Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-01 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
| Код | Меры системы защиты информации | Уровень защиты информации | Средства реализации | Режимы ОС СН | Способ реализации меры защиты с использованием штатных средств ОС СН | Способ реализации меры защиты совместным использованием ОС СН с иными средствами защиты или с применением организационно-технических мероприятий | Компоненты ОС СН | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации ОС СН | |||
| 3 | 2 | 1 | Усиленный | Максимальный | |||||||
| 7.8.3 Базовый состав мер по организации идентификации, аутентификации, авторизации (разграничения доступа) при осуществлении логического доступа к виртуальным машинам и серверным компонентам виртуализации применительно к уровням защиты информации | |||||||||||
| ЗCВ.1 | Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности | Н | Т | Н | Средства ОС СН | + | + | Разграничение одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала в пределах одного контура безопасности осуществляется с использованием драйвера доступа parsec из состава ОС СН, специально разработанным с использованием прикладного программного интерфейса драйверов доступа сервера виртуализации libvirt, совместно со следующими средствами защиты информации ОС СН: - мандатным управлением доступом (доступно только для режима ОС СН "Максимальный"); - дискреционным управлением доступом; - средствами организации ЕПП; - средствами управления потоками информации; - изоляцией процессов. Основанием для принятия решения о предоставлении доступа является сравнение дискреционных атрибутов виртуальной машины и дискреционных атрибутов пользователя с учетом выполняемой операции (а также сравнении меток безопасности виртуальной машины и пользователя в режиме ОС СН "Максимальный"). Контроль доступа осуществляется с использованием штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Дискреционное управление доступом, Мандатное управление доступом, Средства организации ЕПП (ALD, FreeIPA), Изоляция процессов, Регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.8 (Средства организации единого пространства пользователей) РКСЗ.1: п.1.3 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и мандатный контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.7 (Изоляция процессов) РКСЗ.1: п.11 (Фильтрация сетевого потока) |
| ЗCВ.2 | Разграничение и контроль осуществления одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала только в пределах одного контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Н | Т | Средства ОС СН | + | + | Разграничение одновременного доступа к виртуальным машинам с АРМ пользователей и эксплуатационного персонала в пределах одного контура безопасности на уровне не выше третьего (сетевого) по семиуровневой стандартной модели взаимодействия открытых систем осуществляется cовместным применением встроенных средств управления потоками (встроенного в ядро ОС СН фильтра сетевых пакетов netfilter, драйвера виртуальных сетей libvirt, драйвера сетевых фильтров libvirt nwfilter) со следующими средствами защиты информации ОС СН: - мандатным управлением доступом (доступно только для режима ОС СН "Максимальный"); - дискреционным управлением доступом; - средствами организации ЕПП. Принятие решения о предоставлении доступа выполняется на основании установленных правил управления потоками, дискреционных атрибутов виртуальной машины и дискреционных атрибутов подключающегося пользователя с учетом выполняемой операции (а также сравнении меток безопасности виртуальной машины и пользователя в режиме ОС СН "Максимальный"). Контроль доступа осуществляется с использованием штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter, VLAN), Мандатное управление доступом, Дискреционное управление доступом, Средства организации ЕПП (ALD, FreeIPA), Регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.8 (Средства организации единого пространства пользователей) РКСЗ.1: п.1.3 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.7 (Изоляция процессов) РКСЗ.1: п.11 (Фильтрация сетевого потока) |
| ЗCВ.3 | Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности | Н | Т | Н | Средства ОС СН | + | + | Разграничение и контроль одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности осуществляется с использованием интерфейсов управления средствами виртуализации libvirt совместно со следующими средствами защиты информации ОС СН: - дискреционным управлением доступом; - мандатным управлением доступом (доступно только для режима ОС СН "Максимальный"); - средствами организации ЕПП; - изоляцией процессов; - средствами управления потоками; - средствами протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Дискреционное управление доступом, Мандатное управление доступом, Средства организации ЕПП (ALD, FreeIPA), Изоляция процессов, Регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.8 (Средства организации единого пространства пользователей) РКСЗ.1: п.1.3 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.7 (Изоляция процессов) РКСЗ.1: п.11 (Фильтрация сетевого потока) |
| ЗCВ.4 | Разграничение и контроль осуществления одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Н | Т | Средства ОС СН | + | + | Разграничение и контроль одновременного доступа виртуальных машин к системе хранения данных в пределах контура безопасности осуществляется с использованием интерфейсов управления средствами виртуализации libvirt совместно со средствами управления потоками (встроенного в ядро ОС СН фильтра сетевых пакетов netfilter, драйвера виртуальных сетей libvirt, драйвера сетевых фильтров libvirt nwfilter), совместно со следующими средствами защиты информации: - дискреционным управлением доступом; - мандатным управлением доступом (доступно только для режима ОС СН "Максимальный"); - средствами организации ЕПП; - средствами протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter, VLAN), Дискреционное управление доступом, Мандатное управление доступом, Средства организации ЕПП (ALD, FreeIPA), Регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.8 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.7 (Изоляция процессов) РКСЗ.1: п.8 (Защита памяти) РКСЗ.1: п.11 (Фильтрация сетевого потока) |
| ЗCВ.5 | Идентификация и аутентификация пользователей серверными компонентами виртуализации и (или) средствами централизованных сервисов аутентификации при предоставлении доступа к виртуальным машинам | Т | Т | Т | Средства ОС СН | + | + | Идентификация и аутентификация пользователей при предоставлении доступа к виртуальным машинам осуществляется с использованием встроенных в ОС СН механизмов идентификации и аутентификации пользователей. Основанием для принятия решения о предоставлении доступа является сравнение дискреционных атрибутов виртуальной машины и дискреционных атрибутов аутентифицированного в ОС СН пользователя с учетом выполняемой операции (а также сравнении меток безопасности виртуальной машины и пользователя в режиме ОС СН "Максимальный"). | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Идентификация и аутентификация (peer-cred, SSH, SASL, TLS), Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.8 (Средства организации единого пространства пользователей) РКСЗ.1: п.1.3 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗCВ.6 | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине | Н | Т | Н | Средства ОС СН | + | + | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных к одной виртуальной машине, осуществляется совместным применением встроенных в ОС СН механизмов идентификации и аутентификации, дискреционного управления доступом, мандатного управления доступом (доступно только для режима ОС СН "Максимальный"). Основанием для принятия решения о предоставлении доступа является сравнение дискреционных атрибутов виртуальной машины и дискреционных атрибутов аутентифицированного в ОС СН пользователя с учетом выполняемой операции (а также сравнении меток безопасности виртуальной машины и пользователя в режиме ОС СН "Максимальный"). | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Дискреционное управление доступом, Мандатное управление доступом, Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.2.4 (Базовые средства виртуализации) РА.1: п.7 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗCВ.7 | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных только к одной виртуальной машине с одного АРМ пользователя или эксплуатационного персонала | Н | Н | Т | Средства ОС СН | + | + | Реализация необходимых методов предоставления доступа к виртуальным машинам, обеспечивающих возможность доступа с использованием одних аутентификационных данных к одной виртуальной машине с одного АРМ, осуществляется совместным применением встроенных в ОС СН механизмов идентификации и аутентификации, средств организации ЕПП, средствами управления потоками, дискреционного управления доступом, мандатного управления доступом (доступно только для режима ОС СН "Максимальный"). Основанием для принятия решения о предоставлении доступа является сравнение дискреционных атрибутов виртуальной машины и дискреционных атрибутов аутентифицированного в системе пользователя с учетом выполняемой операции (а также сравнении меток безопасности виртуальной машины и пользователя в режиме ОС СН "Максимальный"). | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Дискреционное управление доступом, Мандатное управление доступом, Средства организации ЕПП (ALD, FreeIPA), Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter, VLAN) | РА.1: п.9.1 (Средства виртуализации) РА.1: п.8 (Средства организации единого пространства пользователей) РКСЗ.1: п.1.3 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4 (Мандатное управление доступом и контроль целостности) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗCВ.8 | Обеспечение возможности принудительной блокировки (выключения) установленной сессии работы пользователя с виртуальной машиной | Т | Т | Т | Средства ОС СН | + | + | Обеспечение возможности принудительной блокировки (выключения) установленной сессии работы пользователя с виртуальной машиной осуществляется одним из следующих способом: - принудительным завершением (выключением) виртуальной машины как процесса на стороне гипервизора; - принудительным завершением пользовательской сессии на стороне клиента. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU). | РКСЗ.1: п.5 (Защита среды виртуализации) РА.1: п.9.1 (Средства виртуализации) РА.1: п.4.3.2 (Администрирование многопользовательской и многозадачной среды) |
| ЗCВ.9 | Контроль и протоколирование доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных с реализацией двухфакторной аутентификации | Н | Т | Т | Средства ОС СН | + | + | Контроль и протоколирование доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных с реализацией двухфакторной аутентификации осуществляется согласно реализации мер защиты информации, обеспечивающих защиту информации при управлении доступом. Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). Контроль доступа осуществляется с использованием штатных средств протоколирования и аудита. | - | Регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix), Идентификация и аутентификация, Средства поддержки двухфакторной аутентификации | РКСЗ.1: п.5 (Защита среды виртуализации) РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РА.1: п.18 (Поддержка средств двухфакторной аутентификации) https://wiki.astralinux.ru/x/-4JOAg |
| ЗCВ.10 | Размещение средств защиты информации, используемых для организации контроля и протоколирования доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных на физических СВТ | Н | Т | Т | Средства ОС СН | + | + | Размещение средств защиты информации, используемых для организации контроля и протоколирования доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных на физических СВТ осуществляется применением ОС СН в качестве гипервизора. Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации ОС СН, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). Контроль доступа осуществляется с использованием штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix), Средства поддержки двухфакторной аутентификации. | РКСЗ.1: п.5 (Защита среды виртуализации) РА.1: п.9.1 (Средства виртуализации) РА.1: п.18 (Поддержка средств двухфакторной аутентификации) https://wiki.astralinux.ru/x/-4JOAg |
| ЗCВ.11 | Реализация правил управления правами логического доступа, обеспечивающая запрет одновременного совмещения одним субъектом логического доступа следующих функций: - создание виртуальных машин, управление образами виртуальных машин на этапах их жизненного цикла; - предоставление доступа к виртуальным машинам, включая настройку виртуальных сегментов вычислительных сетей и применяемых средств защиты информации на уровне серверных компонентов виртуализации; - управление системы хранения данных; - управление настройками гипервизоров; - конфигурирование виртуальных сетей в рамках своего контура безопасности | Н | Н | Т | Средства ОС СН | + | + | Реализация правил управления правами логического доступа, обеспечивающая запрет одновременного совмещения одним субъектом логического доступа функций по управлению виртуальных машин, настройке параметров безопасности, управлению системой хранения данных, настройками гипервизора и виртуальных сетей осуществляется с использованием: - механизма дискреционного разграничения доступа; - механизмом ролевого управления доступом; - механизма мандатного контроля целостности (доступен только для режимов ОС СН "Усиленный" и "Максимальный"); - системными компонентами управления пользователями; - средствами организации ЕПП. Дискреционное управление доступом при работе с сервером виртуализации libvirt осуществляется драйвером доступа parsec, специально разработанным с использованием прикладного программного интерфейса драйверов доступа libvirt. Ролевое управление доступом при работе с сервером виртуализации libvirt осуществляется совместным применением драйвера доступа parsec и polkit, обеспечивающего гибкое разграничение возможностей выполнения привилегированных операций к объектам виртуализации. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Дискреционное управление доступом, Мандатный контроль целостности, Средства организации ЕПП (ALD, FreeIPA), Управление пользователями (fly-admin-smc). | РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) РА.1: п.9.1 (Средства виртуализации) РА.1: п.3.3 (Управление пользователями) РА.1: п.8 (Средства организации единого пространства пользователей) РКСЗ.1: п.1.3 (Средства организации единого пространства пользователей) РКСЗ.1: п.4.3 (Мандатный контроль целостности) |
| ЗCВ.12 | Размещение серверных и пользовательских компонентов АС на разных виртуальных машинах | Н | О | О | Орг-тех.меры | + | + | - | Размещение серверных и пользовательских компонентов АС на разных виртуальных машинах осуществляется согласно проектной документации АС | - | - |
| 7.8.4 Базовый состав мер по организации сегментации и межсетевого экранирования вычислительных сетей, предназначенных для размещения виртуальных машин и серверных компонент виртуализации, применительно к уровням защиты информации | |||||||||||
| ЗСВ.13 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения серверных компонент АС, включенных в разные контуры безопасности | Н | Т | Т | Средства ОС СН | + | + | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения серверных компонент АС, включенных в разные контуры безопасности, осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, программного коммутатора Open vSwitch, средств управления потоками ОС СН и libvirt (встроенного в ядро ОС СН фильтра сетевых пакетов netfilter, драйвера виртуальных сетей libvirt, драйвера сетевых фильтров libvirt nwfilter) и монитора обращений. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec) (МРД доступно только для режима ОС СН "Максимальный"). | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), VLAN, Open vSwitch, Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Средства организации ЕПП (ALD, FreeIPA), Мандатное управление доступом. | РА.1: п.6.8 (Программный коммутатор Open vSwitch) РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.14 | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения АРМ пользователей и эксплуатационного персонала, включенных в разные контуры безопасности | Н | Т | Т | Средства ОС СН | + | + | Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения АРМ пользователей и эксплуатационного персонала, включенных в разные контуры безопасности, осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, программного коммутатора Open vSwitch, средств управления потоками ОС СН и libvirt (встроенного в ядро ОС СН фильтра сетевых пакетов netfilter, драйвера виртуальных сетей libvirt, драйвера сетевых фильтров libvirt nwfilter) и монитора обращений. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec) (МРД доступно только для режима ОС СН "Максимальный"). | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), VLAN, Open vSwitch, Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Средства организации ЕПП (ALD, FreeIPA), Мандатное управление доступом. | РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.15 | Организация информационного обмена между сегментами (группами сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующими на уровне гипервизора среды виртуализации | Н | Н | Т | Средства ОС СН, средства МЭ | + | + | Организация информационного обмена между сегментами (группами сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, программными средствами межсетевого экранирования, функционирующими на уровне гипервизора среды виртуализации, реализуется с использованием штатных средств ОС СН путем объединения виртуальных машин tap-интерфейсом в хост-системе и применением встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter), штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, программного коммутатора Open vSwitch, средств управления потоками libvirt (драйвера виртуальных сетей libvirt, драйвера сетевых фильтров libvirt nwfilter) с использованием средств защиты среды виртуализации, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt и монитора обращений. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec) (МРД доступно только для режима ОС СН "Максимальный"). | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, программными средствами межсетевого экранирования, функционирующими на уровне гипервизора среды виртуализации, осуществляется штатными средствами ОС СН. В случае наличия требований о реализации сетевого взаимодействия с применением сертифицированных межсетевых экранов мера должна быть реализована средствами ОС СН совместно с сертифицированными межсетевыми экранами. | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), VLAN, Open vSwitch, Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Средства организации ЕПП (ALD, FreeIPA), Мандатное управление доступом. | РА.1: п.6.8 (Программный коммутатор Open vSwitch) РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.16 | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1 | Н | Т | Т | Средства ОС СН, средства МЭ | + | + | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, включая фильтрацию данных на сетевом уровне семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, программного коммутатора Open vSwitch, с использованием средств защиты среды виртуализации, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter), средств управления потоками libvirt (драйвера виртуальных сетей libvirt, драйвера сетевых фильтров libvirt nwfilter) и монитора обращений. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec) (МРД доступно только для режима ОС СН "Максимальный"). | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, включая фильтрацию данных на прикладном уровне семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, осуществляется штатными средствами ОС СН. В случае наличия требований о реализации сетевого взаимодействия с применением сертифицированных межсетевых экранов мера должна быть реализована средствами ОС СН совместно с сертифицированными межсетевыми экранами. | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), VLAN, Open vSwitch, Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Средства организации ЕПП (ALD, FreeIPA), Мандатное управление доступом. | РА.1: п.6.8 (Программный коммутатор Open vSwitch) РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.17 | Реализация и контроль информационного взаимодействия между сегментами (группами сегментов) вычислительных сетей мерами, указанными в пунктах ЗСВ.13 и ЗСВ.14 настоящей таблицы, в соответствии с установленными правилами и протоколами сетевого взаимодействия | Н | Т | Т | Средства ОС СН | + | + | Реализация и контроль информационного взаимодействия между сегментами (группами сегментов) вычислительных сетей мерами, указанными в пунктах ЗСВ.13 и ЗСВ.14 настоящей таблицы, в соответствии с установленными правилами и протоколами сетевого взаимодействия осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, программного коммутатора Open vSwitch, средствами управления потоками libvirt (драйвера виртуальных сетей libvirt, драйвера сетевых фильтров libvirt nwfilter), встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter), монитора обращений, интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей мерами, указанными в пунктах ЗСВ.13 и ЗСВ.14 настоящей таблицы, осуществляется штатными средствами ОС СН. В случае наличия требований о реализации сетевого взаимодействия с применением сертифицированных межсетевых экранов мера должна быть реализована средствами ОС СН совместно с сертифицированными межсетевыми экранам. | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), VLAN, Open vSwitch, Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.6.8 (Программный коммутатор Open vSwitch) РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.18 | Реализация мер защиты информации ЗСВ.15 - ЗСВ.17 настоящей таблицы физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующих на уровне гипервизора среды виртуализации | Н | Н | Т | Средства ОС СН, средства МЭ | + | + | Реализация мер защиты информации ЗСВ.15 - ЗСВ.17 настоящей таблицы программными средствами межсетевого экранирования, функционирующих на уровне гипервизора среды виртуализации, осуществляется использованием ОС СН в качестве гипервизора и применением штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, программного коммутатора Open vSwitch, средствами управления потоками libvirt (драйвера виртуальных сетей libvirt, драйвера сетевых фильтров libvirt nwfilter), встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений. Сегментирование виртуальной инфраструктуры может также выполняться путем организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Изоляция потоков данных в виртуальной инфраструктуре обеспечивается использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec) (МРД доступно только для режима ОС СН "Максимальный"). | Межсетевое экранирование сегментов (групп сегментов) вычислительных сетей программными средствами межсетевого экранирования, функционирующих на уровне гипервизора среды виртуализации, осуществляется штатными средствами ОС СН. В случае наличия требований о реализации сетевого взаимодействия с применением сертифицированных межсетевых экранов мера должна быть реализована средствами ОС СН совместно с сертифицированными межсетевыми экранами. | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), VLAN, Open vSwitch, Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Средства организации ЕПП (ALD, FreeIPA), Мандатное управление доступом. | РА.1: п.6.8 (Программный коммутатор Open vSwitch) РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.19 | Организация и контроль информационного взаимодействия между виртуальными машинами разных АС в соответствии с установленными правилами и протоколами сетевого взаимодействия | H | H | T | Средства ОС СН, средства МЭ | + | + | Организация и контроль информационного взаимодействия между виртуальными машинами разных АС в соответствии с установленными правилами и протоколами сетевого взаимодействия осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, программного коммутатора Open vSwitch, технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, средствами управления потоками libvirt (драйвера виртуальных сетей libvirt, драйвера сетевых фильтров libvirt nwfilter), встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter) и монитора обращений, интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. Изоляция потоков данных также обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec) (МРД доступно только для режима ОС СН "Максимальный"). | Организация и контроль информационного взаимодействия между виртуальными машинами разных АС в соответствии с установленными правилами и протоколами сетевого взаимодействия может осуществляться штатными средствами ОС СН. В случае наличия требований о реализации сетевого взаимодействия с применением сертифицированных межсетевых экранов мера должна быть реализована средствами ОС СН совместно с сертифицированными межсетевыми экранами. | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), VLAN, Open vSwitch, Фильтрация сетевого потока (netfilter), Средства организации ЕПП (ALD, FreeIPA), Регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix), Мандатное управление доступом. | РА.1: п.6.8 (Программный коммутатор Open vSwitch) РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.20 | Исключение возможности информационного взаимодействия и переноса информации между сегментами вычислительных сетей, входящими в разные контуры безопасности, с использованием АРМ пользователей и эксплуатационного персонала, эксплуатируемых для осуществления доступа к виртуальным машинам разных контуров безопасности | Н | Т | Т | Средства ОС СН | + | + | Исключение возможности информационного взаимодействия и переноса информации между сегментами вычислительных сетей, входящими в разные контуры безопасности, с использованием АРМ пользователей и эксплуатационного персонала, эксплуатируемых для осуществления доступа к виртуальным машинам разных контуров безопасности, осуществляется с использованием штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, программного коммутатора Open vSwitch, встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter), средствами управления потоками libvirt (драйвера виртуальных сетей libvirt, драйвера сетевых фильтров libvirt nwfilter) и следующими средствами защиты информации: - средства организации единого пространства пользователей; - дискреционное управление доступом; - мандатное управление доступом (доступно только для режима ОС СН "Максимальный"). Изоляция потоков данных обеспечивается путем управления потоками информации на основе классификационных меток, устанавливаемых в соответствии с национальным стандартом ГОСТ-Р 58256-2018 (iptables, parsec). | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), VLAN, Open vSwitch,Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Дискреционное управление доступом, Мандатное управление доступом, Средства организации ЕПП (ALD, FreeIPA), Мандатное управление доступом. | РА.1: п.6.8 (Программный коммутатор Open vSwitch) РА.1: п.9.1 (Средства виртуализации) РА.1: п.8 (Средства организации единого пространства пользователей) РКСЗ.1: п.1.3 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4.2 (Мандатное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| ЗСВ.21 | Выделение отдельных логических разделов системы хранения данных для каждого из контуров безопасности | Н | Т | Т | Средства ОС СН | + | + | Выделение отдельных логических разделов системы хранения данных для каждого из контуров безопасности осуществляется организационно-техническими мероприятиями с применением штатных средств ОС СН и средств защиты информации: - дискреционное управление доступом; - мандатное управление доступом (доступно только для режима ОС СН "Максимальный"); - средства организации ЕПП; - средства управления потоками информации. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Дискреционное управление доступом, Мандатное управление доступом, Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Мандатное управление доступом. | РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4.2 (Мандатное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗСВ.22 | Выделение отдельных сегментов управления, в которых располагаются АРМ эксплуатационного персонала, используемые для выполнения задач администрирования серверных компонент виртуализации и системы хранения данных* | Н | Н | Т | Средства ОС СН | + | + | Выделение отдельных сегментов управления, в которых располагаются АРМ эксплуатационного персонала, используемые для выполнения задач администрирования серверных компонент виртуализации и системы хранения данных, осуществляется организационно-техническими мероприятиями с применением штатных средств ОС СН, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, программного коммутатора Open vSwitch, встроенного в ядро ОС СН фильтра сетевых пакетов (netfilter), средствами управления потоками libvirt (драйвера виртуальных сетей libvirt, драйвера сетевых фильтров libvirt nwfilter), средств организации единого пространства пользователей, и средств защиты информации: - дискреционное управление доступом; - мандатное управление доступом (доступно только для режима ОС СН "Максимальный"); | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), VLAN, Open vSwitch, Фильтрация сетевого потока (netfilter, драйвер виртуальных сетей libvirt, драйвер сетевых фильтров nwfilter), Средства организации ЕПП (ALD, FreeIPA), Мандатное управление доступом. | РА.1: п.6.8 (Программный коммутатор Open vSwitch) РА.1: п.9.1 (Средства виртуализации) РА.1: п.8 (Средства организации единого пространства пользователей) РКСЗ.1: п.1.3 (Средства организации единого пространства пользователей) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.11 (Фильтрация сетевого потока) https://wiki.astralinux.ru/x/8w0AB |
| 7.8.5 Базовый состав мер по организации защиты образов виртуальных машин применительно к уровням защиты информации | |||||||||||
| ЗСВ.23 | Регламентация и контроль выполнения: - операций в рамках жизненного цикла базовых образов виртуальных машин; - операций по копированию образов виртуальных машин | Н | О | О | Орг.меры, Средства ОС СН | + | + | Регламентация и контроль выполнения операций в рамках жизненного цикла базовых образов виртуальных машин и операций по копированию образов виртуальных машин осуществляется в соответствии с документацией на автоматизированную систему с применением штатных средств разграничения доступа ОС СН, интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. Резервное копирование образов виртуальных машин и конфигурации виртуального оборудования виртуальных машин, а также параметров настройки средств виртуализации и сведений о событиях безопасности, реализуется с использованием встроенных в средства виртуализации ОС механизмов резервного копирования: virsh backup-begin и virsh dumpxml, virsh snapshot-create, а также встроенных в ОС средств резервного копирования. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) |
| ЗСВ.24 | Включение только в базовые образы виртуальных машин следующего ПО: - ПО технических мер защиты информации, применяемых в пределах виртуальных машин; - ПО АС | Н | О | О | Орг.меры, Средства ОС СН | + | + | Включение только в базовые образы виртуальных машин необходимого ПО осуществляется администратором в соответствии с документацией на автоматизированную систему с использованием штатных средств и интерфейсов управления средствами виртуализации. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU). | РА.1: п.9.1 (Средства виртуализации) |
| ЗСВ.25 | Отнесение каждой из виртуальных машин только к одному из контуров безопасности | Н | О | О | Орг-тех.меры, Средства ОС СН | + | + | Отнесение каждой из виртуальных машин только к одному из контуров безопасности осуществляется в соответствии с документацией на автоматизированную систему с применением следующих средств защиты информации: - мандатное управление доступом (доступно только для режима ОС СН "Максимальный"); - дискреционное управление доступом; - средства организации единого пространства пользователей; - средства управления потоками информации. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Мандатное управление доступом, Дискреционное управление доступом, Средства организации ЕПП (ALD, FreeIPA). | РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.4.2 (Мандатное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗСВ.26 | Контроль целостности, выполняемый при запуске (загрузке) виртуальной машины: - базового образа виртуальной машины; - ПО, включенного в пользовательский профиль виртуальной машины; - параметров настроек ПО технических мер защиты информации, применяемых в пределах виртуальных машин | Н | Н | Т | Средства ОС СН, сторонние средства защиты | + | + | Контроль целостности, выполняемый при запуске (загрузке) виртуальной машины базового образа виртуальной машины осуществляется путем применения средств регламентного контроля целостности, организации замкнутой программной среды (режим ЗПС доступен только для режимов ОС СН "Усиленный" и "Максимальный") и обеспечения контроля штатными средствами протоколирования и аудита. | Контроль целостности, выполняемый при запуске (загрузке) виртуальной машины ПО, включенного в пользовательский профиль виртуальной машины и параметров настроек ПО технических мер защиты информации, применяемых в пределах виртуальных машин, осуществляется средствами защиты гостевых операционных систем. В случае применения ОС СН используется регламентный контроль целостности и ограничение программной среды (ЗПС). Для ЭВМ — защита реализуется с применением средств доверенной загрузки. | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Регламентный контроль целостности (Afick), Динамический контроль целостности (ЗПС) | РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.7 (Изоляция процессов) РКСЗ.1: п.8 (Защита памяти) РКСЗ.1: п.9 (Контроль целостности) РКСЗ.1: п.16 (Ограничение программной среды и функций безопасности) |
| ЗСВ.27 | Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптографическими ключами | О | О | О | Орг.меры, Средства ОС СН | + | + | Запрет на копирование текущих образов виртуальных машин, использующих СКЗИ, с загруженными криптографическими ключами осуществляется в соответствии с документацией организационными мерами. | - | Средства виртуализации (Libvirt,virt-manager, KVM,QEMU), Дискреционное управление доступом | РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗСВ.28 | Запрет на копирование текущих образов виртуальных машин, используемых для реализации технологии виртуализации АРМ пользователей | О | О | О | Орг.меры, Средства ОС СН | + | + | Запрет на копирование текущих образов виртуальных машин, используемых для реализации технологии виртуализации АРМ пользователей, осуществляется в соответствии с документацией организационными мерами. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), Дискреционное управление доступом | РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) |
| ЗСВ.29 | Запрет сохранения изменений, произведенных пользователями в процессе работы их виртуальных машин, в базовом образе виртуальных машин | Н | Н | Т | Средства ОС СН | + | + | Запрет сохранения изменений, произведенных пользователями в процессе работы их виртуальных машин, в базовом образе виртуальных машин осуществляется с использованием интерфейсов управления средствами виртуализации с применением режима запрета модификации файлов-образов виртуальной машины. Поддержка функционирования виртуальной машины в режиме запрета модификации ее образа осуществляется специальными способами запуска виртуальной машины, при которых основной образ защищается от записи. В зависимости от выбранного режима осуществляется создание физической копии или применяются различные варианты создания снимков образа с последующим их удалением после завершения работы виртуальной машины. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU) | РА.1: п.9.1 (Средства виртуализации) РКСЗ.1: п.5.3 (Режим запрета модификации образов виртуальной машины) |
| ЗСВ.30 | Контроль завершения сеанса работы пользователей с виртуальными машинами | Н | Т | Н | Средства ОС СН | + | + | Контроль завершения сеанса работы пользователей с виртуальными машинами осуществляется с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.31 | Контроль завершения сеанса работы пользователей с виртуальными машинами и обеспечение последующей работы виртуальной машины с использованием базового образа | Н | Н | Т | Средства ОС СН | + | + | Контроль завершения сеанса работы пользователей с виртуальными машинами и обеспечение последующей работы виртуальной машины с использованием базового образа осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| 7.8.6 Базовый состав мер по регистрации событий защиты информации, связанных с доступом к виртуальным машинам и серверным компонентам виртуализации, применительно к уровням защиты информации | |||||||||||
| ЗСВ.32 | Регистрация операций, связанных с запуском (остановкой) виртуальных машин | Т | Т | Т | Средства ОС СН | + | + | Регистрация операций, связанных с запуском (остановкой) виртуальных машин, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.33 | Регистрация операций, связанных с изменением параметров настроек виртуальных сетевых сегментов, реализованных средствами гипервизора | Н | Т | Т | Средства ОС СН | + | + | Регистрация операций, связанных с изменением параметров настроек виртуальных сетевых сегментов, реализованных средствами гипервизора, осуществляется с использованием штатных средств протоколирования и аудита с применением технологии виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q, программного коммутатора Open vSwitch, KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/8w0AB https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.34 | Регистрация операций, связанных с созданием и удалением виртуальных машин | Т | Т | Т | Средства ОС СН | + | + | Регистрация операций, связанных с созданием и удалением виртуальных машин, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.35 | Регистрация операций, связанных с созданием, изменением, копированием, удалением базовых образов виртуальных машин | Т | Т | Т | Средства ОС СН | + | + | Регистрация операций, связанных с созданием, изменением, копированием, удалением базовых образов виртуальных машин, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.36 | Регистрация операций, связанных с копированием текущих образов виртуальных машин | Т | Т | Т | Средства ОС СН | + | + | Регистрация операций, связанных с копированием текущих образов виртуальных машин, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.37 | Регистрация операций, связанных с изменением прав логического доступа к серверным компонентам виртуализации | Т | Т | Т | Средства ОС СН | + | + | Регистрация операций, связанных с изменением прав логического доступа к серверным компонентам виртуализации, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.38 | Регистрация операций, связанных с изменением параметров настроек серверных компонентов виртуализации | Т | Т | Т | Средства ОС СН | + | + | Регистрация операций, связанных с изменением параметров настроек серверных компонентов виртуализации, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.39 | Регистрация операций, связанных с аутентификацией и авторизацией эксплуатационного персонала при осуществлении доступа к серверным компонентам виртуализации | Т | Т | Т | Средства ОС СН | + | + | Регистрация операций, связанных с аутентификацией и авторизацией эксплуатационного персонала при осуществлении доступа к серверным компонентам виртуализации, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.8 (Средства организации единого пространства пользователей) РКСЗ.1: п.1.3 (Средства организации единого пространства пользователей) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.40 | Регистрация операций, связанных с аутентификацией и авторизацией пользователей при осуществлении доступа к виртуальным машинам | Т | Т | Т | Средства ОС СН | + | + | Регистрация операций, связанных с аутентификацией и авторизацией пользователей при осуществлении доступа к виртуальным машинам, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, средства организации единого пространства пользователей и следующими средствами защиты информации: - идентификация и аутентификация; - дискреционное управление доступом; - регистрация событий безопасности. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.8 (Средства организации единого пространства пользователей) РКСЗ.1: п.1.3 (Средства организации единого пространства пользователей) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.2 (Идентификация и аутентификация) РКСЗ.1: п.3 (Дискреционное управление доступом) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.41 | Регистрация операций, связанных с запуском (остановкой) ПО серверных компонент виртуализации | Н | Н | Т | Средства ОС СН | + | + | Регистрация операций, связанных с запуском (остановкой) ПО серверных компонент виртуализации, осуществляется с использованием технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.42 | Регистрация операций, связанных с изменением параметров настроек технических мер защиты информации, используемых для реализации контроля доступа к серверным компонентам виртуализации | Т | Т | Т | Средства ОС СН | + | + | Регистрация операций, связанных с изменением параметров настроек технических мер защиты информации, используемых для реализации контроля доступа к серверным компонентам виртуализации, осуществляется с использованием средств контроля целостности, установленного для конфигурационных файлов настроек безопасности, с применением технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, zabbix). | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.9 (Контроль целостности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.43 | Регистрация операций, связанных с изменением настроек технических мер защиты информации, используемых для обеспечения защиты виртуальных машин | Т | Т | Т | Средства ОС СН | + | + | Регистрация операций, связанных с изменением настроек технических мер защиты информации, используемых для обеспечения защиты виртуальных машин, осуществляется с использованием средств контроля целостности, установленного для параметров настроек безопасности, с применением технологии KVM, средств создания виртуального аппаратного окружения QEMU, сервера виртуализации libvirt, с использованием интерфейсов управления средствами виртуализации и штатных средств протоколирования и аудита. | - | Средства виртуализации (Libvirt, virt-manager, KVM,QEMU), регистрация событий безопасности (auditd, syslog-ng-astra, zabbix), Средства контроля целостности. | РА.1: п.9.1 (Средства виртуализации) РА.1: п.15 (Средства централизованного протоколирования и аудита) РКСЗ.1: п.5 (Защита среды виртуализации) РКСЗ.1: п.6 (Регистрация событий безопасности) РКСЗ.1: п.9 (Контроль целостности) https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |