| Условное обозначение и номер меры | Меры защиты информации в информационных системах | Классы защищенности информационной системы | Описание | Реализация | ||
| 3 | 2 | 1 | ||||
| I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) | ||||||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + | + | + | Идентификация и аутентификация пользователей в VMmanager выполняется с учетом требований ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения». Вход в программу осуществляется по идентификатору (email) и паролю. При входе в программу осуществляется идентификация и проверка подлинности субъектов доступа процедурой аутентификации, реализованной средствами VMmanager. Также в качестве источника данных для идентификации и аутентификации пользователей применяются службы каталогов LDAP из состава Astra Linux. Для централизованного управления идентификацией и аутентификацией используется служба FreeIPA (единое пространство пользователей, ЕПП) из состава Astra Linux. | Идентификация и аутентификация пользователей осуществляется с помощью веб-портала VMmanager для локальных и LDAP пользователей, при использовании электронной почты в качестве логина и пароля. Также возможна двухфакторная аутентификация, с использованием одноразового кода. При создании групп пользователей возможно указать IP-адреса, с которых будет предоставляться доступ к web-порталу. |
| ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | + | + | - | ||
| ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + | + | + | Управление идентификаторами пользователей осуществляется администратором локально или централизованно с помощью ЕПП. | Для создания локального пользователя: Перейти в основном меню в раздел Пользователи > Новый пользователь Выберите способ создания пользователя:
Приглашение будет выслано на указанный электронный адрес, во время подтверждения приглашения требуется задать пароль (есть возможность сгенерировать пароль (Рекомендуется) )
Требуется указать электронный адрес, пароль генерируется автоматически (рекомендуется) или задается вручную. Для удаления пользователя через портал VMmanager: Перейти в основном меню в раздел Пользователи, выделить чек-боксом пользователя или пользователей и сверху выбрать действие "Удалить". При удалении LDAP-пользователя доступ на портал будет недоступен, но при повторной синхронизации пользователь снова будет добавлен в список. Для управления пользователями с помощью ЕПП (FreeIPA) Перейти на портал управления FreeIPA > Пользователи > Добавить Требуется указать имя учетной записи, Имя, Фамилия и пароль. Для успешного входа созданным пользователем, требуется выполнить вход в систему и сменить пароль. Для удаления пользователей с помощью ЕПП (FreeIPA) Перейти на портал управления FreeIPA > Пользователи Выбрать пользователей чек-боксом, нажать кнопку удалить, при удалении будет предложено два варианта:
Полное удаление пользователя, при повторном создании пользователя будет назначен следующий UID
Пользователь будет перемещен в "Корзину", невозможно будет создать пользователя с таким же именем учетной записи. Возможно восстановить. При удалении пользователя в FreeIPA и синхронизации каталога LDAP в VMmanager статус пользователя будет "Заблокирован". |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + | + | + | По умолчанию в VMmanager парольная политика требует минимум 8 символов по 1 категории символов, без ограничения времени действия пароля. Пример пароля ( 11111111 ). Изменить парольную политику возможности нет. При создании пользователя есть возможность сгенерировать пароль. Генератор паролей создает пароль с использованием 12 символов верхнего и нижнего регистра с добавлением цифр, алфавит пароля — 62 символа. В случае утраты или компрометации средств аутентификации пользователям можно сменить пароль или заблокировать учетную запись. Для учетных записей с ролью Администратор сменить пароль нельзя, возможно только заблокировать учетную запись. Для создания собственных парольных политик рекомендуется использовать ЕПП. Пароли локальных пользователей хранятся в виде хэша с использованием алгоритма sha-256 crypt и добавлением salt, в контейнере pgsql в таблице auth_user. Пароли LDAP-пользователей хранятся на стороне LDAP-пользователей. Для доменных пользователей 2FA требуется включать на стороне VMmanager через личный кабинет пользователя. Если включать на стороне FreeIPA, тогда вход в систему не возможен, возможно требуется настройка FreeRADIUS. | |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + | + | + | Защита обратной связи при вводе аутентификационной информации в VMmanager обеспечивается исключением отображения действительного значения аутентификационной информации при ее вводе пользователем в диалоговом интерфейсе средствами веб-браузера из состава Astra Linux, при отображении данной формы браузер выполняет защиту обратной связи при вводе аутентификационной информации на основе правил обработки элемента input типа password. | Защита обратной связи реализована по умолчанию на уровне кода веб-портала с помощью использования атрибута type с значением password. |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + | + | + | Внешних пользователей в VMmanager нет. Идентификация и аутентификация пользователей осуществляется ИАФ.1. | Внешних пользователей в VMmanager нет. Идентификация и аутентификация пользователей осуществляется ИАФ.1. |
| ИАФ.7 | Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа | - | Реализуется средствами Astra Linux. | |||
| II. Управление доступом субъектов доступа к объектам доступа (УПД) | ||||||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей Оповещение администратора, осуществляющего управление учетными записями пользователей, об изменении сведений о пользователях, их ролях, обязанностях, полномочиях, ограничениях | + | + | + | Управление учетными записями пользователей (заведение, активация, блокирование и уничтожение) осуществляется администратором локально с помощью web-консоли или централизованно с помощью (ЕПП) | Разделения по типу учетных записей нет. (LDAP,LOCAL ) Можно создать новую группу или выбрать уже существующую группа для объединения учетных записей по группам. Создание локальных групп производится в разделе "Пользователи" Для ЕПП пользователей: После создания пользователя, его можно добавить в соответствующие группы, которые были сопоставлены с локальными группами при настройки синхронизации LDAP, подробнее в УПД.4 Создание, блокирование, удаление учетных записей выполняется согласно ИАФ.3 и ИАФ.4 |
| УПД.2 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа | + | + | + | В программе реализован механизм ролевого управлениям доступом. Ролевое управление доступом обеспечивает разграничение возможностей выполнения привилегированных операций со средствами виртуализации. В платформе VMmanager определены следующие роли, соответствующие ролям, определенным требованиями 187 приказа ФСТЭК России:
| Настройка ролей производится в веб-интерфейсе платформы VMmanager во вкладке «Пользователи» и для любого пользователя в выпадающем меню выбрать «Изменить роль в системе». Роль администратора безопасности СВ реализована ролью администратора, входящего в группу пользователей astra-a udit Astra Linux . Реализация ролевого метода управления доступом подразумевает разграничение доступа по ролям:
|
| УПД.3 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + | + | + | Реализуется с применением сертифицированных средств межсетевого экранирования. | Реализуется с применением сертифицированных средств межсетевого экранирования. |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + | + | + | Организационная мера, реализуется с помощью УПД.2 | Организационная мера, реализуется с помощью УПД.2 |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы | + | + | + | В соответствии с УПД.2 | Назначение минимально необходимых прав реализуется с помощью УПД.2 При создании пользователя требуется указать роль. |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе) | + | + | + | Настройка ограничений аутентификации позволяет ограничить количество и периодичность неудачных попыток входа в платформу (аутентификации). Управление локальными средствами аутентификации настраиваются в разделе Настройки > Политики безопасности. В данном разделе возможно задать параметры:
Данные параметры можно задать для каждой роли отдельно. Блокировка производится по IP-адресу, а не учетной записи. По умолчанию данные параметры не настроены. При использовании учётных записей пользователей, хранящихся на FreeIPA сервере, количество неуспешных попыток входа в систему, задаётся настройкой безопасности на самом FreeIPA сервере через web-интерфейс: в разделе «Политики» → «Политики паролей» перейти к редактированию настроек группы «global_policy» или созданию новой политики. | Настройка на стороне платформы VMmanager применяется для доменного и локального пользователя, блокировка осуществляется по IP-адресу, при применение настройки на стороне FreeIPA блокировка применяется к учетной записи. Порядок настройки ограничений аутентификации:
Для доменных пользователей требуется создать политику паролей в разделе «Политики» → «Политики паролей» После заданного количества неудачных попыток ввода пароля информация о заблокированной учетной записи не отображается. |
| УПД.7 | Предупреждение пользователя при его входе в информационную систему о том, что в информационной системе реализованы меры защиты информации, и о необходимости соблюдения им установленных оператором правил обработки информации | - | - | |||
| УПД.8 | Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему | - | - | |||
| УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы | + | - | - | ||
| УПД.10 | Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу | + | + | + | Блокировка сеанса пользователя в VMmanager по умолчанию осуществляется через 1 час бездействия пользователя: как для локального, так и для доменного. Значение по умолчанию возможно изменить в настройках web-портала. | Для изменения времени блокирования сеанса при бездействии пользователя:
|
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + | + | + | По умолчанию на web-портал VMmanager невозможно зайти без указания логина и пароля пользователя. До идентификации и аутентификации возможна только смена пароля. | Идентификация и аутентификация пользователя осуществляется согласно ИАФ.1. Первичная аутентификация пользователя осуществляется по специально сгенерированной ссылке после успешного завершения установки VMmanager. Без прохождения идентификации нет возможности выполнять какие-либо действия. |
| УПД.12 | Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки | - | - | |||
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + | + | + | В целях обеспечения удаленного доступа пользователей с использованием сетей связи общего пользования к СВ должны применяться средства криптографической защиты информации, прошедшие процедуру оценки соответствия в соответствии с законодательством Российской Федерации. В соответствии с п. 2.3.7 документа «Руководство администратора платформы VMmanager» доступ в платформу осуществляется по протоколу HTTPS с использованием шифрования TLS. Доступ к узлам кластера осуществляется по протоколам SSH с использованием шифрования и qemu-tls. Для обеспечения удаленного доступа пользователей с использованием сетей связи общего пользования к средству виртуализации обеспечена возможность использования сертифицированных средств криптографической защиты информации. | Сетевое взаимодействие реализуется через защищенные протоколы. |
| УПД.14 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа | + | + | + | - | |
| УПД.15 | Регламентация и контроль использования в информационной системе мобильных технических средств | + | + | + | - | |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы) | + | + | + | - | |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | + | + | Доверенная загрузка средств вычислительной техники обеспечивается с использованием сертифицированных (Далас, Соболь и т.д.) средств доверенной загрузки и вспомогательными настройками Astra Linux. | Настройка осуществляется согласно официальной документации СДЗ. | |
| III. Ограничение программной среды (ОПС) | ||||||
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения | + | Для осуществления ограничений программной среды в VMmanager используются средства Astra Linux. Контроль за запуском компонентов ПО, обеспечивающий выявление и блокировку запуска компонентов ПО, не включенных в перечень (список) компонентов, разрешенных для запуска, осуществляется штатными средствами ОС:
| Для включения контроля целостности необходимо выполнить следующие действия на узле виртуализации VMmanager:
| ||
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения | + | + | - | ||
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов | + | + | + | - | |
| ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов | - | ||||
| IV. Защита машинных носителей информации (ЗНИ) | ||||||
| ЗНИ.1 | Учет машинных носителей информации | + | + | + | - | - |
| ЗНИ.2 | Управление доступом к машинным носителям информации | + | + | + | - | - |
| ЗНИ.3 | Контроль перемещения машинных носителей информации за пределы контролируемой зоны | - | - | |||
| -ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах | - | - | |||
| ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации | + | + | - | - | |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители информации | - | - | |||
| ЗНИ.7 | Контроль подключения машинных носителей информации | - | - | |||
| ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) | + | + | + | - | - |
| V. Регистрация событий безопасности (РСБ) | ||||||
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + | + | + | Перечень событий, необходимых для регистрации и учета определяется службой syslog-ng из состава ОС Astra Linux. Настройка параметров работы осуществляется через конфигурационный файл /etc/syslog-ng/conf.d. В каталоге /usr/share/syslog-ng-mod-astra/event-settings/vmmanager-messages располагаются конфигурационные файлы событий, регистрируемых в системном журнале Ksystemlog, вызов которого осуществляется либо в графическом режиме, либо с помощью утилиты командной строки ksystemlog, для каждой функции безопасности средства виртуализации. | При формировании списка событий за основу взят перечень событий, установленный в «Требованиях по безопасности к средств вирутализации», утвержденных приказом ФСТЭК России от 27.10.2022 г. № 187, что не противоречит требованиям ГОСТ Р 59548-2022. Согласно ГОСТ Р 59548-2022 (п.5.3): средства обеспечения безопасности информационных технологий и иные программно-технические средства (а также программное обеспечение), применяемые в информационных (автоматизированных) системах, регистрируют события безопасности, связанные с выполняемыми ими мерами защиты. Таким образом, требования к составу типов событий безопасности определяются на основании функций безопасности. Функции безопасности определены в «Требованиях по безопасности к средству вирутализации», утвержденных приказом ФСТЭК России от 27.10.2022 г. № 187, в котором также установлен перечень событий безопасности, подлежащих регистрации, а именно:
1) С помощью команды открыть директорию, содержащую конфигурацию событий средства виртуализации # cd /usr/share/syslog-ng-mod-astra/event-settings/vmmanager-messages 2) В данной директории располагаются конфигурационные файлы событий, регистрируемых журналом событий, для каждой функции безопасности средства виртуализации |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + | + | + | Состав и содержание информации о события безопасности, отображаемой в системном журнале Ksystemlog, вызов которого осуществляется либо в графическом режиме, либо с помощью утилиты командной строки ksystemlog, заранее предопределены и позволяют определить когда и какие действия происходили. | |
| РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | + | + | + | Служба syslog-ng из состава подсистемы регистрации событий предоставляет возможность централизованного сбора событий безопасности, связанных с функционированием средства виртуализации, из журналов событий безопасности. При установке пакета astra-kvm-secure создаются конфигурационные файлы для удаленного сбора данных о событиях безопасности. Служба syslog-ng выполняет регистрацию событий в журнал /parsec/log/astra/events. В журнале событий регистрируются попытки запуска неподписанных файлов, успешная и неуспешная авторизация, данные о пользовательских сессиях и другие события безопасности, регистрация которых настроена. Сбор, запись и хранение информации о событиях безопасности осуществляются с использованием расширенной подсистемы протоколирования Astra Linux, осуществляющей регистрацию событий с использованием сервиса auditd совместно с модулем фильтрации syslog-ng-mod-astra и демоном libvirtd путем ведения журналов аудита событий безопасности согласно заданным правилам. Состав регистрируемой информации соответствует ГОСТ Р 59548-2022. | Со стороны пользователя дополнительных настроек не требуется, Сбор, запись и хранение событий безопасности выполняется по умолчанию. |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти | + | + | + | Оповещение о событиях безопасности осуществляется с использованием утилиты fly-notifications («Центр уведомлений»). Оповещение администратора безопасности СВ осуществляется службой syslog-ng, путем внесения записей в конфигурационные файлы системы регистрации событий, расположенных в директории /etc/syslog-ng/conf.d. На сервере платформы должны быть установлены пакеты fly-notifications, libfly-system-sounds-qt. | Реакция на события безопасности задается с использованием программы «Настройка регистрации системных событий», входящей в состав Astra Linux. |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | + | + | + | Для просмотра и анализа событий безопасности используется fly-event-viewer или инструмент командной строки astra-event-viewer. | Просмотр и анализ событий безопасности осуществляется администратором с использованием консольных (ausearch, aureport, aulast и auvirt) и графических (ksystemlog и fly-event-viewer) инструментов Astra Linux. Утилита auvirt используется для поиска в журналах аудита записей, созданных libvirt, чтобы вывести список сеансов ВМ. Также утилита выполняет поиск таких событий, как остановка хост-системы, отказы в доступе, связанные с гостевыми системами, и аномальные события, связанные с QEMU-процессами. |
| РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | + | + | + | Синхронизация времени осуществляется с помощью утилиты NTP. | Настройка синхронизации времени для всей платформы осуществляется в разделе "Глобальные настройки":
В настройках личного кабинета пользователя возможно настроить часовой пояс для каждого пользователя отдельно. |
| РСБ.7 | Защита информации о событиях безопасности | + | + | + | По умолчанию регистрация событий службой syslog-ng происходит в файл /var/log/audit/audit.log или другие файлы каталога /var/log/audit/. Политики управления доступом (ролевая, дискреционная) обеспечивают возможность защиты от несанкционированного удаления хранимых записей аудита в журнале и предотвращение несанкционированной модификации хранимых записей аудита в журнале. События безопасности в журнале /var/log/audit/audit.log доступны на чтение. | Целостность сведений о событиях безопасности реализуется совместным применением мандатного контроля целостности и атрибута доступа «chattr +a»:
|
| РСБ.8 | Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе | - | - | |||
| VI. Антивирусная защита (АВЗ) | ||||||
| АВ3.1 | Реализация антивирусной защиты | + | + | + | - | - |
| АВ3.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | - | - |
| VII. Обнаружение вторжений (СОВ) | ||||||
| СОВ.1 | Обнаружение вторжений | + | + | - | ||
| СОВ.2 | Обновление базы решающих правил | + | + | - | ||
| VIII. Контроль (анализ) защищенности информации (АНЗ) | ||||||
| АН3.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей | + | + | + | Изготовитель регулярно проводит мониторинг уязвимостей VMmanager с использованием анализа общедоступных баз данных уязвимостей и принимает меры, направленные на устранение выявленных уязвимостей и/или исключающие возможность их эксплуатации. Устранение недостатков VMmanager предусматривает:
| Доведение информации о недостатках VMmanager, а также о компенсирующих мерах по защите информации или ограничениях по применению осуществляется до каждого потребителя путем отправки сообщений в личный кабинет пользователя или по электронной почте. |
| АН3.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации | + | + | + | Обновления могут быть доступны в виде:
Для установочных дисков обновлений, а также для отдельных программных компонентов, публикуются контрольные суммы, рассчитанные с использованием программы фиксации и контроля исходного состояния программного комплекса «ФИКС-Unix 1.0» (разработчик – ЗАО «ЦБИ-сервис», сертификат соответствия ФСТЭК России № 680 от 30.10.2002). | Доведение информации о выпуске обновления осуществляется до каждого потребителя через личный кабинет пользователя или по электронной почте. Также потребитель может получить информацию о выходе обновлений через службу технической поддержки предприятия-изготовителя по тел. +7 (800) 775-47-78 или через сайт https://www.ispsystem.ru. Источником получения обновлений VMmanager является официальный информационный ресурс изготовителя и личный кабинет пользователя. Подлинность и целостность программного обеспечения обновлений обеспечивается за счет применения электронной подписи изготовителя. Контроль целостности обновлений в составе информационных (авто- матизированных) систем потребителей осуществляется следующим порядком: - до установки обновления — проведением проверки электронной подписи обновления; - до установки обновления — проведением контроля целостности контейнеров из состава установочного диска обновления средствами контроля целостности (программы фиксации и контроля исходного состояния программного комплекса «ФИКС-Unix 1.0») путем вычисления и сравнения контрольных сумм файлов с эталонными значениями, хранящимися в файле VMmanager_checksum, входящем в состав установочного диска и обновления VMmanager; - после установки обновления — проведением контроля целостности путем проверки контрольных сумм исполняемых файлов и библиотек с помощью скрипта check.sh и файла с контрольными суммами, входящего в состав обновления VMmanager. Совпадение контрольных сумм является достаточным подтверждением использования в информационной системе сертифицированного программного обеспечения VMmanager после обновления. |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации | + | + | + | - | - |
| АН3.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | + | + | + | - | |
| АНЗ.5 | Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе | + | + | + | - | |
| IX. Обеспечение целостности информационной системы и информации (ОЦЛ) | ||||||
| ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | + | + | Контроль за запуском компонентов программного обеспечения, обеспечивающий выявление и блокировку запуска компонентов программного обеспечения, не включенных в перечень (список) компонентов, разрешенных для запуска, осуществляется аналогично контролю целостности в процессе загрузки и динамически в процессе функционирования СВ за счет включения режима контроля расширенных ресурсов атрибутов ЗПС на узле кластера, где располагается созданная ВМ, описанном в п. . При этом осуществляется контроль целостности (режим ЗПС) исполняемых файлов и разделяемых библиотек формата ELF при запуске программы на выполнение. | Настройка выполняется согласно ОПС.1 | |
| ОЦЛ.2 | Контроль целостности информации, содержащейся в базах данных информационной системы | - | - | |||
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций | + | + | + | - | |
| ОЦЛ.4 | Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама) | + | + | - | - | |
| ОЦЛ.5 | Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы | - | - | |||
| ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему | + | - | - | ||
| ОЦЛ.7 | Контроль точности, полноты и правильности данных, вводимых в информационную систему | - | - | |||
| ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | - | - | |||
| X. Обеспечение доступности информации (ОДТ) | ||||||
| ОДТ.1 | Использование отказоустойчивых технических средств | + | Отказоустойчивый кластер (HA-кластер) — группа серверов, гарантирующая минимальное время простоя ВМ. В случае, если один из серверов (узлов) кластера потерял связь с другими узлами или подключённым хранилищем, VMmanager запустит процесс аварийного восстановления — релокации ВМ. /etc/supervisord.conf.d/hawatch.conf — конфигурационный файл, используемый основным сервисом (модулем) взаимодействия с отказоустойчивым кластером (hawatch) |
| ||
| ОДТ.2 | Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы Резервирование каналов передачи информации включает:
| + | - | - | ||
| ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | + | + | - | - | |
| ОДТ. 4 | Периодическое резервное копирование информации на резервные машинные носители информации | + | + | Резервное копирование образов виртуальных машин и конфигурации виртуального оборудования виртуальных машин может осуществляться как средством виртуализации во вкладке "Резервные копии" в веб-интерфейсе VMmanager, так и с использованием встроенных в Astra Linux. Полное резервное копирование текущего состояния образа виртуальной машины выполняется с использованием инструмента virsh backup-begin. Выполнение резервного копирования конфигурации виртуального оборудования созданных виртуальных машин (существующего XML-файла ВМ) осуществляется с помощью инструмента virsh dumpxml. Управление снимками ВМ из командной строки выполняется с использованием инструмента virsh snapshot-create. |
| |
| ОДТ. 5 | Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала | + | + | - | ||
| ОДТ.6 | Кластеризация информационной системы и (или) ее сегментов | - | ||||
| ОДТ.7 | Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации | + | + | - | ||
| XI. Защита среды виртуализации (ЗСВ) | ||||||
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + | + | + | Идентификация и аутентификация пользователей в VMmanager выполняется с учетом требований ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения». Вход в программу осуществляется по идентификатору (email) и паролю. Защита пароля пользователя обеспечивается при его вводе за счет отображения вводимых символов условными знаками. При входе в программу осуществляется идентификация и проверка подлинности субъектов доступа процедурой аутентификации, реализованной средствами VMmanager. Или централизованно при организации единого пространства пользователей, в основу которого положен доменный принцип построения сети, с использованием сетевого протокола сквозной доверенной аутентификации. Запуск ВМ на узлах виртуализации осуществляется с помощью локальной учетной записи на хостовой операционной системе, указанной при создании узла. Подключение к узлу осуществляется с помощью SSH при использовании пароля или ключа (рекомендуется). Учетная запись должна обладать привилегиями sudo и входить в группы astra-admin, kvm, libvirt, libvirt-qemu, libvirt-admin . | Аутентификация на web-портале VMmanager реализуется согласно ИАФ.1 Также для управления ВМ на узлах виртуализации возможно использовать консольную утилиту virsh: sudo virsh list - список запущенных ВМ sudo virsh list --all - список всех ВМ sudo virsh dominfo <имя_или_ID_ВМ> - инфо о ВМ sudo virsh start sudo virsh stop virsh migrate --live <имя_ВМ> qemu+ssh://<user>@<target_host>/system |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + | + | + | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре осуществляется средствами Astra Linux, например, через предоставление привилегий sudo учетной записи пользователя. | |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | + | + | + | Подсистема регистрации событий, которая собирает информацию о событиях, в том числе о событиях безопасности, из различных источников и предоставляет инструменты для просмотра собранных данных и реагирования на события, реализована средствами Astra Linux. Регистрация событий безопасности, настройка реагирования системы на события и информирование администратора осуществляется с использованием службы auditd и подсистемы регистрации событий из состава Astra Linux. Служба auditd выполняет регистрацию событий объектов файловой системы (аудит файлов) и пользователей (аудит процессов) согласно заданным правилам. Регистрация событий осуществляется в журнал аудита. Основным компонентом является служба syslog-ng, предоставляет возможность централизованного сбора событий безопасности, связанных с функционированием средства виртуализации, из журналов событий безопасности. | Настройка регистрации событий осуществляется с использованием утилиты fly-admin-events («Настройка регистрации системных событий») Настройка параметров работы осуществляется через конфигурационные файлы /etc/syslog-ng/conf.d. Для отображения событий безопасности, связанных с функционированием СВ, используется системный журнал Ksystemlog, вызов которого осуществляется либо в графическом режиме, либо с помощью утилиты командной строки ksystemlog. |
| ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | + | + | При подключении узлов и настройке виртуальных машин используется утилита из состава Astra Linux — nftables (подсистема ядра, обеспечивающая фильтрацию и классификацию сетевых пакетов/датаграмм/кадров). Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации по периметру виртуальной инфраструктуры обеспечивается сертифицированными межстетевыми экранами. | Управление потоками информации между виртуальными машинами и информационными системами реализуется с использованием функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами nftables. Правила располагаются в директории /etc/nftables/vm в индивидуальном для каждой виртуальной машины файле. | |
| ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | Доверенная загрузка серверов обеспечивается сертифицированными средствами доверенной загрузки. Доверенная загрузка средств виртуализации и виртуальных машин обеспечивается хостовой ОС Astra Linux. Доверенная загрузка обеспечивает блокирование попыток несанкционированной загрузки гипервизора, хостовых и гостевых операционных системах. | Блокировка гостевых операционных систем осуществляется средствами libvirt, настройка параметров работы которого осуществляется через конфигурационный файл /etc/libvirt/libvirtd.conf на узле кластера. Для использования механизма должен быть установлен пакет astra-kvm-secure. После установки пакета блокировка запуска виртуальной машины при выявлении нарушения целостности виртуального оборудования осуществляется средствами libvirt, настройка параметров работы которого осуществляется через конфигурационный файл /etc/libvirt/libvirtd.conf на узле кластера с помощью наличия в нем следующих опций:
Для применения настроек следует перезагрузить службу libvirtd: sudo systemctl restart libvirtd После включения механизма «отпечаток конфигурации» легитимное изменение конфигурационных файлов средства виртуализации c расширением *.conf, расположенных в каталоге /etc/libvirt/, возможно с использованием инструмента virsh. Применение virsh для редактирования конфигурационного файла обеспечивает автоматический пересчет контрольной суммы после сохранения. | |||
| ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | Платформа VMmanager обеспечивает возможность централизованного управления размещением и перемещением виртуальных машин с сохранением их конфигураций и настроек. Управление размещением и перемещением ВМ и их образов с возможностью сохранения их конфигурации и настроек реализуется в изделии за счет миграции ВМ между хостами в пределах кластера (в том числе live миграция). Реализуется данной функциональное требование безопасности с помощью веб-интерфейса VMmanager во вкладке «Виртуальные машины» и пункта меню действий виртуальной машины «Мигрировать». |
| |
| ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | + | + | Контроль целостности объектов контроля в процессе загрузки и динамически в процессе функционирования средства виртуализации реализуется средствами динамического контроля целостности (ЗПС) Astra Linux. Инструменты замкнутой программной среды (ЗПС) предоставляют возможность внедрения ЭЦП в исполняемые файлы формата ELF и в расширенные атрибуты файловой системы, обеспечивая таким образом контроль целостности как в процессе загрузки СВ, так и динамически в процессе функционирования. Контролю подлежат следующие файлы:
Описание интерфейса представлено в разделе 3: /etc/digsig/digsig_inframfs.conf в п. 3.10 Контроль целостности конфигурации виртуального оборудования ВМ осуществляется аналогично контролю целостности в процессе загрузки и динамически в процессе функционирования СВ за счет включения режима контроля расширенных ресурсов атрибутов защищенной программной среды (ЗПС) на узле кластера, где располагается созданная ВМ. | Контроль целостности в процессе загрузки и динамически в процессе функционирования СВ осуществляется за счет включения режима контроля расширенных ресурсов атрибутов защищенной программной среды (ЗПС) на узле кластера, где располагается созданная ВМ. Настройка режима контроля расширенных ресурсов атрибутов ЗПС на узле кластера осуществляется через конфигурационный файл /etc/digsig/digsig_inframfs.conf путем задания значения «1» для параметра DIGSIG_XATTR_MODE и DIGSIG_ELF_MODE. | |
| ЗСВ.8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | + | + | Резервное копирование образов виртуальных машин и конфигурации виртуального оборудования виртуальных машин может осуществляться как средством виртуализации во вкладке "Резервные копии" в веб-интерфейсе VMmanager, так и с использованием встроенных в Astra Linux. Полное резервное копирование текущего состояния образа виртуальной машины выполняется с использованием инструмента virsh backup-begin. Выполнение резервного копирования конфигурации виртуального оборудования созданных виртуальных машин (существующего XML-файла ВМ) осуществляется с помощью инструмента virsh dumpxml. Выполнение резервного копирования параметров настройки средства виртуализации осуществляется с использованием инструментов архивирования и копирования из состава Astra Linux: tar, cpio. При этом резервная копия сохраняется в формате архива tar и содержит в себе конфигурационные файлы Docker и платформы, а также дамп базы данных. Работу с резервной копией в формате архива tar можно осуществлять с помощью интерфейса командной строки tar. | Задача резервного копирования параметров настройки средства виртуализации осуществляется средствами резервного копирования платформы VMmanager. Резервная копия сохраняется в формате архива tar и содержит в себе конфигурационные файлы Docker и платформы, а также дамп базы данных.
| |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + | + | + | - | - |
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей | + | + | + | Реализуется с применением сертифицированных средств межсетевого экранирования. | |
| XII. Защита технических средств (ЗТС) | ||||||
| ЗТС.1 | Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам | - | ||||
| ЗТС.2 | Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования | + | + | + | - | |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены | + | + | + | - | |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | - | |
| ЗТС.5 | Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) | + | - | |||
| XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС) | ||||||
| ЗИС.1 | Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы | + | + | Разделение функций по управлению осуществляется согласно 187 приказу ФСТЭК, см. УПД.2 | ||
| ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | - | ||||
| ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи | + | + | + | - | |
| ЗИС.4 | Обеспечение доверенного канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации) | - | ||||
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств | + | + | + | - | |
| ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с информацией, при обмене информацией с иными информационными системами | - | ||||
| ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода | + | + | - | ||
| ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи | + | + | - | ||
| ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации | + | + | - | ||
| ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам | - | ||||
| ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов | + | + | - | ||
| ЗИС.12 | Исключение возможности отрицания пользователем факта отправки информации другому пользователю | + | + | - | ||
| ЗИС.13 | Исключение возможности отрицания пользователем факта получения информации от другого пользователя | + | + | - | ||
| ЗИС.14 | Использование устройств терминального доступа для обработки информации | - | ||||
| ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации | + | + | - | ||
| ЗИС.16 | Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов | - | ||||
| ЗИС.17 | Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы | + | + | - | ||
| ЗИС.18 | Обеспечение загрузки и исполнения программного обеспечения с машинных носителей информации, доступных только для чтения, и контроль целостности данного программного обеспечения | - | ||||
| ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | - | ||||
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | + | + | + | - | |
| ЗИС.21 | Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы | + | Средства Astra Linux | |||
| ЗИС.22 | Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы | + | + | Средства Astra Linux | ||
| ЗИС.23 | Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями | + | + | - | ||
| ЗИС.24 | Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения | + | + | - | ||
| ЗИС.25 | Использование в информационной системе или ее сегментах различных типов общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды) | - | ||||
| ЗИС.26 | Использование прикладного и специального программного обеспечения, имеющих возможность функционирования в средах различных операционных систем | - | ||||
| ЗИС.27 | Создание (эмуляция) ложных информационных систем или их компонентов, предназначенных для обнаружения, регистрации и анализа действий нарушителей в процессе реализации угроз безопасности информации | - | ||||
| ЗИС.28 | Воспроизведение ложных и (или) скрытие истинных отдельных информационных технологий и (или) структурно-функциональных характеристик информационной системы или ее сегментов, обеспечивающее навязывание нарушителю ложного представления об истинных информационных технологиях и (или) структурно-функциональных характеристиках информационной системы | - | ||||
| ЗИС.29 | Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системы | - | ||||
| ЗИС.30 | Защита мобильных технических средств, применяемых в информационной системе | + | + | + | - | |
"+" - мера защиты информации включена в базовый набор мер для соответствующего класса защищенности информационной системы.
Меры защиты информации, не обозначенные знаком "+", применяются при адаптации базового набора мер и уточнении адаптированного базового набора мер, а также при разработке компенсирующих мер защиты информации в информационной системе соответствующего класса защищенности.