Содержание
- Российский Linux для госсектора обновился по-крупному. Изменен дизайн, модель распространения, добавлены средства защиты
- Масштабный апдейт
- Самое важное изменение
- Развитие средств защиты информации
- Прочие нововведения
- Сертификация пройдена
- Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 17 средствами Astra Linux
- Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
- Принятые обозначения и сокращения
Российский Linux для госсектора обновился по-крупному. Изменен дизайн, модель распространения, добавлены средства защиты
Российская ОС Astra Linux Special Edition обновилась до версии 1.7. В апдейте представлены десятки изменений, в том числе переход на новую версию ядра Linux, модифицированный интерфейс и новые средства защиты информации. Кроме того, теперь Astra Linux Special Edition распространяется как единый дистрибутив, вобравший в себя функции релиза Common Edition.
Масштабный апдейт
Российская группа компаний Astra Linux сообщила CNews о релизе обновления операционной системы Astra Linux Special Edition до версии 1.7. Платформа предназначена для использования в, том числе, в компаниях, работающих с информацией ограниченного доступа. Для этого она еще в мае 2019 г. получила сертификат специального назначения по требованиям безопасности информации к операционным системам типа «А» первого класса защиты в системе сертификации СЗИ ФСТЭК России. Благодаря этому Astra Linux Special Edition стала первой ОС, допущенной в России к гостайне высшей секретности.
Обновленная Astra Linux Special Edition 1.7 базируется на ядре Linux 5.4 LTS (релиз в ноябре 2019 г.), которое в ближайшее время будет обновлено до версии 5.10 (декабрь 2020 г). Апдейт состоится до конца 2021 г. Также в основе системы лежит дистрибутив Debian 10.
Изменения в системе коснулись не только ядра, но заодно и программного наполнения в дополнение к нововведениям в интерфейсе. В частности, появились функции виртуализации и системы управления данными, а также более актуальные средства защиты информации.
На Astra Linux Special Edition постепенно переходят многие российские госведомства. В июле 2021 г. CNews писал, что российское МВД выпустило приказ категории «для служебного пользования», которым наделило ОС Astra Linux особым приоритетом по отношению к другим системам. Этим ведомство существенно упростило для себя закупки этой операционки в защищенной версии Special Edition. На вопрос CNews, могут ли обычные пользователи работать в Special Edition, разработчики ответили: «Да, могут. Но это коммерческий дистрибутив и он не будет распространяться бесплатно»
Самое важное изменение
Одно из главных нововведений в Astra Linux Special Edition, появившихся в сборке 1.7 – это переход к единому дистрибутиву вместо нескольких отдельных релизов – в него вошли и Special Edition, и Common Edition.
Клиентам, желающим отказаться от иностранного ПО в пользу данной ОС, будет предложен выбор из трех режимов работы встроенных средств защиты информации (СЗИ).
Базовый режим работы по своим возможностям полностью сопоставим с дистрибутивом Astra Linux Common Edition, предназначенным для обычных потребителей, не работающих с гостайной. Его будет достаточно для работы с общедоступной информацией в сетях различных организаций. Как сообщили CNews представители Astra Linux, базового уровня также хватит для «защиты информации в государственных информационных системах 3 класса защищенности, информационных системах персональных данных 3-4 уровня защищенности и значимых объектов критической информационной инфраструктуры».
Второй режим работы CPB называется «Усиленный». Со слов разработчиков, он необходим для «обработки и защиты информации ограниченного доступа, не составляющей государственную тайну». Этот режим должен применяться в государственных информационных системах, информационных системах персональных данных и значимых объектах критической информационной инфраструктуры любого класса защищенности.
Третий режим – своего рода эволюция усиленного. В этом случае система обеспечивает защиту гостайны любой степени секретности.
«Для удобства заказчиков мы объединили ряд релизов в один дистрибутив с возможностью выбрать именно тот уровень защищенности, что для них актуален. При этом компания продолжит предоставлять услуги поддержки тем клиентам, которые используют Astra Linux Special и Common Edition, выпущенные ранее», – сообщил CNews директор по продуктам ГК Astra Linux Евгений Векшин.
«Теперь можно покупать лицензии на разные режимы работы, что бы не переплачивать, в зависимости от того, какой объем СЗИ нужен», – сообщили CNews представители ГК Astra Linux.
Развитие средств защиты информации
Как сообщили CNews разработчики Astra Linux Special Edition, в версии 1.7 базовые механизмы защиты данных научились работать независимо друг от друга. Это касается мандатного контроля целостности, замкнутой программной среды, а также мандатное управление доступом и гарантированное затирание удаляемых данных.
Переход к такому режиму работы алгоритмов защиты дает возможность более гибкой настройки системы защиты. Теперь их станет проще подстраивать под требования конкретной информационной системы.
В дополнение к этому в разработчики добавили в систему фильтрацию сетевых пакетов по классификационным меткам в протоколе IPv6. Модернизации подвергся и штатный файловый сервер Samba. Теперь в нем есть поддержка упомянутого мандатного управления доступом на всех версиях протокола SMB.
Прочие нововведения
В дополнение к новому ядру и усиленным средствам защиты информации ОС Astra Linux Special Edition 1.7 получила и обновление штатных приложений. Так, основной домен FreeIPA обновился до версии 4.8.5, а SambaDC (файловый сервер) – до 4.12.5. Не обошлось и без апдейта предустановленного офисного пакета LibreOffice – он доступен в версии 7.1.
Список штатных программ новой операционки дополняет защищенная редакция СУБД PostgreSQL 11.10 наряду со средствами сетевого мониторинга Zabbix 5.0.4. Дополнительно в ОС реализована поддержка контейнерной виртуализации. Также новая версия поддерживает расширенный репозиторий.
Обновился и интерфейс системы – появились новые цветовые схемы, тема входа, плюс изменился дизайн иконок панели задач и меню «Пуск». Еще одно немаловажное изменение – в системе появился отечественный шрифт PT Astra Fact. Как сообщал CNews, он был разработан на замену шрифта Verdana и является полным его аналогом, соответствующим концепции импортозамещения. Оригинальный американский шрифт Verdana в марте 2021 г. был исключен из российских ГОСТов. Разработкой PT Astra Fact занималась отечественная компания «Паратайп».
На запрос CNews о судьбе шрифта Verdana в составе ОС Astra Linux Special Edition разработчики ответили, что его в этой системе «нет и не было». «Для пользователей в офисном пакете доступны и наши шрифты PT Astra Sans, PT Serif», – добавили они.
Шрифты PT Astra Serif и PT Astra Sans были разработаны все той же компанией «Паратайп». Это полная метрически идентичная замена шрифта Times New Roman.
Сертификация пройдена
По заявлениям разработчиков, Astra Linux Special Edition 1.7 успешно прошла проверку в системе сертификации СЗИ ФСТЭК России по первому (самому высокому) уровню доверия. Другими словами, система была признана полностью соответствующей «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», а также «Требованиям безопасности информации к операционным системам» и «Профилю защиты операционных систем типа А первого класса защиты. ИТ.ОС.А1.ПЗ».
«Решение может применяться в ИТ-системах, которые обрабатывают любую информацию ограниченного доступа, включая государственную тайну “особой важности” – об этом свидетельствует сертификат соответствия № 2557, переоформленный 7 октября 2021 г. В переоформленном сертификате прописано наличие в продукте функций системы управления базами данных и среды виртуализации. Это дополнительно подтверждает корректность применения встроенных средств виртуализации и СУБД в защищенных системах, а также реализацию мер защиты», – заявили CNews разработчики.
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 17 средствами Astra Linux
Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
Принятые обозначения и сокращения
| Сокращения | Обозначения | Описание |
| РА.1 | Руководство администратора. Часть 1. РУСБ.10015-01 95 01-1 | Эксплуатационная документация из комплекта поставки Astra Linux |
| РА.2 | Руководство администратора. Часть 1. РУСБ.10015-01 95 01-2 | |
| РКСЗ.1 | Руководство по КСЗ. Часть 1 РУСБ.10015-01 97 01-1 | |
| РКСЗ.2 | «Руководство по КСЗ. Часть 2 РУСБ.10015-01 97 01-2» | |
| РП.1 | Руководство пользователя. Часть 1. РУСБ.10015-01 93 01-1 | |
| ОП | Описание применения. РУСБ.10015-01 31 01 | |
| wiki.astralinux.ru | Официальный справочный интернет-ресурс wiki.astralinux.ru | Официальный справочный интернет-ресурс, содержащий информацию о порядке эксплуатации и вариантах реализации настроек Astra Linux |
| справка Astra Linux | Электронная справка Astra Linux | Электронная справка Astra Linux, вызываемая комбинацией клавиш ALT+F1 из интерфейса Astra Linux |
| Условное обозначение и номер меры | Меры защиты информации в информационных системах | Способ реализации меры защиты с использованием штатных средств Astra Linux | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации Astra Linux |
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | |||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | ОП: п.4.1.3, 4.1.4 РА.1: п.7, п.8.6, п.17 РКСЗ.1: п.2 https://wiki.astralinux.ru/x/e4GhAQ https://wiki.astralinux.ru/x/X4OhAQ https://wiki.astralinux.ru/x/RIImAg https://wiki.astralinux.ru/x/XIV0Ag Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc | |
| ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации | РА.1: п.16 РКСЗ.1: п.13 https://wiki.astralinux.ru/x/j4KhAQ Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов пользователя | Управление идентификаторами пользователей (присвоение и блокирование идентификаторов, а также ограничение срока действия идентификаторов (учетных записей) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности | РА.1: п.7, п.8.6 https://wiki.astralinux.ru/x/e4GhAQ https://wiki.astralinux.ru/x/X4OhAQ https://wiki.astralinux.ru/x/RIImAg Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | Управление средствами аутентификации осуществляется администратором, для защиты аутентификационной информации в Astra Linux по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012 | РА.1: п.7, 8.6, 14 https://wiki.astralinux.ru/x/e4GhAQ https://wiki.astralinux.ru/x/X4OhAQ https://wiki.astralinux.ru/x/RIImAg Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | Защита обратной связи при вводе аутентификационной информации обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсе | РП:1: п.2.1 Справка Astra Linux по утилитам настройки графического входа в систему fly-admin-dm, запуска серверной части системы fly-dm и поддержки графического интерфейса fly-qdm |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | Аутентификация осуществляется локально или с помощью организации единого пространства пользователей | РА.1: п.7, п.8.6, п.17 РКСЗ.1: п.2 https://wiki.astralinux.ru/x/e4GhAQ https://wiki.astralinux.ru/x/X4OhAQ https://wiki.astralinux.ru/x/RIImAg Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| ИАФ.7 | Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа | Идентификация всех объектов и устройств и применение результатов идентификации при реализации механизмов управления доступом, контроля целостности, резервного копирования и регистрации событий безопасности, связанных с этими объектами доступа | ОП: 4.1.10, 4.2, 4.3 РКСЗ.1: п.2, п.9 |
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | |||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально или централизованно с помощью инструментов управления политикой безопасности | РА.1: п.3.4, п.7, п.8.6 https://wiki.astralinux.ru/x/e4GhAQ https://wiki.astralinux.ru/x/X4OhAQ https://wiki.astralinux.ru/x/RIImAg https://wiki.astralinux.ru/x/R4AS Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | Монитор обращений из состава Astra Linux предусматривает дискреционное, мандатное и ролевое управление доступом, а также реализацию мандатного контроля целостности. Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. | РКСЗ.1: п.3, п.4 РА.2 ОП: п.4.1.5, п.4.1.6, п.4.3.4 |
| УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | РКСЗ.1: п.11, п.3, п.4 | |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | Разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией оператора | РА.1: п.3.4, п.8.6 РКСЗ.1: п.3, п.4 Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | Назначение минимально необходимых прав и привилегий, разделение полномочий (ролей) пользователей осуществляется администратором с помощью инструментов управления политикой безопасности в соответствии с организационно-распорядительной документацией оператора | РА.1: п.3.4, п.8.6 РКСЗ.1: п.3, п.4 Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | Ограничение количества неуспешных попыток входа и блокирования учетной записи и сеанса доступа пользователя при превышении числа неуспешных попыток аутентификации устанавливается администратором с помощью инструментов управления политикой безопасности | РА.1: п.3.4 РКСЗ.1: п.2 |
| УПД.7 | Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации | ||
| УПД.8 | Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему | Сведения о предыдущей аутентификации, количестве успешных и неуспешных попыток входа предоставляются пользователю (в соответствии с его правилами разграничения доступа) и администратору с использованием средств протоколирования | |
| УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы | Ограничение числа параллельных сеансов для каждого пользователя (или группы) и мониторинга осуществляется администратором с помощью инструментов управления политикой безопасности и встроенных программных решений организации распределенного мониторинга | РА.1: п.15 РП: п.3 Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | Блокирование сеанса доступа пользователя по истечении заданного администратором интервала времени бездействия осуществляется автоматически или по запросу | РА.1: п.8.6 РКСЗ.1: п.17.2 Справка Astra Linux по утилите настройки элементов рабочего стола fly-admin-theme |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | Решение о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение, запись, исполнение), мандатного контекста безопасности пользователя и классификационной метки объекта. Управление доступом осуществляется применительно ко всем объектам, включая объекты файловой системы, базы данных, процессам и устройствам. | РКСЗ.1: п.3, п.4 |
| УПД.12 | Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки | В Astra Linux реализовано мандатное управление доступом к информации в процессе ее хранения и обработки с учетом атрибутов безопасности (классификационных меток в формате, установленном ГОСТ Р 58256) | РКСЗ.1: п.4 |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | ||
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | ||
| УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | Реализуется средствами Astra Linux, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа | РА.1: п.16 РКСЗ.1: п.13 https://wiki.astralinux.ru/x/j4KhAQ Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | ||
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | ||
| III. Ограничение программной среды (ОПС) | |||
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения | Задача запуска в информационной системе разрешенного программного обеспечения реализуется средствами ограничения программной среды | РКСЗ.1: п.14, п.16 https://wiki.astralinux.ru/x/6oR0Ag |
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | Задача управления установкой в информационную систему разрешенного программного обеспечения реализуется средствами регламентного контроля целостности устанавливаемого программного обеспечения в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи | РА.1: п.9, п.14 ОП: п.4.1.10 РКСЗ.1: п.16 https://wiki.astralinux.ru/x/OwAy https://wiki.astralinux.ru/x/6oR0Ag |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | Задача установки в информационную систему разрешенного программного обеспечения реализуется средствами регламентного контроля целостности устанавливаемого программного обеспечения в составе доверенного служебного репозитория с использованием хэш-функции или электронной цифровой подписи | РА.1: п.9, п.14 РКСЗ.1: п.16 https://wiki.astralinux.ru/x/OwAy https://wiki.astralinux.ru/x/6oR0Ag |
| IV. Защита машинных носителей информации (ЗНИ) | |||
| ЗНИ.1 | Учет машинных носителей информации | Реализуется средствами Astra Linux, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа | РКСЗ.1: п.13 https://wiki.astralinux.ru/x/j4KhAQc |
| ЗНИ.2 | Управление доступом к машинным носителям информации | ||
| ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | ||
| ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах | ||
| ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации | Реализуется средствами Astra Linux, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа | РКСЗ.1: п.13 https://wiki.astralinux.ru/x/j4KhAQc |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | Реализуется средствами Astra Linux, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа | РКСЗ.1: п.13 https://wiki.astralinux.ru/x/j4KhAQc |
| ЗНИ.7 | Контроль подключения машинных носителей информации | Реализуется средствами Astra Linux, обеспечивающими контроль использования интерфейсов ввода (вывода) средств вычислительной техники, типов подключаемых внешних программно-аппаратных устройств и конкретных съемных машинных носителей информации на основе установленных администратором правил разграничения доступа | РКСЗ.1: п.13 https://wiki.astralinux.ru/x/j4KhAQc |
| ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | Задача уничтожения (стирания) информации, исключения возможности восстановления защищаемой информации реализуется с помощью средств защиты памяти, настройки параметров использования машинных носителей | РКСЗ.1: п.8 https://wiki.astralinux.ru/x/roh0Ag https://wiki.astralinux.ru/x/V4CJ https://wiki.astralinux.ru/x/DALoAg |
| V. Регистрация событий безопасности (РСБ) | |||
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | События безопасности, подлежащие регистрации, и сроки их хранения определяются администратором | РКСЗ.1: п.6 |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | Состав и содержание информации о событиях безопасности, подлежащих регистрации, определяются администратором | РКСЗ.1: п.6 |
| РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | Сбор, запись и хранение информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и ведения журналов аудита событий безопасности, установленных администратором, хранения записей системных журналов и записей о событиях безопасности в обособленном хранилище. Для своевременного выявления инцидентов и реагирования на них в информационной системе используются системы управления событиями безопасности (SIEM) | РА.1: п.15 РКСЗ.1: п.6.3 https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | Реагирование на сбои регистрации и предупреждения администратора при заполнении объема памяти для хранения информации о событиях безопасности осуществляются с помощью средств централизованного протоколирования и аудита событий безопасности | РА.1: п.15 https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности реализуется с использованием средств организации распределенного мониторинга сети и жизнеспособности и целостности серверов. С целью выявления инцидентов безопасности и реагирования на них и анализа записанных сетевых потоков в информационной системе могут использоваться сертифицированные системы управления событиями безопасности (SIEM) и систем обнаружения вторжений | РА.1: п.15 https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | Синхронизация системного времени в информационной системе реализуется с использованием возможностей синхронизации системных часов | РА.1: п.5.7 https://wiki.astralinux.ru/x/l4GhAQ |
| РСБ.7 | Защита информации о событиях безопасности | Защита информации о событиях безопасности реализуется монитором обращений в соответствии с реализованными правилами разграничения доступа к журналам аудита | РА.1: п.15 РКСЗ.1: п.3, п.4 https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| РСБ.8 | Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе | Просмотр и анализ информации о действиях пользователей предоставляется администратору (пользователям в соответствии с установленными правилами разграничения доступа) с использованием средств централизованного протоколирования и ведения журналов аудита событий безопасности | РА.1: п.15 https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| VI. Антивирусная защита (АВЗ) | |||
| АВЗ.1 | Реализация антивирусной защиты | ||
| АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | ||
| VII. Обнаружение вторжений (СОВ) | |||
| СОВ.1 | Обнаружение вторжений | ||
| СОВ.2 | Обновление базы решающих правил | ||
| VIII. Контроль (анализ) защищенности информации (АНЗ) | |||
| АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | Выявление и оперативное устранение уязвимостей Astra Linux производится разработчиком в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131, и ГОСТ Р 56939 | ОП: п.3 |
| АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | Контроль целостности обновлений Astra Linux осуществляется проведением динамического контроля целостности файлов с использованием электронной цифровой подписи и регламентного контроля целостности с использованием функции хэширования | ОП: п.3.2 https://wiki.astralinux.ru/x/X4AmAg |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | Контроль работоспособности встроенного комплекса средств защиты информации Astra Linux осуществляется с помощью автоматического и регламентного тестирования функций безопасности | РКСЗ.2 |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | Контроль программного обеспечения и средств защиты информации осуществляется в соответствии с ОПС.1-3, регистрация событий и удаления программ в соответствии с РСБ.3. | РА.1: п.14, п.15 https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | РА.1: п.15 https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc | |
| IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | |||
| ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | Для обеспечения контроля целостности программного обеспечения и средств защиты информации используются средства динамического и регламентного контроля целостности | РКСЗ.1: п.9 |
| ОЦЛ.2 | Контроль целостности информации, содержащейся в базах данных информационной системы | Контроль целостности информации реализуется с использованием функций безопасности системы управления базами данных | РА.2 РА.1: п.14 РКСЗ.1: п.9 |
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | В целях обеспечения возможности восстановления работоспособности системы используется режим восстановления и средства резервного копирования | РА.1: п.10 https://wiki.astralinux.ru/x/dQHGAg |
| ОЦЛ.4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) | ||
| ОЦЛ.5 | Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы | Контроль содержания информации, основанный на свойствах объектов доступа, осуществляется согласно установленной политики управления доступом | РКСЗ.1: п.3, п.4 |
| ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему | Ввод пользователями информации осуществляется строго с учетом и в соответствии с установленными правилами разграничения доступа (УПД.2, УПД.4) | РКСЗ.1: п.3, п.4 |
| ОЦЛ.7 | Контроль точности, полноты и правильности данных, вводимых в информационную систему | ||
| ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | Контроль осуществляется средствами протоколирования и аудита событий (в том числе, действий пользователя) в соответствии с установленными правилами разграничения доступа | РКСЗ.1: п.3, п.4 РА.1: п.15 https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| X. Обеспечение доступности информации (ОДТ) | |||
| ОДТ.1 | Использование отказоустойчивых технических средств | Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер) | РА.1: п.4.4 |
| ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы | ||
| ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | Контроль за состоянием информационной системы осуществляется путем регистрации событий и анализа содержимого системных журналов | РА.1: п.15 https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ОДТ.4 | Периодическое резервное копирование информации на резервные машинные носители информации | Резервное копирование осуществляется с использованием специальных программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы с сохранением их атрибутов безопасности и аудита | РА.1: п.10 https://wiki.astralinux.ru/x/dQHGAg https://wiki.astralinux.ru/x/roh0Ag |
| ОДТ.5 | Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала | Резервное копирование осуществляется с использованием программ и утилит, позволяющих восстанавливать информацию и объекты файловой системы, и сервисов планирования выполнения заданий | |
| ОДТ.6 | Кластеризация информационной системы и (или) ее сегментов | Возможность работы Astra Linux на нескольких технических средствах в отказоустойчивом режиме обеспечивает доступность сервисов и информации при выходе из строя одного из технических средств (отказоустойчивый кластер) | ОП: 4.3.2 РА1: п.4.4, п.4.5 |
| ОДТ.7 | Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации | ||
| XI. Защита среды виртуализации (ЗСВ) | |||
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | Идентификация и аутентификация в виртуальной инфраструктуре осуществляется согласно ИАФ.1, ИАФ.2, ИАФ.3, ИАФ.4, ИАФ.5, ИАФ.6 и ИАФ.7 | РКСЗ.1: п.5, п.2 РА.1: п.2.4 |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | Управление доступом осуществляется согласно УПД.1, УПД.2, УПД.4, УПД.5, УПД.6, УПД.9, УПД.10, УПД.11, УПД.12, УПД.13 с использованием технологии KVM, которая включает специальный модуль ядра и средство создания виртуального аппаратного окружения для изоляции и управления виртуальными гостевыми машинами | РКСЗ.1: п.5 |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | Регистрация событий безопасности в виртуальной инфраструктуре осуществляется согласно РСБ.1, РСБ.2, РСБ.3, РСБ.4 и РСБ.5 с использованием интерфейсов управления средствами виртуализации, штатных средств протоколирования и аудита | РКСЗ.1: п.5 РА.1: п.15 https://wiki.astralinux.ru/x/E4NOAg https://wiki.astralinux.ru/x/-4JOAg |
| ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | РКСЗ.1: п.3. п.4, п.11 РА.1: п.14 | |
| ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | РКСЗ.1: п.16 РА.1: п.14 https://wiki.astralinux.ru/x/pAXoAg | |
| ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | Управление перемещением виртуальных машин реализуется с использованием интерфейсов управления средствами виртуализации | РКСЗ.1: п.3, п.4, п.5 РА.1: п.2.4 https://wiki.astralinux.ru/x/pAXoAg |
| ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машин | РКСЗ.1: п.16 РА.1: п.14 https://wiki.astralinux.ru/x/pAXoAg |
| ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | Резервное копирование реализуется с использованием средств кластеризации и создания распределенных хранилищ информации | РА.1: п.4.4, п.10.3 |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | ||
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей | Разбиение виртуальной инфраструктуры на сегменты обеспечивается с использованием штатных средств Astra Linux, реализующих технологию виртуальных локальных сетей (VLAN) стандарта IEEE 802.1q | |
| XII. Защита технических средств (ЗТС) | |||
| ЗТС.1 | Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам | ||
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | ||
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | ||
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | ||
| ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | ||
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | |||
| ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы | Разделение функций по управлению (администрированию) системой в целом и системой защиты информации, функций по обработке информации реализуется согласно мерам УПД | см. раздел II. УПД |
| ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | Предотвращение задержки или прерывания выполнения процессов осуществляется с использованием утилит управления приоритетами процессов | РА.1: п.4.2.3 |
| ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | Обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использования защищенных каналов | РА.1: п.5.9, п.14 РКСЗ.1: п.9 |
| ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) | Доверенный канал обеспечивается средствами создания защищенных каналов и в соответствии с правилами разграничения доступа и установленными привилегиями | РА.1: п.5.9, п.3. п.4 |
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | Запрет реализуется с помощью исключения или блокирования доступа к модулям, отвечающим за работу соответствующих периферийных устройств, в соответствии с установленными правилами разграничения доступа, а также применением механизма фильтрации сетевых пакетов | РКСЗ.1: п.11 РА.1: 3, п.4 |
| ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами | Защита реализуется с применением сертифицированных средств защиты информации, реализующих функции контроля и фильтрации сетевого потока, поддерживающих управление сетевыми потоками с использованием классификационных меток. Передача и контроль целостности атрибутов информации осуществляется в соответствии с политикой управления доступом с учетом атрибутов передаваемой информации (классификационными метками в формате в соответствии с ГОСТ Р 58256 и контрольными суммами, вычисляемыми в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012). Целостность заголовка IP-пакетов, содержащего классификационную метку, обеспечивается с применением средств защиты канала передачи информации | РКСЗ.1: п.4, п.9, п.11 РА.1: п.14 |
| ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | Исключение несанкционированного использования технологий (запрета исполнения и несанкционированного использования кода) реализуется средствами создания ограничение программной среды, в частности созданием «замкнутой программной среды». Контроль осуществляется с помощью инструментов регистрации и анализа событий безопасности в системных журналах. | РКСЗ.1: п.6.3, п.16 РА.1: п.15 https://wiki.astralinux.ru/x/6oR0Ag |
| ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | ||
| ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | ||
| ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам | Подтверждение происхождения источника получаемой информации осуществляется службой DNS (системой доменных имен) | РА.1: п.5.5 https://wiki.astralinux.ru/x/yIOhAQ |
| ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | Осуществляется средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами. Подлинность сетевых соединений обеспечивается средствами организации сквозной доверенной аутентификации, использования защищенных каналов и проверки целостности передаваемых пакетов | РКСЗ.1: п.11 РА.1: п.5.9, п.7.1 |
| ЗИС.12 | Исключение возможности отрицания пользователем факта отправки информации другому пользователю | https://wiki.astralinux.ru/x/XIV0Ag | |
| ЗИС.13 | Исключение возможности отрицания пользователем факта получения информации от другого пользователя | https://wiki.astralinux.ru/x/XIV0Ag | |
| ЗИС.14 | Использование устройств терминального доступа для обработки информации | Возможность обработки информации с помощью устройств терминального доступа реализуется средствами реализации терминального сервера, технологий «тонкого клиента» в сетях с клиент-серверной или терминальной архитектурой и службы виртуальных рабочих столов | https://wiki.astralinux.ru/x/0wetAg |
| ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации | Защита файлов, не подлежащих изменению, реализуется средствами контроля целостности объектов файловой системы и настройкой правил разграничения доступа | РКСЗ.1: п.9.4, п.16 |
| ЗИС.16 | Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов | В Astra Linux идентифицированы и приведены условия исключения скрытых каналов передачи информации в соответствии с «Требованиями к уровням доверия», утвержденным приказом ФСТЭК России №131. Условиями исключения скрытых каналов является реализуемая Astra Linux политика дискреционного и мандатного управления доступом, мандатного контроля целостности, а также возможность изоляции процессов в совокупности с очисткой областей оперативной памяти и обеспечение запуска процессов в замкнутой относительно остальных процессов среде по памяти | РКСЗ.1: п.17.3.3 |
| ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | ||
| ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения | Обеспечение загрузки и исполнения программного обеспечения и контроль целостности программного обеспечения осуществляется средствами управления доступом к подключаемым устройствам и средствами контроля целостности | РА.1: п.16 РКСЗ.1: п.16 https://wiki.astralinux.ru/x/j4KhAQ https://wiki.astralinux.ru/x/HAKtAg https://wiki.astralinux.ru/x/6oR0Ag |
| ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | Изоляция процессов (выполнение программ) в выделенной области памяти реализована в ядре Astra Linux | РКСЗ.1: п.7 |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | ||
| ЗИС.21 | Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы | Исключение доступа пользователя к «остаточной» информации реализуется с использованием механизмов очистки оперативной и внешней памяти и изоляции процессов в соответствии с установленными правилами разграничения доступа | РКСЗ.1: п.7. п.8 |
| ЗИС.22 | Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы | Обеспечение защиты от угроз, направленных на отказ в обслуживании, реализуется ограничением замкнутой программной среды, настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов, интерпретаторов, макросов и консолей | РКСЗ.1: п.16 https://wiki.astralinux.ru/x/LoKhAQ https://wiki.astralinux.ru/x/-YR0Ag |
| ЗИС.23 | |||