- Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
- Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux
- Уровни конфиденциальности
- Режим Мандатного Контроля Целостности
- Режим Мандатного Контроля Целостности ФС
- Режим ЗПС (замкнутой программной среды) в исполняемых файлах
- Блокировка консоли для пользователей
- Блокировка интерпретаторов
- Блокировка установки бита исполнения
- Блокировка макросов
- Блокировка трассировки ptrace
- Гарантированное удаление файлов и папок
- Межсетевой экран ufw
- Системные ограничения ulimits
- Блокировка клавиш SysRq
- Режим ЗПС (замкнутой программной среды) в расширенных атрибутах
- Графический киоск
- Системный киоск
Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux
Аутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.
Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
Реализуется с применением сертифицированных межсетевых экранов.
Управление информационными потоками в информационной системе осуществляется средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012)
Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6
Реализуется с применением сертифицированных межсетевых экранов.
Управление информационными потоками в информационной системе осуществляется средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации
Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузки
Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями
Уровни конфиденциальности
По умолчанию в системе мандатного контроля доступа ОС Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) настроено 4 уровня конфиденциальности:
При необходимости, количество уровней конфиденциальности может быть увеличено до 255.
Для того, чтобы определить уровни конфиденциальности выше созданных по умолчанию,
и назначать их пользователям, необходимо:
- в файле конфигурации мандатных атрибутов файловой системы /usr/sbin/pdp-init-fs
задать параметру sysmaclev значение, равное максимальному созданному уровню конфиденциальности
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатные атрибуты ->
Уровни целостности
Управление в консольном режиме:
userlev
0 Уровень_0
1 Уровень_1
2 Уровень_2
3 Уровень_3
Режим Мандатного Контроля Целостности
Управление в графическом режиме с помощью графического инструмента fly-admin-smc :
Панель Управления ->
Безопасность ->
Политика безопасности ->
Мандатный контроль целостности
Управление в консольном режиме:
cat /proc/cmdline | grep «parsec.max_ilev»
Режим Мандатного Контроля Целостности ФС
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
Режим ЗПС (замкнутой программной среды) в исполняемых файлах
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Блокировка консоли для пользователей
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-console-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Блокировка интерпретаторов
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-interpreters-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Блокировка установки бита исполнения
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
cat /parsecfs/nochmodx
1 включен
0 выключен
Блокировка макросов
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-macros-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Блокировка трассировки ptrace
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра
Управление в консольном режиме
systemctl is-enabled astra-ptrace-lock
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Гарантированное удаление файлов и папок
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Политика очистки памяти
Управление в консольном режиме
Межсетевой экран ufw
Управление в графическом режиме
Управление в консольном режиме
ufw status
Status: active включен
Status: inactive выключен
Системные ограничения ulimits
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Управление в консольном режиме
systemctl is-enabled astra-ulimits-control
enabled включен
disabled выключен
Failed to get unit file state . сервис не активирован
Блокировка клавиш SysRq
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Настройки безопасности -> Параметры ядра
Управление в консольном режиме
sysctl -w kernel.sysrq=0
sysctl -w kernel.sysrq=1
cat /proc/sys/kernel/sysrq
0 включен
1 выключен
Режим ЗПС (замкнутой программной среды) в расширенных атрибутах
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Панель Управления -> Безопасность -> Политика безопасности -> Замкнутая программная среда
Графический киоск
Управление в графическом режиме с помощью графического инструмента fly-admin-smc:
Системный киоск
Управление в графическом режиме с помощью графического инструмента fly-admin-kiosk: