Сетевой протокол сквозной доверенной аутентификации

Содержание
  1. Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
  2. Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7
  3. Возможности по реализации мер защиты информации, содержащейся в ИСПДн, в соответствии с требованиями приказа ФСТЭК России №21, и способов их реализации средствами операционной системы специального назначения Astra Linux Special Edition
  4. Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux Special Edition

Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7

Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России № 239 средствами операционной системы специального назначения Astra Linux Special Edition РУСБ.10015-01 очередное обновление 1.7 и РУСБ.10152-02 очередное обновление 4.7

Меры защиты и обеспечения безопасности Категории значимости ЗО КИИ Средства реализации Уровни защищенности Astra Linux Способ реализации меры защиты, в том числе с использованием штатных средств Astra Linux

Компоненты/Механизмы Astra Linux Эксплуатационная документация и справочная информация по функционированию и настройке штатных средств защиты информации Astra Linux
Раздел Код Меры обеспечения безопасности значимого объекта 3 2 1 Усиленный Максимальный
1 I. Идентификация и аутентификация (ИАФ)
1 ИАФ.0 Регламентация правил и процедур идентификации и аутентификации + + + Организационные мероприятия, ОРД Правила и процедуры идентификации и аутентификации регламентируются ОРД.
1 ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов + + + Средства Astra Linux, Организационные мероприятия
При необходимости: СДЗ, токены
+ + Идентификация и аутентификация пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети, с использованием сетевого протокола сквозной доверенной аутентификации.
При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
Локальная идентификация и аутентификация (PAM),
Сквозная аутентификация (ЕПП),
Поддержка двухфакторной аутентификации (PAM, ЕПП), Контроль исполняемых файлов (ЗПС)
ОП: п.4.1.2 «Идентификация и аутентификация», п.4.1.3 «Организация ЕПП»
РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly», п.19 «Поддержка средств двухфакторной аутентификации»
РКСЗ.1: п.2 «Идентификация и аутентификация»
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD)
https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ)
Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc
1 ИАФ.2 Идентификация и аутентификация устройств + + + Средства Astra Linux, ОРД + + Идентификация устройств осуществляется по логическим именам, по комбинации имени, логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации.
Идентификация терминалов осуществляется по номеру терминала. Идентификация ЭВМ осуществляется средствами Astra Linux по МАС-адресу, по логическим именам, именам в домене.
Идентификация узлов сети осуществляется по IP-адресу и МАС-адресу. Идентификация внешних устройств осуществляется по логическим именам, по комбинации имени (соответствующих файлов в /dev), логического, физического адресов, по информации об устройстве локально или централизованно с использованием сетевого протокола сквозной доверенной аутентификации.
Перечень типов устройств, используемых в информационной системе и подлежащих идентификации и аутентификации, регламентируется ОРД.
Аутентификация внешних устройств осуществляется с использованием средств контроля подключения машинных носителей информации, обеспечивающего надежное сопоставление пользователя с устройством. Аутентификация ЭВМ в домене реализуется средствами Astra Linux с использованием сетевого протокола сквозной доверенной аутентификации.
Идентификация объектов, Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD), Идентификация и аутентификация компьютеров (ЕПП) РА.1: п.13.4 Настройка принтера и управления печатью, п.18 «Средства разграничения доступа к подключаемым устройствам»
РКСЗ.1: п.13 «Контроль подключения съемных машинных носителей информации»
https://wiki.astralinux.ru/x/HAKtAg (Съемные носители в ОС Astra Linux)
Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc
1 ИАФ.3 Управление идентификаторами + + + Средства Astra Linux, Организационные мероприятия, ОРД + + Управление идентификаторами пользователей осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом.
Управление идентификаторами устройств осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом.
Политика учетных записей (fly-admin-smc, FreeIPA,ALD), Средства регистрации и учета устройств (fly-admin-smc, FreeIPA, ALD) РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly»
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD)
https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ)
Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc
1 ИАФ.4 Управление средствами аутентификации + + + Средства Astra Linux, Организационные мероприятия
При необходимости: СДЗ, токены
+ + Управление средствами аутентификации (хранение, выдача, инициализация, блокирование средств) осуществляется администратором локально с помощью инструментов управления политикой безопасности или централизованно с использованием средств управления доменом.
В ОС реализована возможность хранения аутентификационной информации пользователей, полученной с использованием хеш-функций по ГОСТ Р 34.11-2012 (ГОСТ Р 34.11-94).
При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Для защиты аутентификационной информации по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012.
При необходимости применения многофакторной аутентификации, управление токенами производится с использованием средств поддержки двухфакторной аутентификации
Политика учетных записей (fly-admin-smc, FreeIPA,ALD),
Поддержка двухфакторной аутентификации (PAM, ЕПП), Защита хранимой аутентификационной информации
РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly», п.19 «Поддержка средств двухфакторной аутентификации»
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD)
https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ)
Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc
1 ИАФ.5 Идентификация и аутентификация внешних пользователей + + + Средства Astra Linux, Организационные мероприятия
При необходимости: СДЗ, токены
+ + Идентификация и аутентификация внешних пользователей осуществляется локально с использованием механизма PAM или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.
При необходимости применения многофакторной аутентификации, ее использование обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
Локальная идентификация и аутентификация (PAM),
Сквозная аутентификация (ЕПП)
Поддержка двухфакторной аутентификации (PAM, ЕПП)
ОП: п.4.1.2 «Идентификация и аутентификация», п.4.1.3 «Организация ЕПП»
РА.1: п.8 «Средства организации ЕПП», п.11.6 «Рабочий стол Fly», п.19 «Поддержка средств двухфакторной аутентификации»
РКСЗ.1: п.2 «Идентификация и аутентификация»
https://wiki.astralinux.ru/x/e4GhAQ (ALD)
https://wiki.astralinux.ru/x/X4OhAQ (FreeIPA)
https://wiki.astralinux.ru/x/RIImAg (Samba AD и Windows AD)
https://wiki.astralinux.ru/x/XIV0Ag (СКЗИ)
Справка Astra Linux по утилите управления политикой безопасности fly-admin-smc
1 ИАФ.6 Двусторонняя аутентификация Средства Astra Linux. При необходимости: СКЗИ, МЭ + + При удаленном доступе обеспечивается применением сертифицированных криптографических средств защиты информации.

При построении ЕПП защита аутентификационной информации при передаче осуществляется с использованием сетевого протокола сквозной доверенной аутентификации (Kerberos). Для защиты аутентификационной информации по умолчанию используются отечественные алгоритмы по ГОСТ 28147-89 и ГОСТ Р 34.11-2012.

В качестве дополнительной меры контроля трафика на уровне узла может применяться функция фильтрации и контроля сетевых потоков Astra Linux (система netfilter) (не является сертифицированным МЭ). Управление правилами осуществляется администратором с использованием средств управления фильтром (iptables). Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов.

В качестве дополнительной меры при сетевом доступе в рамках ЛВС могут применяться средства OpenVPN* и сервис электронной подписи (СЭП) из состава ОС СН (средства не являются сертифицированными СКЗИ).

При локальном доступе доверенный канал обеспечивается функциями аутентификации и сохранением контекста безопасности в процессе работы. Подсистема мандатного контроля целостности обеспечивает возможность модификации системного программного обеспечения (исполняемых файлов СЗИ, библиотек) или его поведения (конфигурация, наборы входных данных) только доверенным пользователям (высокоцелостным администраторам);

Источник

Возможности по реализации мер защиты информации, содержащейся в ИСПДн, в соответствии с требованиями приказа ФСТЭК России №21, и способов их реализации средствами операционной системы специального назначения Astra Linux Special Edition

Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux Special Edition

Аутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.

Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации Astra Linux Special Edition, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).

Реализуется с применением сертифицированных МЭ.

Дополнительно: у правление информационными потоками в информационной системе осуществляется средствами Astra Linux Special Edition, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.

Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012)

Реализуется с применением сертифицированных МЭ.

Управление информационными потоками в информационной системе осуществляется средствами Astra Linux Special Edition, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.

Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации

Реализуется с применением СКЗИ.

Дополнительно: обеспечение защиты информации при ее передаче обеспечивается средствами контроля целостности передаваемой информации и использования защищенных каналов

Реализуется с применением СКЗИ.

Дополнительно: д оверенный канал обеспечивается средствами создания защищенных каналов и в соответствии с правилами разграничения доступа и установленными привилегиями

Источник

Читайте также:  Документ по безопасности для вычислительных сетей
Оцените статью
Adblock
detector