3 | ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения | Средства Astra Linux, ОРД, СДЗ | + | + | Управление запуском (обращениями) в информационной системе только разрешенных компонентов программного обеспечения реализуется средствами ограничения программной среды: путем организации замкнутой программной среды (ЗПС), применением системного и графического киоска, средствами системных блокировок (astra-safepolicy), настройкой конфигурации загрузчика grub, удалением модулей ядра или запретом их загрузки, управлением запуска сервисов, системных служб, приложениями, планировщиком задач. | ЗПС режим системного киоска, режим киоск Fly, ограничивающие функции безопасности (astra-safepolicy), управление модулями и параметрами ядра, управление запуском сервисов (fly-admin-service), системных служб (systemgenie), приложениями (fly-admin-autostart), планирование запуска задач (fly-admin-cron) | РКСЗ.1:п.16.1 "Замкнутая программная среда", п.16.2 "Режим Киоск-2", п.16.5 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/wYZ-Bg (Инструменты командной строки astra-safepolicy) Справка Astra Linux по утилитам настройки загрузчика ОС GRUB2 fly-admin-grub2, запуска сервисов fly-admin-sevice, системных служб systemgenie, приложений fly-admin-autostart, планирования запуска задач fly-admin-cron | ||||
| 3 | ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | + | + | Средства Astra Linux, ОРД | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором с использованием средств управления программными пакетами и средств контроля целостности. Контроль установки (и запуска) в информационную систему только разрешенного программного обеспечения в режимах защищенности «Смоленск» и «Воронеж» обеспечивается средствами динамического контроля целостности (ЗПС) в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (ЭЦП). Организация замкнутой программной среды (ЗПС) обеспечит защиту от возможности загрузки и запуска исполняемого файла программного обеспечения или библиотеки, не обладающих корректной ЭЦП. Для обеспечения контроля параметров настройки компонентов программного обеспечения допускается использование программных средств управления конфигурациями. | Доверенный служебный репозиторий (ЗПС), Управление программными пакетами (synaptic), редактор репозиториев (fly-admin-repo), проверка целостности системы (fly-admin-int-check), контроль целостности пакетов ПО (gostsum), средства управления конфигурациями (Ansible/Puppet/Foreman) | РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев») https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка Astra Linux по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | ||
| 3 | ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | + | Средства Astra Linux, ОРД, Орг.мерами (обеспечивающими контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков) | + | + | Задача установки в информационную систему разрешенного программного обеспечения реализуется администратором в соответствии с ОРД с использованием средств управления программными пакетами, средств регламентного контроля целостности устанавливаемого программного обеспечения. Установка (инсталляция) в информационной системе программного обеспечения и (или) его компонентов осуществляется только от имени администратора (PolicyKit) в соответствии с УПД.5. В режимах защищенности «Смоленск» и «Воронеж» доступна возможность контроля установки (и запуска) в информационную систему только разрешенного программного обеспечения средствами динамического контроля целостности (ЗПС) в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи (ЭЦП). Организация замкнутой программной среды (ЗПС) обеспечит защиту от возможности загрузки и запуска исполняемого файла программного обеспечения или библиотеки, не обладающих корректной ЭЦП. | Управление программными пакетами (synaptic), проверка целостности системы (fly-admin-int-check) Доверенный служебный репозиторий (ЗПС), Управление программными пакетами (synaptic), проверка целостности системы (fly-admin-int-check) | РА.1: п.5 "Управление программными пакетами" ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.16 "Ограничение программной среды", п.9 "Контроль целостности" https://wiki.astralinux.ru/x/OwAy (Подключение репозиториев) https://wiki.astralinux.ru/x/QQLGBw (Инструмент «Редактор репозиториев» fly-admin-repo) Справка Astra Linux по утилитам Редактор репозиториев fly-admin-repo, Проверка целостности fly-admin-int-check | |||
| ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | Средства Astra Linux, ОРД | + | + | Исключение возможности хранения временных файлов и несанкционированных действий с ними, а также доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти и встроенного в ядро Astra Linux механизма очистки активных разделов страничного обмена. | Механизм очистки внешней памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), Механизм очистки оперативной памяти (linux kernel) | РКСЗ.1: п.7 "Изоляция процессов", п.8 "Защита памяти", п.16.5.30 "Управление безопасным удалением файлов", п.16.5.31 "Управление очисткой разделов подкачки" | |||||
| 4 | IV. Защита машинных носителей персональных данных (ЗНИ) | |||||||||||
| 4 | ЗНИ.1 | Учет машинных носителей персональных данных | + | + | Организационные мероприятия, ОРД | + | + | Учет машинных носителей информации, используемых в информационной системе для хранения и обработки информации, осуществляется в журналах ОРД. Регистрация устройств в базе учета устройств Astra Linux осуществляется с использованием встроенных средств регистрации и учета устройств, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||
| 4 | ЗНИ.2 | Управление доступом к машинным носителям информации | + | + | Организационные мероприятия, ОРД | + | + | Политика управления доступом к машинным носителям информации разрабатывается администратором и регламентируется в ОРД. Реализация правил и процедур доступа к машинным носителям информации осуществляется с использованием встроенных средств регистрации и учета устройств, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||
| - | + | Реализация политики управления доступом к машинным носителям информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | |||||||||
| 4 | ЗНИ.3 | Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны | Организационные мероприятия, ОРД | + | + | Контроль перемещения машинных носителей информации за пределы контролируемой зоны обеспечивается администратором и регламентируется ОРД. Учет перемещаемых машинных носителей информации осуществляется в соответствии с ЗНИ.1 | - | - | ||||
| 4 | ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах | Организационно-технические мероприятия | + | + | Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, осуществляется с применением средств Astra Linux, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||||
| - | + | Реализация политики управления доступом к машинным носителям информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | |||||||||
| 4 | ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Контроль использования интерфейсов ввода (вывода) реализуется с использованием механизма контроля подключаемых носителей из состава ОС СН путем настройки правил менеджера устройств udev (например, возможно ограничение на подключение устройства только в определенный USB-порт, запрет использования шин ввода (вывода) и т.д.), а также средств управления драйверами (удаление драйверов, обеспечивающих работу интерфейсов ввода (вывода)). | Средства разграничения доступа к подключаемым устройствам (udev), управление драйверами | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||||
| 4 | ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители персональных данных | Средства Astra Linux, ОРД | + | + | Контроль ввода (вывода) информации на машинные носители информации осуществляется с применением средств Astra Linux, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.6 "Регистрация событий безопасности", п.14 "Сопоставление пользователя с устройством" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||||
| - | + | Реализация политики управления доступом к машинным носителям информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | |||||||||
| 4 | ЗНИ.7 | Контроль подключения машинных носителей информации | Средства Astra Linux, ОРД | + | + | Контроль подключения машинных носителей информации реализуется средствами Astra Linux, обеспечивающими контроль подключения съемных машинных носителей информации на основе установленных администратором правил разграничения доступа. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev) | РКСЗ.1: п.13 "Контроль подключения съемных машинных носителей информации", п.16.5.21 "Запрет монтирования съемных носителей", п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) | ||||
| - | + | Контроль подключения машинных носителей информации в режиме "Смоленск" осуществляется в том числе с использованием механизма, обеспечивающего надежное сопоставление мандатного контекста пользователя с уровнем и категориями конфиденциальности, установленными для устройства. | Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Механизм надежного сопоставления мандатного контекста | |||||||||
| 4 | ЗНИ.8 | Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания | + | + | + | Организационно-технические мероприятия, Средства Astra Linux, ОРД, сторонние средства гарантированного уничтожения данных при усилении 5в, 5г. | + | + | Гарантированное уничтожение (стирание) информации на машинных носителях, исключающие возможность восстановления защищаемой информации, в режимах защищенности «Смоленск» и «Воронеж» обеспечивается механизмом очистки оперативной и внешней памяти на разделах с файловыми системами ext2, ext3, ext4, xfs. Данные любых файлов в пределах заданной ФС предварительно очищаются предопределенной или псевдослучайной маскирующей последовательностью. | Механизм очистки внешней памяти (astra-secdel-control) | РКСЗ.1: п.8 "Защита памяти" Справка Astra Linux по работе с утилитой форматирования внешних носителей fly-admin-format | |
| 5 | V. Регистрация событий безопасности (РСБ) | |||||||||||
| 5 | РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + | + | + | + | ОРД | - | - | События безопасности, подлежащие регистрации, и сроки их хранения определяются администратором и фиксируются в ОРД. | - | - |
| 5 | РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + | + | + | + | ОРД | - | - | Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администратором и фиксируются в ОРД. | - | - |
| 5 | РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | + | + | + | + | Средства Astra Linux, ОРД, SIEM | + | + | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью подсистемы регистрации событий (подсистемы auditd, модуля фильтрации и обработки syslog-ng-mod-astra) путем ведения журналов аудита событий безопасности согласно заданным правилам. Состав регистрируемой информации соответствует ГОСТ Р 59548-2022. Доступ к журналам аудита контролируется монитором обращений из состава Astra Linux в соответствии с установленными правилами разграничения доступа. Защита журнала аудита реализованной в Astra Linux подсистемы регистрации событий (syslog-ng-mod-astra) осуществляется средствами МКЦ (файл журнала и процесс, который его ведет, имеют метку высокой целостности). Дополнительно защита журнала обеспечивается отслеживанием изменения и удаления файла журнала недоверенными процессами. Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. Для реализации меры использование только штатных средств Astra Linux может быть недостаточно. Рекомендуется применение совместимых с Astra Linux SIEM-систем. | МКЦ, Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (syslog-ng-mod-astra, fly-admin-smc, system-config-audit), дискреционное разграничение доступа | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc и утилитой конфигурации аудита system-config-audit, по работе с программой просмотра файлов журналов ksystemlog |
| 5 | РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | Средства Astra Linux, ОРД | + | + | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляется с использованием подсистемы регистрации событий (auditd, syslog-ng-mod-astra) и средств централизованного протоколирования и анализа журналов аудита Zabbix. Информирование администратора о событиях безопасности осуществляется с использованием «Центра уведомлений» (fly-notifications). Реагирование системы на события безопасности задается с использованием утилиты «Настройка регистрации системных событий» (fly-admin-events). За реагирование отвечает демон KNotification, который обрабатывает входящие от syslog-ng события и выполняет соответствующее (заданное во fly-admin-events) действие. | Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | ||||
| 5 | РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | + | + | Средства Astra Linux, ОРД, Организационные мероприятия, SIEM | + | + | Мониторинг (просмотр, анализ) результатов регистрации локальных событий безопасности Astra Linux осуществляется с использованием средств просмотра журналов подсистемы регистрации событий (auditd, syslog-ng-mod-astra): консольных инструментов ausearch, aureport, journalctl и графических утилит fly-event-viewer (просмотр журнала /parsec/log/astra/events) и ksystemlog (просмотр журнала аудита audit.log). Информирование администратора о событиях безопасности осуществляется с использованием «Центра уведомлений» (fly-notifications). Реагирование системы на события безопасности задается с использованием утилиты «Настройка регистрации системных событий» (fly-admin-events). За реагирование отвечает демон KNotification, который обрабатывает входящие от syslog-ng события и выполняет соответствующее (заданное во fly-admin-events) действие. Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. Для реализации меры использование только штатных средств Astra Linux может быть недостаточно. Рекомендуется применение совместимых с Astra Linux SIEM-систем и систем обнаружения вторжений. | Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с программой просмотра файлов журналов ksystemlog | ||
| 5 | РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | Средства Astra Linux | + | + | Синхронизация системного времени в информационной системе реализуется с использованием встроенных в Astra Linux служб синхронизации времени. | Службы синхронизации времени (ntpd, chronyd, timesyncd, linuxptp) | РА.1: п.6.7 (Службы точного времени) https://wiki.astralinux.ru/x/l4GhAQ (Службы синхронизации времени) | ||||
| 5 | РСБ.7 | Защита информации о событиях безопасности | + | + | + | + | Средства Astra Linux, ОРД | + | + | Доступ к журналам аудита контролируется монитором обращений из состава Astra Linux в соответствии с установленными правилами разграничения доступа. Защита журнала аудита реализованной в Astra Linux подсистемы регистрации событий (syslog-ng-mod-astra) осуществляется средствами МКЦ (файл журнала и процесс, который его ведет, имеют метку высокой целостности). Дополнительно защита журнала обеспечивается отслеживанием изменения и удаления файла журнала недоверенными процессами. | МКЦ, Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Дискреционное управление доступом | РКСЗ.1: п.6 "Регистрация событий безопасности", п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с программой просмотра файлов журналов ksystemlog |
| 6 | VI. Антивирусная защита (АВЗ) | |||||||||||
| 6 | АВЗ.1 | Реализация антивирусной защиты | + | + | + | + | САВЗ | - | - | - | - | - |
| 6 | АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | + | САВЗ | - | - | - | - | - |
| 7 | VII. Обнаружение вторжений (СОВ) | |||||||||||
| 7 | COB.1 | Обнаружение вторжений | + | + | СОВ | - | - | - | - | - | ||
| 7 | COB.2 | Обновление базы решающих правил | + | + | СОВ | - | - | - | - | - | ||
| 8 | VIII. Контроль (анализ) защищенности персональных данных (АНЗ) | |||||||||||
| 8 | АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | + | + | + | Средства анализа (контроля) защищенности (сканеры безопасности), ОРД, Организационные мероприятия, Средства Astra Linux | + | + | Выявление и оперативное устранение уязвимостей Astra Linux производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76, и ГОСТ Р 56939. | Обновление ОС, fly-astra-update, fly-update-notifier | ОП: п.3 "Порядок обновления ОС" Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update, с утилитой "Проверка обновлений" fly-update-notifier https://wiki.astralinux.ru/x/2xZIB (fly-astra-update) | |
| 8 | АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + | + | + | + | Средства Astra Linux, ОРД | + | + | Обновление безопасности производится администратором согласно документации на Astra Linux. Источником обновлений Astra Linux в соответствии с требованиями нормативных документов ФСТЭК России является официальный Интернет-ресурс разработчика. Контроль целостности обновлений Astra Linux до установки может быть реализован с использованием средств регламентного контроля целостности: - путем проверки соответствия контрольной сумме, подсчитанной по стандарту ГОСТ Р 34.11-2012 (gostsum); - путем проверки отсоединенной электронной подписи ISO-образа посредством ПО КриптоПро CSP. После успешной установки обновления (в том числе, после установки обновления базового репозитория) проверка целостности программных пакетов установочного диска осуществляется проведением динамического контроля целостности файлов с использованием электронной цифровой подписи (режим ЗПС доступен только для режимов Astra Linux "Воронеж" и "Смоленск") и регламентного контроля целостности с использованием утилиты fly-admin-int-check с применением файла gostsums.txt, расположенного в корневом каталоге образа диска обновления repository-update.iso. Контроль установки обновлений ОС выполняется одним из следующих способов: - в «ручном» режиме путём сравнения списка установленных обновлений со списком обновлений, зафиксированным в журнале установки обновлений; - автоматизированный контроль установленных обновлений с использованием программы "Проверка обновлений" (пакет fly-update-notifier); - с использованием программы «Центр уведомлений» (пакет fly-notifications), реализующей вывод сообщений для пользователя на рабочем столе; - контроль установленных обновлений с использованием программных средств управления конфигурациями. | Обновление ОС (fly-astra-update, fly-update-notifier, fly-notifications), Регламентный контроль целостности (gostsum, fly-csp-cryptopro, fly-admin-int-check), динамический контроль целостности (ЗПС), управление программными пакетами (synaptic), редактор репозиториев (fly-admin-repo), Доверенный служебный репозиторий (ЗПС). Дополнительно: средства управления конфигурациями (Ansible/Puppet/Foreman) | ОП: п.3.2 "Внеочередное (оперативное) обновление" РА.1: п.6.11 "Средство удаленного администрирования Ansible" КСЗ.1: п.16.1 "Замкнутая программная среда" https://wiki.astralinux.ru/x/X4AmAg (Оперативные обновления для Astra Linux) Справка по работе с утилитой установки обновлений с возможностью гибкой настройки fly-astra-update |
| 8 | АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + | + | + | Средства Astra Linux, ОРД | + | + | Контроль работоспособности встроенного комплекса средств защиты информации Astra Linux осуществляется с помощью автоматического и регламентного тестирования функций безопасности, контролем соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации, и восстановлением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов в соответствии с ОЦЛ.3. Организация замкнутой программной среды (ЗПС) обеспечит динамический контроль целостности параметров настройки и исполняемых файлов программного обеспечения. Для обеспечения контроля параметров настройки допускается использование программных средств управления конфигурациями. | Тестирование СЗИ, динамический контроль целостности (ЗПС), Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) средства управления конфигурациями (Ansible/Puppet/Foreman) | РКСЗ.2 РА.1: п.17 "Резервное копирование и восстановление данных", п.6.11 "Средство удаленного администрирования Ansible" РКСЗ.1: п.10 "Надежное функционирование", п.16.1 "Замкнутая программная среда" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) | |
| 8 | АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + | + | + | Средствами Astra Linux, ОРД, Орг.мерами (визуальной проверкой может обеспечиваться контроль состава технических средств и средств защиты информации, требуемые, соблюдение правил эксплуатации и неизменности конфигурации ИС в ходе эксплуатации, контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации) | + | + | Контроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ - в соответствии с РСБ.3. Контроль установленного в ОС оборудования можно осуществлять с использованием специализированных утилит. Организация замкнутой программной среды (ЗПС) обеспечит динамический контроль целостности исполняемых файлов программного обеспечения и средств защиты информации. | Динамический контроль целостности (ЗПС), Контроль целостности (afick, fly-admin-int-check), средства аудита (auditd, zabbix), средства контроля установленного оборудования (lspci, lshw, lsusb). | ОП: п.4.1.9 "Контроль целостности", РКСЗ.1: п.9 "Контроль целостности", п.6 "Регистрация событий безопасности", п.16.1 "Замкнутая программная среда" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка по работе с утилитой проверки целостности fly-admin-int-check | |
| 8 | АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе | + | + | Средства Astra Linux, ОРД, Организационные мероприятия | + | + | Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты ИАФ.1, ИАФ.4, УПД.1, УПД.2, УПД.4, УПД.5. В Astra Linux осуществляется регистрация событий, связанных со сменой паролей пользователей, заведением и удалением учетных записей пользователей, изменением правил разграничения доступом и полномочий пользователей. Регистрация событий безопасности осуществляется с помощью подсистемы регистрации событий (auditd, syslog-ng-mod-astra) путем ведения журналов аудита событий безопасности согласно заданным правилам. Просмотр и анализ результатов регистрации локальных событий безопасности Astra Linux осуществляется с использованием средств просмотра журналов подсистемы регистрации событий (fly-event-viewer, ksystemlog). | Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (syslog-ng-mod-astra, fly-admin-smc, system-config-audit) | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc | ||
| 9 | IХ. Обеспечение целостности информационной системы и персональных данных (ОЦЛ) | |||||||||||
| 9 | ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | + | + | Средствами Astra Linux, Организационные мероприятия (в конфиденциальном сегменте информационной системы обеспечивается физическая защита технических средств информационной системы в соответствии с идентификаторами мер «ЗТС.2» и «ЗТС.3»), ОРД. | + | + | В режимах защищенности «Смоленск» и «Воронеж» «Воронеж» доступна возможность организации замкнутой программной среды (ЗПС) в целях осуществления контроля целостности программного обеспечения и средств защиты информации как в процессе загрузки, так и динамически в процессе исполнения. Динамический контроль целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение ОС осуществляется модулем ядра с использованием функции хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. Дополнительно применяются средства регламентного контроля целостности, автоматического и регламентного тестирования функций безопасности. | ЗПС, Регламентный контроль целостности (afick, fly-admin-int-check), контроль целостности пакетов ПО (gostsum), Тестирование СЗИ | РКСЗ.1: п.9 "Контроль целостности", п.16.1 "Замкнутая программная среда" РКСЗ.2 https://wiki.astralinux.ru/x/UAHUCg (Подсчет контрольных сумм в deb-пакетах) Справка по работе с утилитой проверки целостности fly-admin-int-check | ||
| 9 | ОЦЛ.2 | Контроль целостности персональных данных, содержащихся в базах данных информационной системы | Средствами Astra Linux, ОРД, Организационные мероприятия | + | + | Контроль целостности информации, содержащейся в базах данных информационной системы, осуществляется по контрольным суммам программных компонент базы данных как в процессе загрузки, так и динамически в процессе работы информационной системы. Динамический контроль целостности файлов при их открытии на основе ЭЦП в расширенных атрибутах файловой системы осуществляется модулем ядра с использованием функции хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса. Дополнительно используются средства регламентного контроля целостности. Контроль целостности осуществляется по контрольным суммам объектов ФС БД в процессе загрузки системы или периодически с использованием системного планировщика заданий cron. | ЗПС, регламентный контроль целостности (afick) | ОП: п.4.1.9 "Контроль целостности" РКСЗ.1: п.9 "Контроль целостности", п.16.1 "Замкнутая программная среда" | ||||
| 9 | ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | Средства Astra Linux, ОРД | + | + | В состав ОС входит комплекс программ для выполнения операций резервного копирования и восстановления объектов ФС. В целях обеспечения возможности восстановления работоспособности системы используется режим восстановления и средства резервного копирования. Средства организации единого пространства пользователей ОС предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. В Astra Linux существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck), режим восстановления ОС Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование) | РА.1: п.17 "Резервное копирование и восстановление данных" РКСЗ.1: п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/woChAQ (Режим восстановления) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/iYPGBg (Средства восстановления повреждённых и удалённых данных) | ||||
| 9 | ОЦЛ.4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) | + | + | Сторонние ПС | - | - | - | - | - | ||
| 9 | ОЦЛ.5 | Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов),методов), и исключение неправомерной передачи информации из информационной системы | Средства Astra Linux, МЭ, Организационные мероприятия, ОРД | - | + | Контроль содержания информации, основанный на свойствах объектов доступа, осуществляется согласно установленной политики дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"). информации и реагирование на них; Контроль вывода содержащих защищаемую информацию документов на печать осуществляется защищенным комплексом печати и маркировки документов из состава Astra Linux. Контроль записи защищаемой информации на съемные машинные носители информации осуществляется средствами разграничения доступа к подключаемым устройствам (udev). Выявление фактов неправомерной передачи защищаемой информации из информационной системы через различные типы сетевых соединений осуществляется с использованием сторонних сертифицированных средств межсетевого экранирования и анализа трафика. | Мандатное управление доступом (Механизм сопоставления мандатного контекста пользователя с уровнем и категориями конфиденциальности устройства, Маркировка документов), Дискреционное управление доступом | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.2 "Мандатное управление доступом", п.13 "Контроль подключения съемных машинных носителей информации", п.14 "Сопоставление пользователя с устройством" РА.1: п.13 "Защищенный комплекс программ печати и маркировки документов" | ||||
| 9 | ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему | Средствами Astra Linux, ОРД, Организационные мероприятия, возможна реализация на уровне прикладного ПО. | - | + | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и классификационной метки объекта (мандатное управление доступом доступно только для режима "Смоленск"). Мандатное управление доступом обеспечивает защиту от угроз безопасности, связанных с возможностью преднамеренных или ошибочных действий пользователей по изменению прав доступа к сущностям, владельцами которых являются пользователи, что не запрещается методом дискреционного управления доступа. | Мандатное управление доступом, Дискреционное управление доступом, режим системного киоска, режим киоск Fly, МКЦ | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.16.2 "Режим Киоск-2" | ||||
| 9 | ОЦЛ.7 | Контроль точности, полноты и правильности данных, вводимых в информационную систему | Прикладное ПО, Средства Astra Linux | + | + | Контроль точности, полноты и правильности данных, вводимых в информационную систему, путем установления и проверки соблюдения форматов ввода данных, синтаксических, семантических и (или) иных правил ввода информации в информационную систему осуществляется с использованием прикладного ПО и средств СУБД. | СУБД | РА.2 | ||||
| ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных и предупреждение пользователей об ошибочных действиях | Прикладное ПО, Средства Astra Linux | + | + | В режиме "Воронеж" ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя и метки целостности объекта (МКЦ доступен только для режимов Astra Linux "Воронеж" и "Смоленск"). Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Мандатный контроль целостности, Дискреционное управление доступом, Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.3 "Дискреционное управление доступом", п.6 "Регистрация событий безопасности" | |||||
| 9 | - | + | В режиме "Смоленск" ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) на основе типа операции (чтение, запись, исполнение), контекста безопасности пользователя, метки целостности и классификационной метки объекта (МКЦ доступен только для режимов Astra Linux "Воронеж" и "Смоленск", мандатное управление доступом доступно только для режима "Смоленск"). Мандатное управление доступом обеспечивает защиту от угроз безопасности, связанных с возможностью преднамеренных или ошибочных действий пользователей по изменению прав доступа к сущностям, владельцами которых являются пользователи, что не запрещается методом дискреционного управления доступа. Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа. | Мандатное управление доступом, Мандатный контроль целостности, Дискреционное управление доступом, Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.6 "Регистрация событий безопасности" | |||||||
| 10 | X. Обеспечение доступности персональных данных (ОДТ) | |||||||||||
| 10 | ОДТ.1 | Использование отказоустойчивых технических средств | Организационно-технические мероприятия, ОРД Дополнительно: Средства Astra Linux | + | + | Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер). Контроль с установленной оператором периодичностью за значениями характеристик (коэффициентов) готовности и надежности технических средств осуществляется с использованием средств централизованного протоколирования и аудита. В состав Astra Linux входят следующие программные средства обеспечения отказоустойчивости и высокой доступности: 1) Keepalived для организации мониторинга и обеспечения высокой доступности узлов и служб; 2) Pacemaker и Corosync, которые позволяют организовать отказоустойчивый режим из экземпляров ОС на нескольких ТС; 3) средство эффективного масштабирования HAProxy; 4) Astra Linux поддерживает распределенную файловую систему Ceph. 5) Для увеличения пропускной способности и повышения надёжности каналов передачи данных применяются механизмы агрегации сетевых каналов. 6) Средства организации ЕПП Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. 7) В ядро Astra Linux встроена программная реализация технологии RAID. | Средства аудита (zabbix), Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), Механизм ограничения системных ресурсов (ulimits) | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16.5.3 "Установка квот на использование системных ресурсов" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | ||||
| 10 | ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | В состав Astra Linux входят следующие программные средства резервирования: 1) Средства обеспечения отказоустойчивости в домене. Средства организации ЕПП в Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена с использованием механизмов репликации, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. Также поддерживается создание обычных резервных копий всей системы и резервных копий данных. 2) Средства обеспечения отказоустойчивости и высокой доступности систем и прикладных сервисов: - для организации мониторинга и обеспечения высокой доступности узлов и служб - Keepalived; - Pacemaker и Corosync, которые позволяют организовать отказоустойчивый режим из экземпляров ОС на нескольких ТС; - средство эффективного масштабирования HAProxy; - распределенная файловая система Ceph. - в ядро Astra Linux встроена программная реализация технологии RAID. 3) Средства резервного копирования и восстановления данных включают утилиты командной строки и распределенные системы управления хранилищами данных: - комплекс программ Bacula; - утилита копирования rsync; - утилиты архивирования tar, cpio, gzip Bacula предоставляет возможность осуществлять полное резервирование ФС, инкрементальное и распределенное резервирование с удаленным управлением. Программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы. Утилита rsync предоставляет возможности для локального и удаленного копирования (резервного копирования) или синхронизации файлов и каталогов с минимальными затратами трафика. Утилиты командной строки tar, cpio, gzip представляют собой традиционные инструменты создания резервных копий и архивирования ФС. 4) Резервирование каналов связи с использованием специальных утилит, позволяющих производить агрегацию каналов связи. 5) Встроенные средства резервирования БД. PostgreSQL поддерживает возможность осуществления SQL-дампов, резервного копирования на уровне ФС и непрерывное архивирование. В процессе перезагрузки после сбоя Astra Linux автоматически выполняет программу проверки и восстановления ФС при помощи утилиты fsck. | Средства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.3.1.5 "Программная организация разделов RAID и тома LVM", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD", п.17 "Резервное копирование и восстановление данных" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | ||||
| 10 | ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | + | Организационные мероприятия, ОРД, Средства Astra Linux | + | + | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов, и принятию мер по восстановлению отказавших средств в соответствии с ОЦЛ.3 | Центр уведомлений (fly-notifications), средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix). | РКСЗ.1: п.6 "Регистрация событий безопасности" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) Справка Astra Linux по работе с программой просмотра файлов журналов ksystemlog | |||
| 10 | ОДТ.4 | Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных | + | + | Организационные мероприятия, Средства Astra Linux, ОРД | + | + | Для выполнения операций периодического резервного копирования информации с сохранением мандатных атрибутов и атрибутов аудита в ОС применяется: 1) комплекс программ Bacula (предоставляет возможность осуществлять полное резервирование ФС, инкрементальное и распределенное резервирование с удаленным управлением) 2) утилита rsync 3) утилита tar (программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы) 4) PostgreSQL поддерживает возможность осуществления SQL-дампов, резервного копирования на уровне ФС и непрерывное архивирование. 5) Средства организации ЕПП Astra Linux предоставляют возможность резервного копирования данных и системы, развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.17 "Резервное копирование и восстановление данных", п.8.3.8.1 "Создание резервной копии и восстановление", п.8.2.6.9 "Создание резервного сервера ALD" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) | ||
| 10 | ОДТ.5 | Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала | + | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Для выполнения операций восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита в ОС применяется: 1) комплекс программ Bacula (предоставляет возможность осуществлять полное резервирование ФС, инкрементальное и распределенное резервирование с удаленным управлением) 2) утилита rsync 3) утилита tar (программа tar с ключем —xattrs позволяет сохранять и восстанавливать классификационные метки объектов файловой системы) 4) В случае возникновения ошибок в хранящихся данных, нарушению целостности или в случае программного и/или аппаратного сбоя сервера СУБД необходимо проведение процедуры восстановления БД. При этом, в зависимости от тяжести повреждений может осуществляться как сохранение существующего кластера БД, с последующим его восстановлением, так и восстановление из резервных копий, созданных в процессе регулярного проведения регламентных работ. 5) Средства организации ЕПП Astra Linux предоставляют возможность резервного копирования и восстановления данных и системы. | Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Резервирование в домене (ALD, FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), механизм проверки и восстановления ФС (fsck) | РА.1: п.17 "Резервное копирование и восстановление данных", п.8.3.8.2 "Создание резервного сервера FreeIPA", п.8.2.6.9 "Создание резервного сервера ALD" РКСЗ.1 п.10 "Надежное функционирование" https://wiki.astralinux.ru/x/dQHGAg (BACULA) https://wiki.astralinux.ru/x/roh0Ag (Архивирование и восстановление файлов с сохранением мандатных атрибутов) Справка Astra Linux по работе с утилитой планирования запуска задач fly-admin-cron | ||
| 12 | XII. Защита технических средств (ЗТС) | |||||||||||
| 12 | ЗТС.1 | Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам | Организационно-технические мероприятия | - | - | - | - | - | ||||
| 12 | ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | Организационно-технические мероприятия | - | - | - | - | - | ||||
| 12 | ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены | + | + | + | + | Организационно-технические мероприятия, СДЗ | - | - | - | - | - |
| 12 | ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | + | Организационно-технические мероприятия | - | - | - | - | - |
| 12 | ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | Организационно-технические мероприятия | - | - | - | - | - | ||||
| 13 | XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |||||||||||
| 13 | ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы | + | Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации осуществляется в соответствии с организационно-распорядительной документацией путем установки соответствующих прав и привилегий локально с помощью инструментов управления политикой безопасности, инструментов управления СУБД или централизованно с использованием средств управления доменом. Для ограничения пользовательской среды исполнения реализован специальный режимом ограничения действий пользователя - режим "киоск", который служит для ограничения прав пользователей на запуск программ в системе. Степень этих ограничений задается маской киоска, которая накладывается на права доступа к исполняемым файлам при любой попытке пользователя получить доступ. Для установки прав доступа существует система профилей — файлы с готовыми наборами прав доступа для запуска каких-либо программ, и возможность создания таких профилей под любые пользовательские задачи. Применение МКЦ из состава ОС обеспечивает дополнительный уровень разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями через установку соответствующих уровней целостности пользователям (системных и привилегированных). | МКЦ, Управление полномочиями (привилегиями) локальных пользователей (fly-admin-smc), управление полномочиями (привилегиями/ролями) доменных пользователей (ALD/ FreeIPA), Санкции PolicyKit-1, ЕПП, Управление СУБД, Системный и графический киоск | см. раздел II. УПД РА.1: п.3.3 "Управление пользователями" ОП: п.4.1.3 "Организация ЕПП" РКСЗ.1: п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и контроль целостности", https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/zQC4B (Сравнение работы режима Киоск-2 и режима киоска) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | |||
| 13 | ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | Средства Astra Linux | + | + | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов. При обычном запуске все задачи имеют один и тот же приоритет, и ОС равномерно распределяет между ними процессорное время. С помощью утилиты можно понизить приоритет той или иной задачи, предоставив другим задачам больше процессорного времени. Понизить или повысить приоритет задачам имеет право только суперпользователь. | Системные сервисы и компоненты (nice, renice, kill, nohup, ps) | РА.1: п.4.3.2 "Администрирование многопользовательской и многозадачной среды" | ||||
| 13 | ЗИС.3 | Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + | + | + | + | ОРД, СКЗИ, МЭ, Организационно-технические мероприятия Дополнительно: Средства Astra Linux | - | - | Защита информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, обеспечивается путем защиты каналов связи от несанкционированного физического доступа к ним и применением в соответствии с законодательством Российской Федерации сертифицированных средств криптографической защиты информации, и применением сертифицированных средств межсетевого экранирования. В качестве дополнительной меры при сетевом доступе в рамках ЛВС могут применяться средства OpenVPN* и сервис электронной подписи (СЭП) из состава ОС СН (средства не являются сертифицированными СКЗИ). *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Дополнительно: Сервис электронной подписи (СЭП) | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.9.5 «Сервис электронной подписи» https://wiki.astralinux.ru/x/PIOhAQ (OpenVPN) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) |
| 13 | ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) | Средства Astra Linux, СКЗИ | + | + | При сетевом доступе реализуется сертифицированными криптографическими средствами защиты информации. При организации ЕПП доверенный канал дополнительно обеспечивается применением сквозной доверенной аутентификации. При локальном доступе доверенный канал обеспечивается функциями аутентификации и сохранением контекста безопасности в процессе работы. Подсистема мандатного контроля целостности обеспечивает возможность модификации системного программного обеспечения (исполняемых файлов СЗИ, библиотек) или его поведения (конфигурация, наборы входных данных) только доверенным пользователям (высокоцелостным администраторам); В качестве дополнительной меры при сетевом доступе в рамках ЛВС возможно применение встроенных в Astra Linux средства OpenVPN*. *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Поддержка двухфакторной аутентификации (PAM, ЕПП), Мандатный контроль целостности (МКЦ), Дискреционное разграничение доступа | РА.1: п.6.10 "Средство создания защищенных каналов", п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" РКСЗ.1: п.7.1 "Изоляция процессов" | ||||
| 13 | ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | Средства Astra Linux, МЭ, Организационно-технические мероприятия | + | + | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, контроль доступа к подключаемым устройствам в соответствии с установленными правилами, а также применением механизма фильтрации сетевых пакетов (не является сертифицированным МЭ). Использование мандатного контроля целостности (МКЦ) позволит исключить возможность несанкционированного изменения конфигурации модулей, отвечающих за работу соответствующих периферийных устройств. | МКЦ, дискреционное управление доступом, управление драйверами/устройствами. Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables) | РКСЗ.1: п.11 "Фильтрация сетевого потока", п.3 "Дискреционное управление доступом" РА.1: п.3 "Системные компоненты", п.4 "Системные сервисы, состояния и команды" https://wiki.astralinux.ru/x/NwLUCg (Блокировка устройств) Справка Astra Linux по работе с утилитами управления политикой безопасности fly-admin-smc, программой управления санкциями PolicyKit-1 | ||||
| 13 | ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с персональными данными, при обмене ими с иными информационными системами | Организационно-технические мероприятия, СКЗИ, МЭ, средства однонаправленной передачи информации, Средства Astra Linux | - | + | Для поддержки мандатного управления доступом в сетевые пакеты протокола IPv4 (IPv6) внедряются классификационные метки. Передача атрибутов информации в Astra Linux осуществляется в соответствии с политикой управления доступом. Защита при передаче реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением сертифицированных средств защиты канала передачи информации. Дополнительно с целью контроля сетевых потоков на уровне узла может использоваться функция фильтрации и контроля сетевых потоков Astra Linux (netfilter) с поддержкой фильтрации на основе классификационных меток (не является сертифицированным МЭ) При сетевом доступе в рамках ЛВС в качестве дополнительной меры обеспечения целостности заголовка IP-пакетов, содержащего классификационную метку, допускается применение программного средства Astra Linux, обеспечивающего подлинность и целостность передаваемых данных (OpenVPN*). *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Мандатное управление доступом Дополнительно: Система фильтрации сетевых пакетов (netfilter/iptables), Модуль astralabel | РА.1: п.6.10 "Средство создания защищенных каналов" РКСЗ.1: п.4.2 "Мандатное управление доступом", п.4.13 "Сетевое взаимодействие", п.9 "Контроль целостности", п.11 "Фильтрация сетевого потока" | ||||
| 13 | ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | Средства Astra Linux, ОРД | + | + | В составе установочного диска Astra Linux отсутствуют средства связанные с технологиями мобильного кода использующими Java, ActiveX, VBScript. Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами ограничения программной среды. Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | Средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), средства просмотра журналов (fly-event-viewer, ksystemlog), средства аудита (syslog-ng-mod-astra, auditd, zabbix), ограничивающие функции безопасности (astra-interpreters-lock) | РКСЗ.1: п.6 "Регистрация событий безопасности", п.16 "Ограничение программной среды", п.16.5 "Функции безопасности системы" https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) | ||||
| 13 | ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | Организационно-технические мероприятия, ОРД | - | - | - | - | - | ||||
| 13 | ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | Организационно-технические мероприятия, ОРД | - | - | - | - | - | ||||
| 13 | ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам | Средства Astra Linux | + | + | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен). | DNS | РА.1: п.6.5 "Служба DNS" https://wiki.astralinux.ru/x/yIOhAQ (DNS-сервер BIND9) | ||||
| 13 | ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | + | + | СКЗИ, МЭ Дополнительно: Средства Astra Linux | + | + | Подлинность сетевых соединений обеспечивается применением сертифицированных средств построения защищенных каналов и средств межсетевого экранирования. В домене подлинность сетевых соединений дополнительно обеспечивается средствами организации сквозной доверенной аутентификации (ЕПП) из состава ОС СН. При сетевом доступе в рамках ЛВС в качестве дополнительной меры обеспечения целостности пакетов допускается применение программного средства OpenVPN* из состава Astra Linux. *Средство OpenVPN не является сертифицированным криптографическим средством защиты информации. Не может применяться в целях организации удаленного защищенного доступа через внешние информационно-телекоммуникационные сети. | Организация ЕПП (Kerberos) | РА.1: п.6.10 "Средство создания защищенных каналов", п.8.1 "Архитектура ЕПП" | ||
| 13 | ЗИС.12 | Исключение возможности отрицания пользователем факта отправки персональных данных другому пользователю | Организационно-технические мероприятия, СКЗИ | - | - | - | - | - | ||||
| 13 | ЗИС.13 | Исключение возможности отрицания пользователем факта получения персональных данных от другого пользователя | Организационно-технические мероприятия, СКЗИ | - | - | - | - | - | ||||
| 13 | ЗИС.14 | Использование устройств терминального доступа для обработки персональных данных | Организационно-технические мероприятия, Средства Astra Linux | + | + | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологией «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службой виртуальных рабочих столов. | LTSP | https://wiki.astralinux.ru/x/EIQyAw | ||||
| 13 | ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных | + | + | Средства Astra Linux, СКЗИ | + | + | Защита файлов, не подлежащих изменению, обеспечивается принятием мер защиты информации, направленных на обеспечение их конфиденциальности и целостности: применением правил дискреционного разграничения доступа и средств регламентного контроля целостности, применением средств мандатного контроля целостности объектов файловой системы, средств внедрения цифровой подписи в расширенные атрибуты объектов файловой системы с целью контроля их неизменности. Ручная разметка жесткого диска при установке ОС позволяет применить режим монтирования "только для чтения" и защитное преобразование данных для отдельных дисковых разделов. | Контроль расширенных атрибутов (ЗПС), Мандатный контроль целостности (МКЦ), Контроль целостности (Afick), Дискреционное разграничение доступом. | РКСЗ.1: п.3 "Дискреционное управление доступом", п.4.3 "Мандатный контроль целостности", п.9.4 "Средства регламентного контроля целостности", п.16 "Ограничение программной среды" | ||
| - | + | На максимальном уровне защищенности защита файлов обеспечивается применением правил мандатного разграничения доступа. | Мандатное разграничение доступа. | |||||||||
| 13 | ЗИС.16 | Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов | Средства Astra Linux | - | + | В Astra Linux идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №76. Условиями исключения скрытых каналов является реализуемая Astra Linux политика дискреционного и мандатного управления доступом (мандатное управление доступом доступно только для режима "Смоленск"), мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой областей оперативной памяти и обеспечение запуска процессов в замкнутой относительно остальных процессов среде по памяти (режимы МКЦ и механизм очистки освобождаемой внешней памяти доступны только для режимов Astra Linux "Воронеж" и "Смоленск"). | Мандатное управление доступом, МКЦ, Дискреционное управление доступом, Изоляция процессов, Механизм очистки внешней памяти (astra-secdel-control), режим киоска, блокировка запуска программ df,chattr,arp,ip | РКСЗ.1: п.17.4 "Условия исключения скрытых каналов", п.3 "Дискреционное управление доступом", п.4 "Мандатное управление доступом и мандатный контроль целостности", п.7.1 "Изоляция процессов", п.8.1 "Очистка памяти", п.16.2 "Киоск-2", п.16.5.12 "Блокировка запуска программ пользователя" | ||||
| 13 | ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | + | + | Организационно-технические мероприятия, МЭ | - | - | Реализуется сертифицированными средствами межсетевого экранирования. Разбиение информационной системы на сегменты может быть обеспечено с использованием штатных средств Astra Linux, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, а также с использованием средств организации домена. | VLAN, ЕПП | https://wiki.astralinux.ru/x/8w0AB (VLAN) | ||
| 13 | ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспечения | Средства Astra Linux, Организационно-технические мероприятия | + | + | Загрузка и исполнение на средствах вычислительной техники программного обеспечения с машинных носителей информации, доступных только для чтения, осуществляется под контролем средств разграничения доступа к таким носителям и средства динамического контроля целостности, обеспечивающего проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF (режим ЗПС доступен только для режимов Astra Linux "Воронеж" и "Смоленск"). С целью защиты коревой файловой системы от изменений возможно применение инструмента astra-overlay для организации режима работы «только чтение». | Средства управления регистрацией и учетом устройств (fly-admin-smc, FreeIPA, ALD), Средства разграничения доступа к подключаемым устройствам (udev), Контроль целостности (Afick), ЗПС, Средства ограничения программной среды (astra-overlay) | РА.1: п.18 "Средства разграничения доступа к подключаемым устройствам" РКСЗ.1: п.16 "Ограничение программной среды", доп: п.16.5.21 "Включение на файловой системе режима работы "только чтение" https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) https://wiki.astralinux.ru/x/6oR0Ag (Режим замкнутой программной среды) Справка Astra Linux по работе с утилитой управления политикой безопасности fly-admin-smc | ||||
| 13 | ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | Средства Astra Linux | + | + | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре Astra Linux. Одни и те же виртуальные адреса (с которыми и работает процессор) преобразуются в разные физические для разных адресных пространств. Процесс не может несанкционированным образом получить доступ к пространству другого процесса, т. к. непривилегированный пользовательский процесс лишен возможности работать с физической памятью напрямую. Механизм разделяемой памяти является санкционированным способом получить нескольким процессам доступ к одному и тому же участку памяти и находится под контролем дискреционных и мандатных ПРД. Адресное пространство ядра защищено от прямого воздействия пользовательских процессов с использованием механизма страничной защиты. | Изоляция процессов | РКСЗ.1: п.7 "Изоляция процессов" | ||||
| 13 | ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | + | + | + | СКЗИ, Организационно-технические мероприятия, ОРД, Средства Astra Linux | + | + | Для защиты беспроводных соединений в соответствии с законодательством Российской Федерации должны применяться сертифицированные средства криптографической защиты информации. Дополнительно: Ограничение на использование беспроводных соединений в ОС реализуется средствами Astra Linux, обеспечивающими контроль использования технологий беспроводного доступа на основе установленной администратором политики выполнения привилегированных действий (Санкции PolicyKit-1), дискреционного разграничения доступом и управления драйверами устройств. | Дополнительно: Санкции PolicyKit-1, дискреционное управление доступом, управление драйверами/устройствами | РКСЗ.1: п.3 "Дискреционное управление доступом" https://wiki.astralinux.ru/x/NwLUCg (Блокировка устройств) Справка Astra Linux по работе программой управления санкциями PolicyKit-1 | |
| 11 | XI. Защита среды виртуализации (ЗСВ) | |||||||||||
| 11 | ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + | + | + | + | Средства Astra Linux | + | + | Идентификация и аутентификация пользователей осуществляется с использованием встроенных в Astra Linux механизмов идентификации и аутентификации пользователей согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7 с учетом требований ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения». Доступ к серверу виртуализации libvirt для управления средствами виртуализации и доступ непосредственно к рабочему столу виртуальной машины при их локальном и удаленном обращении осуществляется только после прохождения процессов идентификации и аутентификации субъектов доступа в Astra Linux. Взаимная идентификация и аутентификация пользователей и средства виртуализации при удаленном доступе возможна c использованием удаленной SSH-аутентификации, а также с использованием сетевого протокола сквозной доверенной аутентификации в ЕПП (удаленная SASL аутентификация с поддержкой̆ Kerberos). Аутентификация объектов доступа в виртуальной инфраструктуре, запускаемых и исполняемых модулей программного обеспечения виртуальной инфраструктуры реализуется с использованием: - механизма контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на исполнение; - механизма контроля целостности файлов при их открытии на основе ЭП в расширенных атрибутах файловой системы; - механизма контроля целостности средства виртуализации «отпечаток конфигурации». | Защита среды виртуализации (идентификация и аутентификация пользователей при доступе к виртуальной инфраструктуре), Средства виртуализации (KVM, QEMU, libvirt), средства управления виртуализацией (virt-manager, virsh), Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС), Механизм контроля целостности в средстве виртуализации «отпечаток конфигурации» | РКСЗ.1: п.5.5 "Идентификация и аутентификация пользователей в среде виртуализации", п.5.6 "Доверенная загрузка виртуальных машин", п.5.7 "Контроль целостности в среде виртуализации". РА.1: п.9.1.7 "Идентификация и аутентификация при доступе к серверу виртуализации libvirt" РА.1: п.9.1.8 "Идентификация и аутентификация при доступе к рабочему столу виртуальных машин" Справочный центр: https://wiki.astralinux.ru/x/cQIy (Виртуализация QEMU/KVM в Astra Linux) |
| 11 | ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + | + | + | + | Средства Astra Linux | + | + | Работа в среде виртуализации libvirt подчиняется правилам дискреционного управления доступом и возможна только после прохождения обязательной процедуры идентификации и аутентификации. Монитор обращений контролирует доступ к средствам управления виртуальной инфраструктурой, виртуальным машинам (ВМ), файлам-образам ВМ, виртуальному аппаратному обеспечению, к гипервизору и служебным данным. Дискреционное управление доступом при работе с сервером виртуализации libvirt осуществляется драйвером доступа parsec, специально разработанным с использованием прикладного программного интерфейса драйверов доступа libvirt. Основанием для принятия решения о предоставлении доступа к ВМ является сравнение дискреционных атрибутов ВМ и дискреционных атрибутов пользователя с учетом выполняемой операции и режима запуска ВМ. Также в средстве виртуализации реализован механизм ролевого управления доступом, который базируется на совместном применении драйвера доступа parsec и драйвера доступа Polkit, обеспечивающего разграничение возможностей выполнения привилегированных операций с объектами виртуализации. Управление доступом в виртуальной инфраструктуре осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12. | Средства виртуализации (KVM, QEMU, libvirt), Защита среды виртуализации (драйвер дискреционного управления доступом parsec, драйвер ролевого управления polkit), средства управления виртуализацией (virt-manager, virsh) | РКСЗ.1: п.5.1 "Дискреционное управление доступом в среде виртуализации", п.5.2 "Ролевое управление доступом в среде виртуализации", п.5.3 "Мандатное управление доступом в среде виртуализации", п.5.4 "Режим «только чтение»: запрет модификации образа виртуальной машины" Справочный центр: https://wiki.astralinux.ru/x/cQIy (Виртуализация QEMU/KVM в Astra Linux) |
| - | + | В режиме Astra Linux "Максимальный" работа в среде виртуализации libvirt подчиняется правилам как дискреционного, так и мандатного управления доступом и возможна только после прохождения обязательной процедуры идентификации и аутентификации. Дискреционное и мандатное управление доступом при работе с сервером виртуализации libvirt осуществляется драйвером доступа parsec, специально разработанным с использованием прикладного программного интерфейса драйверов доступа libvirt. | Дополнительно: Защита среды виртуализации (драйвер мандатного управления доступом parsec) | |||||||||
| 11 | ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + | + | + | Средства Astra Linux | + | + | Регистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5. Сбор, запись и хранение информации о событиях безопасности осуществляются подсистемой регистрации событий Astra Linux (службой auditd, модулем фильтрации и обработки syslog-ng-mod-astra с участием демона libvirtd). Регистрация осуществляется согласно заданным правилам в системные журналы в каталогах /var/log/ и /var/log/audit/, а также в защищенный журнал /parsec/log/astra/events/. Определение перечня событий, необходимых для регистрации и учета, выполняется с использованием утилиты fly-admin-events («Настройка регистрации системных событий»). Просмотр и анализ журналов событий безопасности осуществляется администратором с использованием консольных инструментов (ausearch, aureport, aulast, auvirt, journalctl) и графических утилит fly-event-viewer (просмотр журнала /parsec/log/astra/events) и ksystemlog. Информирование администратора о событиях безопасности осуществляется с использованием «Центра уведомлений» (fly-notifications). Реагирование системы на события безопасности задается с использованием утилиты «Настройка регистрации системных событий» (fly-admin-events). Для решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix. | Средства виртуализации (демон libvirtd), Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), Центр уведомлений (fly-notifications) | РКСЗ.1: п.5.8 "Регистрация событий безопасности в среде виртуализации", п.6 "Регистрация событий безопасности" Справочный центр: https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
| 11 | ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | МЭ, Средства Astra Linux, СКЗИ | + | + | Реализуется с применением сертифицированных средств межсетевого экранирования. Дополнительно может использоваться функция управления потоками информации в виртуальной инфраструктуре. Для управления потоками информации в виртуальной инфраструктуре на канальном и сетевом уровнях применяются следующие встроенные механизмы управления потоками Astra Linux, обеспечивающие сетевую фильтрацию того или иного типа: - драйвер виртуальных сетей libvirt (обеспечивает изолированное мостовое устройство, к которому подключены гостевые TAP-устройства, возможна работа в режимах isolated, NAT, forward); - драйвер сетевых фильтров libvirt (обеспечивает полностью настраиваемую сетевую фильтрацию трафика на гостевых сетевых адаптерах с использованием сетевых фильтров nwfilter) (не является сертифицированным МЭ); - изоляция сетей с помощью VLAN (с применением программного многоуровневого коммутатора Open vSwitch). Для реализации меры использование только штатных средств может быть недостаточно. При построении виртуальных инфраструктур рекомендуется применение совместимых с Astra Linux сертифицированных МЭ: https://wiki.astralinux.ru/x/jJJYDw | Средства виртуализации (KVM, QEMU, libvirt), Защита среды виртуализации (драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), VLAN, Open vSwitch, средства управления виртуализацией (virt-manager, virsh) | РКСЗ.1: п.5.10 "Управление потоками информации в среде виртуализации" РА.1: п.6.8 "Программный коммутатор Open vSwitch" Справочный центр: https://wiki.astralinux.ru/x/jJJYDw (Межсетевые экраны в среде виртуализации Astra Linux) | ||||
| 11 | ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | Средства Astra Linux, СДЗ | + | + | Доверенная загрузка виртуальных машин обеспечивается: - с использованием механизма контроля целостности файлов при их открытии на основе ЭЦП (режим ЗПС) для обеспечения динамического контроля целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода (первичного загрузчика виртуальной машины); - с использованием механизма запрета запуска исполняемых файлов и разделяемых библиотек с неверной ЭЦП, а также без ЭЦ (режим ЗПС) для контроля целостности исполняемых файлов средства виртуализации; - с использованием механизма контроля целостности в средстве виртуализации «отпечаток конфигурации», осуществляющего динамический контроль целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода. При выявлении нарушения целостности объектов контроля осуществляется блокировка их запуска. Для обеспечения доверенной загрузки ЭВМ необходимо использовать сертифицированные средства доверенной загрузки или аппаратно-программные модули доверенной загрузки. | Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС), Защита среды виртуализации (механизм контроля целостности в средстве виртуализации «отпечаток конфигурации») | РКСЗ.1: п.5.6 "Доверенная загрузка виртуальных машин" | ||||
| 11 | ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | Организационные мероприятия, Средства Astra Linux | + | + | Средства виртуализации из состава Astra Linux поддерживают возможность миграции виртуальных машин с одного физического хоста на другой без остановки ее работы. Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствам виртуализации Libvirt в соответствии с установленными правилами сетевого взаимодействия. В среде виртуализации реализовано создание, модификация, хранение, получение и удаление (в т.ч. централизованное) образов виртуальных машин. Для централизованного хранения образов ВМ используются хранилища данных, построенные на базе кластерной файловой системы ocfs2 или блочных устройств ceph/rbd. | Средства виртуализации (KVM, QEMU, libvirt), средства управления виртуализацией (virt-manager, virsh), Защита среды виртуализации (механизм централизованного хранения образов ВМ, механизм миграции ВМ) | РКСЗ.1: п.5.14 "Централизованное управление" | ||
| 11 | ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | + | + | Средства Astra Linux | + | + | Контроль целостности виртуальной инфраструктуры и ее конфигураций в режиме Astra Linux "Базовый" реализуется с использованием механизма регламентного контроля целостности AFICK. Контроль целостности виртуальной инфраструктуры и ее конфигураций реализуется: - с использованием механизма контроля целостности файлов при их открытии на основе ЭЦП (режим ЗПС) для обеспечения динамического контроля целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода (первичного загрузчика виртуальной машины); - с использованием механизма запрета запуска исполняемых файлов и разделяемых библиотек с неверной ЭЦП, а также без ЭЦ (режим ЗПС) для контроля целостности исполняемых файлов средства виртуализации; - с использованием механизма контроля целостности средства виртуализации «отпечаток конфигурации», осуществляющего динамический контроль целостности конфигурации виртуального оборудования виртуальных машин, параметров настройки средства виртуализации и файлов виртуальной базовой системы ввода-вывода; - с использованием механизм регламентного контроля целостности AFICK. | Контроль исполняемых файлов (ЗПС), Контроль расширенных атрибутов (ЗПС), Защита среды виртуализации (механизм контроля целостности в средстве виртуализации «отпечаток конфигурации»), средства регламентного контроля целостности AFICK | РКСЗ.1: п.5.6 "Контроль целостности в среде виртуализации", п.5.12 "Применение механизма контроля целостности областей памяти по запросу из гостевой ОС", п.9 "Контроль целостности", п.16.1 "Замкнутая программная среда" | ||
| 11 | ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | + | + | Организационно-технические мероприятия, Средства Astra Linux | + | + | Резервное копирование образов виртуальных машин и конфигурации виртуального оборудования виртуальных машин, а также параметров настройки средств виртуализации и сведений о событиях безопасности реализуется с использованием встроенных в средства виртуализации Astra Linux механизмов резервного копирования (инструментов командной строки virsh backup-begin, virsh dumpxml и virsh snapshot-create), а также встроенных в Astra Linux средств резервного копирования, средств кластеризации и создания распределенных хранилищ информации, механизмов агрегации каналов. | Защита среды виртуализации (механизмы резервного копирования средства виртуализации virsh backup-begin, virsh dumpxml, virsh snapshot-create), Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Cредства обеспечения отказоустойчивости и высокой доступности (Ceph, OCFS2, bounding) | РКСЗ.1 п.5.9 "Резервное копирование в среде виртуализации", п.10 "Надежное функционирование" РА.1: п.7 "Средства обеспечения отказоустойчивости и высокой доступности", п.17 "Резервное копирование и восстановление данных" Справочный центр: https://wiki.astralinux.ru/x/uhx0CQ (Механизмы агрегации сетевых каналов) | ||
| 11 | ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + | + | + | САВЗ | - | - | Реализуется сертифицированными САВЗ | - | - | |
| 11 | ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей | + | + | + | МЭ, Организационно-технические мероприятия, Средства Astra Linux | + | + | Реализуется с применением сертифицированных средств межсетевого экранирования. Дополнительно могут использоваться штатные средства ОС, реализующие технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, с применением программного многоуровневого коммутатора Open vSwitch, а также драйвера виртуальных сетей libvirt и драйвера сетевых фильтров nwfilter (не является сертифицированным МЭ). Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре ОС. При построении виртуальных инфраструктур рекомендуется применение совместимых с Astra Linux сертифицированных МЭ: https://wiki.astralinux.ru/x/jJJYDw | VLAN, Open vSwitch, Защита среды виртуализации (драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Средства организации ЕПП | РКСЗ.1: п.5.10 "Управление потоками информации в среде виртуализации" РА.1: п.6.8 "Программный коммутатор Open vSwitch" Справочный центр: https://wiki.astralinux.ru/x/8w0AB (VLAN) | |
| 14 | XIV. Выявление инцидентов и реагирование на них (ИНЦ) | |||||||||||
| 14 | ИНЦ.1 | Определение лиц, ответственных за выявление инцидентов и реагирование на них | + | + | Организационные мероприятия | - | - | - | - | - | ||
| 14 | ИНЦ.2 | Обнаружение, идентификация и регистрация инцидентов | + | + | Средства Astra Linux, SIEM | - | - | - | - | - | ||
| 14 | ИНЦ.3 | Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами | + | + | Организационные мероприятия | - | - | - | - | - | ||
| 14 | ИНЦ.4 | Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий | + | + | Организационные мероприятия | - | - | - | - | - | ||
| 14 | ИНЦ.5 | Принятие мер по устранению последствий инцидентов | + | + | Организационные мероприятия | - | - | - | - | - | ||
| 14 | ИНЦ.6 | Планирование и принятие мер по предотвращению повторного возникновения инцидентов | + | + | Организационные мероприятия | - | - | - | - | - | ||
| 15 | XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ) | |||||||||||
| 15 | УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных | + | + | + | Организационные мероприятия | - | - | - | - | - | |
| 15 | УКФ.2 | Управление изменениями конфигурации информационной системы и системы защиты персональных данных | + | + | + | Средства Astra Linux | + | + | Управление изменениями конфигурации, применение и контроль параметров настройки компонентов программного обеспечения могут быть реализованы с использованием программных средств управления конфигурациями. Управление изменениями осуществляется в соответствии с установленными правилами разграничения доступа, изменения учитываются при регистрации событий безопасности, связанных с этими изменениями. | Средства управления конфигурациями (Ansible/Puppet/Foreman), Средства аудита (syslog-ng-mod-astra, auditd, zabbix), Средства просмотра журналов (fly-event-viewer, ksystemlog), Средства управления протоколированием (fly-admin-events, fly-admin-smc, system-config-audit), Центр уведомлений (fly-notifications) | РКСЗ.1: п.6 "Регистрация событий безопасности" РА.1: п.5 "Управление программными пакетами", п.6.11 "Средство удаленного администрирования Ansible" https://wiki.astralinux.ru/x/E4NOAg (Шаблоны для Zabbix) https://wiki.astralinux.ru/x/-4JOAg (Zabbix) | |
| 15 | УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных | + | + | + | Организационные мероприятия | - | - | - | - | - | |
| 15 | УКФ.4 | Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных | + | + | + | Организационные мероприятия | - | - | - | - | - | |