- Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1
- Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux
- Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1
- Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1
- Дискреционный принцип контроля доступа.
- Мандатный принцип контроля доступа.
Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1
Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux
| Требования по защите информации | Классы АС | Средства реализации | Способ реализации меры защиты с использованием штатных средств Astra Linux | Компоненты Astra Linux | ||||||||||
| Раздел | Подсистемы и функции | Требования | 1Д | 2Б | 3Б | 1Г | 1В | 1Б | 3А | 2А | 1А | |||
| ОВ | ||||||||||||||
| СС | ||||||||||||||
| С | ||||||||||||||
| ДСП | ||||||||||||||
| ПД | ||||||||||||||
| 1 | I. Подсистема управления доступом | |||||||||||||
| 1 | 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||||||
| 1 | — в систему | Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного/временного действия длиной не менее указанного количества буквенно-цифровых символов; | 6 | 6 | 6 | 6 | 6 | 8 | 6 | 6 | Средства Astra Linux | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Решение задачи идентификации и аутентификации локальных пользователей в Astra Linux основывается на использовании механизма PAM. Если Astra Linux не настроен для работы в ЕПП, то аутентификация осуществляется с помощью локальной БД пользователей. При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Концепция ЕПП подразумевает хранение системной информации о пользователе (включая доступные мандатные уровни и категории) централизованно в службе каталогов LDAP. Для управления пользователями, группами и настройками их атрибутов используется графическая утилита, соответствующие настройки обеспечивают требования к длине пароля. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Управление политикой безопасности fly-admin-smc (Пользователи, Политики учетной записи). Управление доменным пользователями (FreeIPA,ALD) | |
| Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов | 8 | Средства Astra Linux СДЗ, Токены | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. | |||||||||||
Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1
Возможности реализации требований РД «СВТ. Защита от НСД к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ) средствами операционной системы специального назначения Astra Linux Special Edition, очередное обновление 1.6 и 8.1
В следующей таблице приведены возможности реализации мер защиты согласно руководящему документу РД СВТ. Информация о гарантиях проектирования, составе конструкторской документации и контроле модификации не приведена в эксплуатационной документации на ОС. При разработке и сертификации СВТ на соответствие РД СВТ разработчикам СВТ необходимо разработать собственные документы по настоящим разделам.
Дискреционный принцип контроля доступа.
Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.
Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.
Дискреционное управление доступом применяется к каждой сущности и каждому субъекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x). Права доступа включают список (битовую маску) из девяти пунктов: по три вида доступа для трех классов — пользователя-владельца, группы-владельца и всех остальных. Каждый пункт в этом списке может быть либо разрешен, либо запрещен (равен 1 или 0).
Дополнительно в Astra Linux механизмом дискреционных ПРД поддерживаются списки контроля доступа ACL (Access Control List), реализованные на основе расширенных атрибутов файловых систем.
Реализация механизма дискреционных ПРД обеспечивает наличие для каждой пары (субъект-сущность) явное и недвусмысленное перечисление разрешенных типов доступа.
Мандатный принцип контроля доступа.
Для работы с подсистемой протоколирования могут использоваться средства управления протоколированием в режиме командной строки (setfaud, getfaud, useraud, psaud), а также графические утилиты, которые позволяют настраивать параметры регистрации событий и просмотра протоколов:
— fly-admin-smc («Управление политикой безопасности») — управление протоколированием, привилегиями и мандатными атрибутами пользователей, работа с пользователями и группами;
— system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;