- Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 31 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
- Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 31 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
- Совместимое оборудование
- Совместимое ПО
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 31 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 31 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
| Меры защиты и обеспечения безопасности | Классы защищенности АСУ | Средства реализации | Уровни защищенности Astra Linux | Способ реализации меры защиты, в том числе с использованием штатных средств Astra Linux | Компоненты/Механизмы Astra Linux | Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации Astra Linux | |||||
| Раздел | Код | Меры защиты информации в автоматизированных системах управления | 3 | 2 | 1 | Усиленный | Максимальный | ||||
| 1 | I. Идентификация и аутентификация (ИАФ) | ||||||||||
| 1 | ИАФ.0 | Разработка политики идентификации и аутентификации | + | + | + | Организационные мероприятия, ОРД | — | — | Политика идентификации и аутентификации регламентируется ОРД. | — | — |
| 1 | ИАФ.1 | Идентификация и аутентификация пользователей и инициируемых ими процессов | + | + | + | Средства Astra Linux, Организационные мероприятия При необходимости: СДЗ, токены | + | + | Идентификация и аутентификация пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). Аутентификация инициируемых пользователями процессов и запускаемых и исполняемых модулей реализуется с использованием механизма контроля целостности исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на исполнение. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Поддержка двухфакторной аутентификации (PAM, ЕПП), Контроль исполняемых файлов (ЗПС) | ОП: п.4.1.2 «Идентификация и аутентификация», п.4.1.3 «Организация ЕПП» РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly», п.19 «Поддержка средств двухфакторной аутентификации» РКСЗ.1: п.2 «Идентификация и аутентификация» https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.2 | Идентификация и аутентификация устройств | + | + | + | Средства Astra Linux, ОРД | + | + | Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Идентификация терминалов осуществляется по номеру терминала. Идентификация ЭВМ осуществляется средствами Astra Linux по МАС-адресу, по логическим именам, именам в домене. Идентификация узлов сети осуществляется по IP-адресу и МАС-адресу. Идентификация внешних устройств осуществляется по логическим именам, по комбинации имени (соответствующих файлов в /dev), логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации. Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД. Аутентификация внешних устройств осуществляется с использованием средств контроля подключения машинных носителей информации, обеспечивающего надежное сопоставление пользователя с устройством. Аутентификация ЭВМ в домене реализуется средствами Astra Linux с использованием сетевого протокола сквозной доверенной аутентификации. | Идентификация объектов, Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Идентификация и аутентификация компьютеров (ЕПП) | РА.1: п.13.4 Настройка принтера и управления печатью, п.18 «Средства разграничения доступа к подключаемым устройствам» РКСЗ.1: п.13 «Контроль подключения съемных машинных носителей информации» https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.3 | Управление идентификаторами | + | + | + | Средства Astra Linux, Организационные мероприятия, ОРД | + | + | Управление идентификаторами пользователей осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. | Политика учетных записей (fly-admin-smc, FreeIPA,ALD), Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD) | РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly» https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.4 | Управление средствами аутентификации | + | + | + | Средства Astra Linux, Организационные мероприятия При необходимости: СДЗ, токены | + | + | Управление средствами аутентификации (хранение, выдача, инициализация, блокирование средств) осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом. В ОС реализована возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012 (ГОСТ Р 34.11-94). При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Для защиты аутентификационной информации по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012. При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации | Политика учетных записей (fly-admin-smc, FreeIPA,ALD), Поддержка двухфакторной аутентификации (PAM, ЕПП), Защита хранимой аутентификационной информации | РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly», п.19 «Поддержка средств двухфакторной аутентификации» https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.5 | Идентификация и аутентификация внешних пользователей | + | + | + | Средства Astra Linux, Организационные мероприятия При необходимости: СДЗ, токены | + | + | Идентификация и аутентификация внешних пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов). | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП) Поддержка двухфакторной аутентификации (PAM, ЕПП) | ОП: п.4.1.2 «Идентификация и аутентификация», п.4.1.3 «Организация ЕПП» РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly», п.19 «Поддержка средств двухфакторной аутентификации» РКСЗ.1: п.2 «Идентификация и аутентификация» https://wiki.astralinux.ru/x/e4GhAQ (ALD) https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA) https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD) https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ) Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc |
| 1 | ИАФ.6 | Двусторонняя аутентификация | Средства Astra Linux. При необходимости: СКЗИ, МЭ | + | + | При удаленном доступе обеспечивается применением сертифицированных криптографических средств защиты информации. | |||||
При построении ЕПП защита аутентификационной информации при передаче осуществляется с использованием сетевого протокола сквозной доверенной аутентификации (Kerberos). Для защиты аутентификационной информации по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012.
В качестве дополнительной меры контроля трафика на уровне узла может применяться функция фильтрации и контроля сетевых потоков Astra Linux (система netfilter) (не является сертифицированным МЭ). Управление правилами осуществляется администратором с использованием средств управления фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов.
В качестве дополнительной меры при сетевом доступе в рамках ЛВС могут применяться средства OpenVPN* и сервис электронной подписи (СЭП) из состава ОС СН (средства не являются сертифицированными СКЗИ).
При локальном доступе доверенный канал обеспечивается функциями аутентификации и сохранением контекста безопасности в процессе работы. Подсистема мандатного контроля целостности обеспечивает возможность модификации системного программного обеспечения (исполняемых файлов СЗИ, библиотек) или его поведения (конфигурация, наборы входных данных) только доверенным пользователям (высокоцелостным администраторам);
Совместимое оборудование
«КОМРАД» предназначен для осуществления централизованного мониторинга событий ИБ, выявления инцидентов ИБ, оперативного реагирования на возникающие угрозы, выполнения требований, предъявляемых регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем и автоматизированных систем управления.
Совместимое ПО
«Генератор» предназначен для учета, генерации и распределения пользователям устойчивых паролей, соответствующих требованиям Минобороны России.
«МДЗ-Эшелон» обеспечивает доверенную загрузку операционной системы, контроль целостности, идентификацию и аутентификацию пользователя до передачи управления операционной системе.
Сертификат Минобороны России №815: СВТ-3, НДВ-2, КИКТ, РДВ.
Сертификат ФСТЭК России №1872: НДВ-2, ТУ
«Сканер-ВС» предназначен для решения широкого спектра задач по тестированию и анализу защищенности информационных систем, а также контроля эффективности средств защиты информации.
«КОМРАД» предназначен для осуществления централизованного мониторинга событий ИБ, выявления инцидентов ИБ, оперативного реагирования на возникающие угрозы, выполнения требований, предъявляемых регуляторами к защите персональных данных, к обеспечению безопасности государственных информационных систем и автоматизированных систем управления.
«ПИК Эшелон» предназначен для проведения инспекционного контроля, пересертификации, контроля целостности и отслеживания изменений версий программных продуктов.
Сертификат Минобороны России №994: НДВ-2.
Централизованная защита всех узлов корпоративной сети