- Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
- Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
- Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
- Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Меры защиты и обеспечения безопасности | Категории значимости ЗО КИИ | Средства реализации | Уровни защищенности Astra Linux | Способ реализации меры защиты, в том числе с использованием штатных средств Astra Linux | Компоненты/Механизмы Astra Linux | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации Astra Linux | |||||
Раздел | Код | Меры обеспечения безопасности значимого объекта | 3 | 2 | 1 | Усиленный | Максимальный | ||||
1 | I. Идентификация и аутентификация (ИАФ) | ||||||||||
1 | ИАФ.0 | Регламентация правил и процедур идентификации и аутентификации | + | + | + | Организационные мероприятия, ОРД | — | — | Правила и процедуры идентификации и аутентификации регламентируются ОРД. | — | — |
1 | ИАФ.1 | Идентификация и аутентификация пользователей и инициируемых ими процессов | + | + | + | Средства Astra Linux, Организационные мероприятия При необходимости: СДЗ, токены | + | + | Идентификация и аутентификация пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети, с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Поддержка двухфакторной аутентификации (PAM, ЕПП), Контроль исполняемых файлов (ЗПС) | ОП: п.4.1.2 «Идентификация и аутентификация», п.4.1.3 «Организация ЕПП» РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly», п.19 «Поддержка средств двухфакторной аутентификации» РКСЗ.1: п.2 «Идентификация и аутентификация» https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.2 | Идентификация и аутентификация устройств | + | + | + | Средства Astra Linux, ОРД | + | + | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Идентификация терминалов осуществляется по номеру терминала. Идентификация ЭВМ осуществляется средствами Astra Linux по МАС-адресу, по логическим именам, именам в домене. Идентификация узлов сети осуществляется по IP-адресу и МАС-адресу. Идентификация внешних устройств осуществляется по логическим именам, по комбинации имени (соответствующих файлов в /dev), логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация внешних устройств осуществляется с использованием средств контроля подключения машинных носителей информации, обеспечивающего надежное сопоставление пользователя с устройством. Аутентификация ЭВМ в домене реализуется средствами Astra Linux с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация объектов, Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Идентификация и аутентификация компьютеров (ЕПП) | РА.1: п.13.4 Настройка принтера и управления печатью, п.18 «Средства разграничения доступа к подключаемым устройствам» РКСЗ.1: п.13 «Контроль подключения съемных машинных носителей информации» https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.3 | Управление идентификаторами | + | + | + | Средства Astra Linux, Организационные мероприятия, ОРД | + | + | Управление идентификаторами пользователей осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Политика учетных записей (fly-admin-smc, FreeIPA,ALD), Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD) | РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly» https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.4 | Управление средствами аутентификации | + | + | + | Средства Astra Linux, Организационные мероприятия При необходимости: СДЗ, токены | + | + | Управление средствами аутентификации (хранение, выдача, инициализация, блокирование средств) осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. В ОС реализована возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012 (ГОСТ Р 34.11-94). При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Для защиты аутентификационной информации по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012. При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации | Политика учетных записей (fly-admin-smc, FreeIPA,ALD), Поддержка двухфакторной аутентификации (PAM, ЕПП), Защита хранимой аутентификационной информации | РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly», п.19 «Поддержка средств двухфакторной аутентификации» https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.5 | Идентификация и аутентификация внешних пользователей | + | + | + | Средства Astra Linux, Организационные мероприятия При необходимости: СДЗ, токены | + | + | Идентификация и аутентификация внешних пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Поддержка двухфакторной аутентификации (PAM, ЕПП) | ОП: п.4.1.2 «Идентификация и аутентификация», п.4.1.3 «Организация ЕПП» РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly», п.19 «Поддержка средств двухфакторной аутентификации» РКСЗ.1: п.2 «Идентификация и аутентификация» https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
1 | ИАФ.6 | Двусторонняя аутентификация | Средства Astra Linux. При необходимости: СКЗИ, МЭ | + | + | При удаленном доступе обеспечивается применением сертифицированных криптографических средств защиты информации. |
При построении ЕПП защита аутентификационной информации при передаче осуществляется с использованием сетевого протокола сквозной доверенной аутентификации (Kerberos). Для защиты аутентификационной информации по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012.
В качестве дополнительной меры контроля трафика на уровне узла может применяться функция фильтрации и контроля сетевых потоков Astra Linux (система netfilter) (не является сертифицированным МЭ). Управление правилами осуществляется администратором с использованием средств управления фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов.
В качестве дополнительной меры при сетевом доступе в рамках ЛВС могут применяться средства OpenVPN* и сервис электронной подписи (СЭП) из состава ОС СН (средства не являются сертифицированными СКЗИ).
При локальном доступе доверенный канал обеспечивается функциями аутентификации и сохранением контекста безопасности в процессе работы. Подсистема мандатного контроля целостности обеспечивает возможность модификации системного программного обеспечения (исполняемых файлов СЗИ, библиотек) или его поведения (конфигурация, наборы входных данных) только доверенным пользователям (высокоцелостным администраторам);
Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux
Аутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.
Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
Реализуется с применением сертифицированных межсетевых экранов.
Управление информационными потоками в информационной системе осуществляется средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012)
Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6
Реализуется с применением сертифицированных межсетевых экранов.
Управление информационными потоками в информационной системе осуществляется средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации
Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузки
Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями