Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1

Принятые обозначения и сокращения


Сокращения

Обозначения

Описание

РА.1

Руководство администратора. Часть 1. РУСБ.10015-01 95 01-1

Эксплуатационная документация из комплекта поставки Astra Linux

РА.2

Руководство администратора. Часть 1. РУСБ.10015-01 95 01-2

Эксплуатационная документация из комплекта поставки Astra Linux

РКСЗ.1

Руководство по комплексу средств защиты. Часть 1 РУСБ.10015-01 97 01-1

Эксплуатационная документация из комплекта поставки Astra Linux

РКСЗ.2

Руководство по комплексу средств защиты. Часть 2 РУСБ.10015-01 97 01-2

Эксплуатационная документация из комплекта поставки Astra Linux

РП.1

Руководство пользователя. Часть 1. РУСБ.10015-01 93 01-1

Эксплуатационная документация из комплекта поставки Astra Linux

ОП

Описание применения. РУСБ.10015-01 31 01

Эксплуатационная документация из комплекта поставки Astra Linux

wiki.astralinux.ru

Официальный справочный интернет-ресурс wiki.astralinux.ru

Официальный справочный интернет-ресурс, содержащий информацию о порядке эксплуатации и вариантах реализации настроек Astra Linux

справка Astra Linux

Электронная справка Astra Linux

Электронная справка Astra Linux, вызываемая комбинацией клавиш ALT+F1 из интерфейса Astra Linux

СКЗИ

Сертифицированные средства криптографической защиты информации


МЭ

Сертифицированный межсетевой экран


ОРД

Организационно-распорядительная документация 


СДЗ

Сертифицированные средства доверенной загрузки 


CОВ

Сертифицированное средство обнаружения вторжений


САВЗ

Сертифицированные средства антивирусной защиты 


SIEM

Security information and event management, управление событиями и информацией о безопасности


Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux

Пожалуйста, разместите таблицу или макрос, генерирующий таблицы, в макросе "Фильтр таблиц".

Таблица загружается. Пожалуйста, подождите...

Требования по защите информацииКлассы АССредства реализацииСпособ реализации меры защиты с использованием штатных средств Astra LinuxКомпоненты Astra Linux
РазделПодсистемы и функцииТребования











ОВ










СС









С






ДСП





ПД


1I. Подсистема управления доступом












11.1. Идентификация, проверка подлинности и контроль доступа субъектов:












1- в системуДолжны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного/временного действия длиной не менее указанного количества буквенно-цифровых символов;66666866
Средства Astra LinuxИдентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.
Решение задачи идентификации и аутентификации локальных пользователей в Astra Linux основывается на использовании механизма PAM. Если Astra Linux не настроен для работы в ЕПП, то аутентификация осуществляется с помощью локальной БД пользователей.
При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos.
Концепция ЕПП подразумевает хранение системной информации о пользователе (включая доступные мандатные уровни и категории) централизованно в службе каталогов LDAP.
Для управления пользователями, группами и настройками их атрибутов используется графическая утилита, соответствующие настройки обеспечивают требования к длине пароля.
Локальная идентификация и аутентификация (PAM),
Сквозная аутентификация (ЕПП), Управление политикой безопасности fly-admin-smc (Пользователи, Политики учетной записи). Управление доменным пользователями (FreeIPA,ALD)
Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов







8Средства Astra Linux
СДЗ, Токены
Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.

Применение многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
Средства поддержки двухфакторной аутентификации
1- к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМДолжна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по физическим адресам (номерам);


+++
+
Средства Astra LinuxИдентификация терминалов осуществляется по номеру терминала. Идентификация ЭВМ осуществляется средствами Astra Linux по МАС-адресу, по логическим именам, именам в домене.
Идентификация узлов сети осуществляется по IP-адресу и МАС-адресу. Идентификация внешних устройств осуществляется по логическим именам, по комбинации имени (соответствующих файлов в /dev), логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации.
Идентификация устройств
(ядро, parsec, dev),
идентификация и аутентификация компьютеров в ЕПП (ALD, FreeIPA), сетевая идентификация компьютеров по именам и адресам, Управление политикой безопасности fly-admin-smc (Устройства и правила) и централизованно (FreeIPA, ALD), управление принтерами (cups)
Должна осуществляться аппаратурная идентификация и проверка подлинности терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по уникальным встроенным устройствам;







+Сторонние средства--
1- к программам, томам, каталогам, файлам, записям, полям записейДолжна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;


+++
+
Средства Astra LinuxИдентификация программ, томов, каталогов, файлов, записей, полей записи по имени реализовано модулями ядра и встроенной системой безопасности Astra Linux и СУБД из состава Astra Linux и осуществляется по логическим именам томов, каталогов, файлов, записей, полей записей, именам программ и номерам pid.
Идентификация всех объектов и устройств и применение результатов идентификации производится Astra Linux по умолчанию в том числе при реализации механизмов управления доступом, контроля целостности, резервного копирования и регистрации событий безопасности, связанных с этими объектами доступа.
Идентификация по логическим именам томов, каталогов, файлов, записей, полей записей, именам программ и номерам pid
Должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;


+++

+Средства Astra Linux, ОРДКонтроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа осуществляется средствами Astra Linux и СУБД из состава Astra Linux. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа запрашиваемого субъектом доступа и правил дискреционного разграничения доступа заданных для каждого объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам.Дискреционное разграничение доступа, Ролевое разграничение доступа (СУБД)
Должна осуществляться идентификация и проверка подлинности программ, томов, каталогов, файлов, записей, полей записей по именам и контрольным суммам (паролям, ключам);







+Средства Astra Linux, ОРДАутентификация запускаемых и исполняемых модулей реализуется с использованием механизма контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнения (режим ЗПС). Аутентификация объектов файловой системы, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа реализуется с использованием механизма контроля целостности файлов при их открытии на основе ЭП в расширенных атрибутах файловой системы (режим ЗПС).Контроль исполняемых файлов (ЗПС),
Контроль расширенных атрибутов (ЗПС)
11.2. Управление потоками информацииДолжно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.



++
++Средства Astra LinuxВ Astra Linux реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256).
Управление потоками осуществляется на основе меток конфиденциальности пользователей с применением мандатной политики Astra Linux и СУБД из состава Astra Linux.
Управление потоками информации при доступе субъекта к объекту осуществляется на основе мандатного контекста безопасности субъекта и мандатной метки объекта.
Мандатное управление доступом, Мандатный контроль целостности
2II. Подсистема регистрации и учета













2.1 Регистрация и учет:












2- входа (выхода) субъектов доступа в (из) систему (узел сети)Должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.
В параметрах регистрации указываются:
+++++++++Средства Astra LinuxРегистрация входа (выхода) субъектов доступа в систему (из системы) осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux. В параметрах регистрации указываются: дата и время события, результат попытки входа, идентификатор пользователя, код при неуспешной попытке. В качестве кода
подразумевается имя пользователя UID. Просмотр регистрируемых
событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch)

Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog)
дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;+++++++++
результат попытки входа: успешный или неуспешный - несанкционированный;++
++++++
идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;+

++++++
код или пароль, предъявленный при неуспешной попытке


+++

+Средства Astra LinuxРегистрация дополнительных сообщений о неправильно введенном пароле при прохождении PAM-стека (логине) осуществляется с использованием пакета libpam-addloglibpam-addlog
2- выдачи печатных (графических) выходных документовДолжна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию.
В параметрах регистрации указываются:
- дата и время выдачи (обращения к подсистеме вывода);
- спецификация устройства выдачи [логическое имя (номер) внешнего устройства];
- краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;



++++++Средства Astra LinuxРегистрация выдачи печатных (графических) документов на твёрдую копию осуществляется средствами Astra Linux с применением защищенного комплекса программ печати и маркировки документов, средств ведения журналов аудита (/var/log/cups) и записи журнала маркировки (/var/spool/cups/parsec). Управление заданиями на печать
и маркировкой документов осуществляется с помощью графической утилиты управление печатью из состава Astra Linux. Маркировка отпечатанных листов документа осуществляется при соответствующей настройке защищенного комплекса программ
печати и маркировки документов из состава Astra Linux. Просмотр регистрируемых событий осуществляется с использованием средств ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch).



Защищенный комплекс программ печати и маркировки документов (cups), Средства аудита (auditd), Системный журнал (ksystemlog)



- идентификатор субъекта доступа, запросившего документ;


+++
++
- объем фактически выданного документа (количество страниц, листов, копий) и результат выдачи успешный (весь объем), неуспешный;



++

+
- спецификация устройства выдачи [логическое имя (номер) внешнего устройства];







+
- краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;







+
Выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц).



+++++Средства Astra LinuxМаркировка отпечатанных листов документа осуществляется при соответствующей настройке защищенного комплекса программ
печати и маркировки документов из состава Astra Linux. Выдача печатных документов сопровождается автоматической маркировкой каждого листа (страницы) документа его последовательным номером и учетными реквизитами АС с указанием на последнем листе документа общего количества листов (страниц) при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава Astra Linux.
Управление заданиями на печать и маркировкой документов осуществляется с помощью графической утилиты управления печатью из состава Astra Linux. Журнал и копии заданий маркировки записываются в каталог /var/spool/cups/parsec
Защищенный комплекс программ печати и маркировки документов (cups)
Вместе с выдачей документа должна автоматически оформляться учетная карточка документа с указанием даты выдачи документа, учетных реквизитов документа, краткого содержания (наименования, вида, шифра, кода) и уровня конфиденциальности документа, фамилии лица, выдавшего документ, количества страниц и копий документа (при неполной выдаче документа - фактически выданного количества листов в графе «Брак»).




+

+Средства Astra LinuxАвтоматическое оформление учетной карточки документа при его выводе на печать осуществляется при соответствующей настройке защищенного комплекса программ печати и маркировки документов из состава Astra Linux.Защищенный комплекс программ печати и маркировки документов (cups)
2- запуска (завершения) программ и процессов (заданий, задач)Должна осуществляться регистрация запуска (завершения) всех / предназначенных для обработки защищаемых файлов программ и процессов (заданий, задач) в АС.
В параметрах регистрации указываются:



++++++Средства Astra LinuxРегистрация запуска (завершения) всех / предназначенных для обработки защищаемых файлов программ и процессов (заданий, задач) в АС осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности.
Настройка регистрации событий для пользователей (аудит процессов)
осуществляется с помощью локальной и доменной политики безопасности (аудит события «exec»). Настройка аудита
событий осуществляется утилитой setfaud, а также утилитой конфигурации аудита system-config-audit. Просмотр регистрируемых
событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время запуска, наименование запускаемой программы (расширение), устройство (том, каталог), логин пользователя, статус запуска.
Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog)
дата и время запуска;


+++
++
имя (идентификатор) программы (процесса, задания);


+++
++
идентификатор субъекта доступа, запросившего программу (процесс, задание);


+++
++
результат запуска (успешный, неуспешный - несанкционированный);


+++
++
- полная спецификация соответствующего файла "образа" программы (процесса, задания) - устройство (том, каталог), имя файла (расширение);







+
2- доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связиДолжна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.
В параметрах регистрации указываются:
- дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;
- идентификатор субъекта доступа;
- спецификация защищаемого файла;




+++
++Средства Astra LinuxРегистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Настройка аудита событий осуществляется утилитой setfaud, а также утилитой конфигурации аудита system-config-audit. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время запуска, наименование запускаемой программы, логин пользователя, статус запуска, вид запрашиваемой операции.Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog)
- имя программы (процесса, задания, задачи), осуществляющей доступ к файлу;



++

+
- вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.);



++

+
2- доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записейДолжна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.
В параметрах регистрации указываются:







+++
++Средства Astra LinuxРегистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Просмотр регистрируемых событий осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время попытки доступа, идентификатор субъекта доступа, спецификация защищаемого объекта, имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту, вид запрашиваемой операции.Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog)
- дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;


+++
++
- идентификатор субъекта доступа;


+++
++
- спецификация защищаемого объекта [логическое имя (номер)];


+++
++
- имя программы (процесса, задания, задачи), осуществляющей доступ к защищаемому объекту;



++

+

- вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.);




++

+
2- изменения полномочий субъектов доступаДолжна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа.
В параметрах регистрации указываются:
- дата и время изменения полномочий;
- идентификатор субъекта доступа (администратора), осуществившего изменения;





++

+Средства Astra LinuxРегистрация изменений полномочий субъектов доступа и статуса объектов доступа осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита Astra Linux с применением настроек регистрации событий безопасности. Настройка регистрации осуществляется с помощью локальной и доменной политики безопасности. Просмотр регистрируемых событий
осуществляется с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности (программы просмотра файлов журналов ksystemlog и утилиты ausearch). В параметрах регистрации указываются дата и время изменения полномочий, идентификатор субъекта доступа (администратора), осуществившего изменения, идентификатор субъекта, у которого проведено изменение полномочий и вид изменения, спецификация объекта, у которого проведено изменение статуса зашиты и вид изменения.
Средства аудита (auditd, zabbix), Управление политикой безопасности fly-admin-smc (Аудит, Пользователи, Группы), Конфигурация аудита (system-config-audit), Системный журнал (ksystemlog)
- идентификатор субъекта, у которого проведено изменение полномочий и вид изменения (пароль, код, профиль и т.п.);
- спецификация объекта, у которого проведено изменение статуса защиты и вид изменения (код защиты, уровень конфиденциальности);





+

+Средства Astra Linux
2- создаваемых защищаемых объектов доступаДолжен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;



++
++Средства Astra LinuxВ Astra Linux реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256).
При создании субъектом любого из следующих объектов: механизмы многопроцессорного взаимодействия, стек TCP/IP (IPv4), ФС Ext2/Ext3/Ext4, сетевые ФС, CIFS, ФС, proc, tmpfs, - объект наследует метку на основе мандатного контекста безопасности процесса. С каждым субъектом и объектом связаны мандатный контекст безопасности и мандатная метка соответственно.
Мандатное управление доступом, МКЦ
Должен осуществляться автоматический учет инициируемых защищаемых томов, каталогов, областей оперативной памяти ЭВМ, выделяемых для обработки защищаемых файлов, внешних устройств ЭВМ, каналов связи, ЭВМ, узлов сети ЭВМ, фрагментов сети с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;




+

+
22.2. Учет носителей информацииДолжен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал учетную карточку);


+++++++++Орг.Меры, Средства Astra LinuxВ Astra Linux учет защищаемых носителей информации может осуществляться локально или централизованно с использованием средств разграничения доступа к подключаемым носителямСредства разграничения доступа к подключаемым устройствам (udev, fstab)
Учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);+

+++
++
Должно проводиться несколько видов учета (дублирующих) защищаемых носителей информации;



+++++
22.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителейДолжна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей:


++++++Средства Astra LinuxОчистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей информации реализуется с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов в соответствии с установленными правилами разграничения доступа

Ядро Astra Linux гарантирует, что обычный непривилегированный процесс не получит данные чужого процесса, если это явно не разрешено ПРД. Средства межпроцессорного взаимодействия контролируются с помощью ПРД, и процесс не может получить неочищенную память (оперативную и дисковую).
В Astra Linux реализован механизм, который очищает неиспользуемые блоки файловой системы непосредственно при их освобождении. Работа данного механизма снижает скорость выполнения операций удаления и усечения размера файла. Данные любых файлов в пределах заданной ФС предварительно очищаются предопределенной или псевдослучайной маскирующей последовательностью.
Механизм очистки памяти (astra-secdel-control), механизм очистки разделов подкачки (astra-swapwiper-control), изоляция процессов
Очистка осуществляется однократной/двукратной произвольной записью в освобождаемую область памяти, использованную для хранения защищаемой информации;



Очистка осуществляется двукратной произвольной записью в любую освобождаемую область памяти, в которой содержалась защищаемая информация.







22.4. Сигнализация попыток нарушения защитыДолжна осуществляться сигнализация попыток нарушения защиты на терминал администратора и нарушителя.



++

+Средства Astra LinuxДля решения задач централизованного протоколирования и анализа журналов аудита, а также организации распределенного мониторинга сети, жизнеспособности и целостности серверов используется программное решение Zabbix.
Zabbix предоставляет гибкий механизм сбора данных. Все отчеты и статистика Zabbix, а также параметры настройки компонентов Zabbix
доступны через web-интерфейс. В web-интерфейсе реализован
следующий функционал: - вывод отчетности и визуализация собранных данных; - создание правил и шаблонов мониторинга состояния сети и узлов; - определение допустимых границ
значений заданных параметров; - настройка оповещений; - настройка
автоматического реагирования на события безопасности.
Механизм сигнализации администратору о попытке нарушения защиты реализован также в части предупреждения о нарушении замкнутой программной среды.
Средства аудита (zabbix), ЗПС
3III. Криптографическая подсистема












33.1. Шифрование конфиденциальной информацииДолжно осуществляться шифрование всей конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, в каналах связи, а также на съемные портативные носители данных (дискеты, микрокассеты и т.п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должна выполняться принудительная очистка областей внешней памяти, содержавших ранее незашифрованную информацию;




+
++---
- должны использоваться разные криптографические ключи для шифрования информации, принадлежащей различным субъектам доступа (группам субъектов);







+---
33.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключахДоступ субъектов к операциям шифрования и к соответствующим криптографическим ключам должен дополнительно контролироваться посредством подсистемы управления доступом;




+
++---
33.3. Использование аттестованных (сертифицированных) криптографических средствДолжны использоваться сертифицированные средства криптографической защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации криптографических средств защиты.




+
++---
4IV. Подсистема обеспечения целостности












44.1. Обеспечение целостности программных средств и обрабатываемой информацииДолжна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом:+++++++++Средства Astra Linux, СДЗДля решения задач контроля целостности предназначена библиотека libgost, в которой для вычисления контрольных сумм реализованы функции хеширования в соответствии с ГОСТ Р 34.11-94, ГОСТ Р 34.11-2012 с длиной хеш-кода 256 бит и ГОСТ Р 34.11-2012 с длиной хеш-кода 512 бит. Названная библиотека используется в средствах подсчета контрольных сумм файлов и оптических дисков, контроля соответствия дистрибутиву и регламентного контроля целостности, модулях аутентификации и средствах контроля целостности ФС.
Регламентный контроль целостности обеспечивается набором программных средств, который представляет возможность периодического (с использованием системного планировщика заданий cron) вычисления контрольных сумм файлов и соответствующих им атрибутов с последующим сравнением вычисленных значений с эталонными. В указанном наборе программных средств реализовано использование библиотеки libgost и контроль целостности связанных с файлами атрибутов расширенной подсистемы безопасности PARSEC (мандатных атрибутов и атрибутов расширенной подсистемы протоколирования). Целостность загрузчика и ядра Astra Linux обеспечивается средствами СДЗ.

Регламентный контроль целостности (afick), проверка целостности системы (fly-admin-int-check),
- целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ
++


++
- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;+

++



- целостность СЗИ НСД проверяется по контрольным суммам всех компонент СЗИ как в процессе загрузки, так и динамически в процессе работы АС;




+


Средства Astra Linux, СДЗКонтроль целостности исполняемых файлов и библиотек формата ELF Astra Linux (в том числе СЗИ) и прикладного ПО осуществляется модулем ядра digsig_verif с использованием функции хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса.ЗПС, Регламентный контроль целостности (afick), проверка целостности системы (fly-admin-int-check)
- целостность СЗИ НСД проверяется по имитовставкам алгоритма ГОСТ 28147-89 или по контрольным суммам другого аттестованного алгоритма всех компонент СЗИ как в процессе загрузки, так и динамически в процессе функционирования АС;







+Средства Astra Linux, СДЗКонтроль целостности исполняемых файлов и библиотек формата ELF Astra Linux (в том числе СЗИ) и прикладного ПО осуществляется модулем ядра digsig_verif с использованием функции хеширования в соответствии с ГОСТ Р 34.11-94 и ЭЦП, реализованной в соответствии с ГОСТ Р 34.10-2001, динамически непосредственно при их отображении в адресное пространство процесса.ЗПС
- целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации+

++



Орг-тех.меры, Средства Astra LinuxИсключение из Astra Linux средств разработки и отладки программ осуществляется администратором с помощью инструментов управления пакетами и средствами ограничения программной среды.Управление пакетами, ограничивающие функции безопасности (astra-interpreters-lock, astra-bash-lock, astra-macros-lock)
- обеспечивается отсутствием в АС средств разработки и отладки программ
++


++
- целостность программной среды обеспечивается качеством приемки программных средств в АС, предназначенных для обработки защищенных файлов;




+

+
44.2. Физическая охрана средств вычислительной техники и носителей информацииДолжна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время++++




Орг-тех.меры--
Должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;



+++++Орг-тех.меры--
44.3. Наличие администратора (службы) защиты информации в АСДолжен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД.



++
++Орг-тех.меры, Средства Astra LinuxВ Astra Linux существует возможность организовать единое пространство пользователей (ЕПП), которое представляет собой средства организации работы пользователя в сети АРМ, работающих под управлением Astra Linux.
Организация ЕПП обеспечивает сквозную авторизацию в сети, централизацию хранения информации об окружении пользователей, централизацию хранения настроек системы защиты информации на сервере.
Средства организации ЕПП включают в себя средства администрирования. Решение задачи оперативного контроля обеспечивается средствами централизованного сбора и анализа журналов протоколирования (журналов аудита) в Astra Linux.
Средства организации домена (ALD, FreeIPA), Средства аудита (zabbix)
Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;



++

+
44.4 Периодическое тестирование СЗИ НСДДолжно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;++++

++
Средства Astra LinuxВ состав Astra Linux входят средства тестирования функций СЗИ от НСД, находящиеся в каталоге /usr/lib/parsec/tests. Данный набор обеспечивает тестирование всех функций СЗИ от НСД из состава Astra Linux, включая: управление доступом, регистрация событий, очистка памяти, изоляция модулей, идентификация и аутентификация.
В состав Astra Linux входят средства тестирования функций СЗИ СУБД, обеспечивающие тестирование всех функций СЗИ СУБД, включая управление доступом, регистрацию событий, идентификацию и аутентификацию.
Тестирование СЗИ
Должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год;



++

+
44.5. Наличие средств восстановления СЗИ НСДДолжны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности+++++++++Орг-тех.меры, Средства Astra LinuxСредства организации ЕПП Astra Linux предоставляют возможность развертывания основного и резервных контроллеров домена, обеспечивающих ведение двух или более программных средств СЗИ НСД и баз данных безопасности.
В Astra Linux существует возможность в процессе загрузки после сбоя автоматически выполнять программу проверки и восстановления ФС - fsck.
Если сбой привел к выводу из строя жестких дисков, следует заменить вышедшее из строя оборудования и переустановить Astra Linux с диска с дистрибутивом, а пользовательские данные восстановить с резервной копии.
Резервное копирование используется для восстановления файлов, случайно удаленных пользователями или утерянных из-за отказов устройств хранения, получения периодически создаваемых снимков состояния данных, получения данных для восстановления после аварий.
В состав Astra Linux входят средства комплекс программ Bacula, утилиты rsync и tar для выполнения операций резервного копирования и восстановления объектов ФС с сохранением и восстановлением мандатных атрибутов и атрибутов аудита.
Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер).
Резервирование каналов связи осуществляется с использованием специальных утилит, позволяющих производить агрегацию каналов связи.
Средства резервного копирования (Bacula, dd, tar, luckybackup, rsync), Средства восстановления повреждённых и удалённых данных (ddrescue, testdisk), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), репликация в домене (FreeIPA), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование)
Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие оперативное восстановление функций СЗИ НСД при сбоях;




+


Средства Astra LinuxСредства обеспечения отказоустойчивости и высокой доступности (Pacemaker и Corosync, Keepalived, Ceph, HAProxy, bounding), программный RAID, резервирование в домене (FreeIPA, ALD), репликация в домене (FreeIPA), режим восстановления ОС, механизм проверки и восстановления ФС (fsck), Восстановление СУБД (SQL-дамп, резервное копирование, непрерывное архивирование)
Должны быть в наличии средства восстановления СЗИ НСД, предусматривающие автоматическое оперативное восстановление функций СЗИ НСД при сбоях;







+Средства Astra Linux
44.6. Использование сертифицированных средств защитыДолжны использоваться сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.



+++++Средства Astra Linux,
Орг.Меры
Astra Linux является сертифицированной операционной системой в системе сертификации средств защиты информации ФСТЭК, МО, ФСБ.
При использовании в автоматизированной системе дополнительных средств защиты - они также должны быть сертифицированы.
-