- Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
- Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux
- Методика безопасности № 2022-0222CE212MD
- Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux
- Возможности по реализации мер защиты информации, содержащейся в ИСПДн, в соответствии с требованиями приказа ФСТЭК России №21, и способов их реализации средствами операционной системы специального назначения Astra Linux Special Edition
- Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux Special Edition
Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux
Аутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.
Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
Реализуется с применением сертифицированных межсетевых экранов.
Управление информационными потоками в информационной системе осуществляется средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012)
Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6
Реализуется с применением сертифицированных межсетевых экранов.
Управление информационными потоками в информационной системе осуществляется средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации
Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузки
Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями
Методика безопасности № 2022-0222CE212MD
Методика безопасности для операционной системы общего назначения Astra Linux Common Edition 2.12, далее по тексту — Astra Linux, предназначенные для нейтрализации уязвимостей в информационных системах.
Перечень уязвимостей, закрываемых настоящей методикой безопасности, предоставляется после соответствующего обращения на портале технической поддержки.
Настоящая методика безопасности не является кумулятивной. При выполнении указаний данной методики безопасности другие виды обновлений автоматически не применяются и должны быть установлены отдельно.
Перед применением настоящей методикой безопасности рекомендуется обновить Astra Linux до версии 2.12.43
В данной методике безопасности представлены методические рекомендации по устранению уязвимости. Обновлённые пакеты ядра Linux, в которых устранена уязвимость, предоставлены в методике безопасности №2022-0318CE212MD.
Методика безопасности, нейтрализующая угрозу эксплуатации уязвимости ядра linux
Для нейтрализации угрозы эксплуатации уязвимости ядра linux необходимо запретить непривилегированным пользователям создавать новые пространства имен пользователей, установив значение параметра ядра kernel.unprivileged_userns_clone равным «0». Чтобы проверить текущее значение параметра ядра необходимо выполнить команду:
- 0 — в случае, когда непривилегированным пользователям запрещено создавать новые пространства имен пользователей;
- 1 — в случае, когда непривилегированным пользователям разрешено создавать новые пространства имен пользователей.
Для того чтобы временно (до перезагрузки системы) запретить непривилегированным пользователям создавать новые пространства имен пользователей, необходимо выполнить команду:
Для того чтобы установленное значение параметра ядра сохранилось после перезагрузки, необходимо:
- Добавить в файл /etc/sysctl.d/999-astra.conf следующую строку:
kernel.unprivileged_userns_clone = 0
При применении настоящей методики сервис Rootless docker, а также любые сервисы и решения в конфигурациях, требующих создания пространства имен пользователей непривилегированным пользователем, не будут функционировать в этом режиме.
В состав следующего оперативного обновления войдут обновлённые пакеты, в которых будет устранена угроза эксплуатации уязвимости без необходимости запрета создания пространства имен пользователей непривилегированным пользователем.
Возможности по реализации мер защиты информации, содержащейся в ИСПДн, в соответствии с требованиями приказа ФСТЭК России №21, и способов их реализации средствами операционной системы специального назначения Astra Linux Special Edition
Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux Special Edition
Аутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.
Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации Astra Linux Special Edition, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
Реализуется с применением сертифицированных МЭ.
Дополнительно: у правление информационными потоками в информационной системе осуществляется средствами Astra Linux Special Edition, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012)
Реализуется с применением сертифицированных МЭ.
Управление информационными потоками в информационной системе осуществляется средствами Astra Linux Special Edition, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации
Реализуется с применением СКЗИ.
Дополнительно: обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использования защищенных каналов
Реализуется с применением СКЗИ.
Дополнительно: д оверенный канал обеспечивается средствами создания защищенных каналов и в соответствии с правилами разграничения доступа и установленными привилегиями