ФСТЭК 239 — различия между версиями

Материал из Rosalab Wiki
Перейти к: навигация, поиск
 
(не показано 14 промежуточных версий этого же участника)
Строка 1: Строка 1:
= Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России №239 средствами операционной системы Роса Хром 12F.1 (сертификат ФСТЭК) =
+
= Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России №239 средствами операционной системы Роса Хром 12 (сертификат ФСТЭК) =
 +
 
 +
Об утверждении требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ) Российской Федерации
  
 
[https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 Текст приказа ФСТЭК №239]
 
[https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 Текст приказа ФСТЭК №239]
 +
 +
Категория значимости 1
  
 
{| class="wikitable"
 
{| class="wikitable"
 
|-
 
|-
! № !! Мера !! Поддержка !! Комментарий
+
! № !! Меры обеспечения безопасности значимого объекта !! Поддержка !! Комментарий
 
|-
 
|-
| УПД.0 || Регламентация правил и процедур управления доступом || + || k
+
| УПД.0 || Регламентация правил и процедур управления доступом || + ||
 
|-
 
|-
| УПД.1 || Управление учетными записями пользователей || + || k
+
| УПД.1 || Управление учетными записями пользователей || + ||
 
|-
 
|-
| УПД.2 || Реализация модели управления доступом || + || k
+
| УПД.2 || Реализация модели управления доступом || + ||
 
|-
 
|-
| УПД.3 || Доверенная загрузка || + || k
+
| УПД.3 || Доверенная загрузка || || Реализуется с помощью АПМДЗ (аппаратных модулей доверенной загрузки)
 
|-
 
|-
| УПД.4 || Разделение полномочий (ролей) пользователей || + || k
+
| УПД.4 || Разделение полномочий (ролей) пользователей || + ||
 
|-
 
|-
| УПД.5 || Назначение минимально необходимых прав и привилегий || + || k
+
| УПД.5 || Назначение минимально необходимых прав и привилегий || + ||
 
|-
 
|-
| УПД.6 || Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему || + || k
+
| УПД.6 || Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему || + ||
 
|-
 
|-
| УПД.9 || Ограничение числа параллельных сеансов доступа || + || k
+
| УПД.9 || Ограничение числа параллельных сеансов доступа || + ||
 
|-
 
|-
| УПД.10 || Блокирование сеанса доступа пользователя при неактивности || + || k
+
| УПД.10 || Блокирование сеанса доступа пользователя при неактивности || + ||
 
|-
 
|-
| УПД.11 || Управление действиями пользователей до идентификации и аутентификации || + || k
+
| УПД.11 || Управление действиями пользователей до идентификации и аутентификации || + ||
 
|-
 
|-
| УПД.13 || Реализация защищенного удаленного доступа || + || k
+
| УПД.13 || Реализация защищенного удаленного доступа || + || SSH
 
|-
 
|-
| УПД.14 || Контроль доступа из внешних информационных (автоматизированных) систем || + || k
+
| УПД.14 || Контроль доступа из внешних информационных (автоматизированных) систем || + || Фаервол (межсетевой экран)
 
|-
 
|-
| ОПС.0 || Регламентация правил и процедур ограничения программной среды || + || k
+
| ОПС.0 || Регламентация правил и процедур ограничения программной среды || + ||
 
|-
 
|-
| ОПС.1 || Управление запуском (обращениями) компонентов программного обеспечения || + || k
+
| ОПС.1 || Управление запуском (обращениями) компонентов программного обеспечения || + ||
 
|-
 
|-
| ОПС.2 || Управление установкой (инсталляцией) компонентов программного обеспечения || + || k
+
| ОПС.2 || Управление установкой (инсталляцией) компонентов программного обеспечения || + ||
 
|-
 
|-
| ЗНИ.0 || Регламентация правил и процедур защиты машинных носителей информации || + || k
+
| ЗНИ.0 || Регламентация правил и процедур защиты машинных носителей информации || || Не относится к ОС
 
|-
 
|-
| ЗНИ.1 || Учет машинных носителей информации || + || k
+
| ЗНИ.1 || Учет машинных носителей информации || + ||
 
|-
 
|-
| ЗНИ.2 || Управление физическим доступом к машинным носителям информации || + || k
+
| ЗНИ.2 || Управление физическим доступом к машинным носителям информации || || Не относится к ОС
 
|-
 
|-
| ЗНИ.5 || Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации || + || k
+
| ЗНИ.5 || Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации || + ||
 
|-
 
|-
| ЗНИ.6 || Контроль ввода (вывода) информации на съемные машинные носители информации || + || k
+
| ЗНИ.6 || Контроль ввода (вывода) информации на съемные машинные носители информации || + ||
 
|-
 
|-
| ЗНИ.7 || Контроль подключения съемных машинных носителей информации || + || k
+
| ЗНИ.7 || Контроль подключения съемных машинных носителей информации || + ||
 
|-
 
|-
| ЗНИ.8 || Уничтожение (стирание) информации на машинных носителях информации || + || k
+
| ЗНИ.8 || Уничтожение (стирание) информации на машинных носителях информации || + || Утилита wipe
 
|-
 
|-
| АУД.0 || Регламентация правил и процедур аудита безопасности || + || k
+
| АУД.0 || Регламентация правил и процедур аудита безопасности || || Не относится к ОС
 
|-
 
|-
| АУД.1 || Инвентаризация информационных ресурсов || + || k
+
| АУД.1 || Инвентаризация информационных ресурсов || || Не относится к ОС, однако ОС может показывать информацию об аппаратном обеспечении
 
|-
 
|-
| АУД.2 || Анализ уязвимостей и их устранение || + || k
+
| АУД.2 || Анализ уязвимостей и их устранение || + || Выявление и оперативное устранение уязвимостей производится разработчиком в соответствии с приказом ФСТЭК России №76 и ГОСТ Р 56939
 
|-
 
|-
| АУД.3 || Генерирование временных меток и (или) синхронизация системного времени || + || k
+
| АУД.3 || Генерирование временных меток и (или) синхронизация системного времени || + ||
 
|-
 
|-
| АУД.4 || Регистрация событий безопасности || + || k
+
| АУД.4 || Регистрация событий безопасности || + ||
 
|-
 
|-
| АУД.5 || Контроль и анализ сетевого трафика || + || k
+
| АУД.5 || Контроль и анализ сетевого трафика || + ||
 
|-
 
|-
| АУД.6 || Защита информации о событиях безопасности || + || k
+
| АУД.6 || Защита информации о событиях безопасности || + ||
 
|-
 
|-
| АУД.7 || Мониторинг безопасности || + || k
+
| АУД.7 || Мониторинг безопасности || + ||
 
|-
 
|-
| АУД.8 || Реагирование на сбои при регистрации событий безопасности || + || k
+
| АУД.8 || Реагирование на сбои при регистрации событий безопасности || + ||
 
|-
 
|-
| АУД.9 || Анализ действий отдельных пользователей || + || k
+
| АУД.9 || Анализ действий отдельных пользователей || + ||
 
|-
 
|-
| АУД.10 || Проведение внутренних аудитов || + || k
+
| АУД.10 || Проведение внутренних аудитов || || Не относится к ОС
 
|-
 
|-
| АУД.11 || Проведение внешних аудитов || + || k
+
| АУД.11 || Проведение внешних аудитов || || Не относится к ОС
 
|-
 
|-
| АВЗ.0 || Регламентация правил и процедур антивирусной защиты || + || k
+
| АВЗ.0 || Регламентация правил и процедур антивирусной защиты || || ОС Роса Хром не реализует функции антивирусной защиты, следует использовать внешние антивирусы
 
|-
 
|-
| АВЗ.1 || Реализация антивирусной защиты || + || k
+
| АВЗ.1 || Реализация антивирусной защиты || ||
 
|-
 
|-
| АВЗ.2 || Антивирусная защита электронной почты и иных сервисов || + || k
+
| АВЗ.2 || Антивирусная защита электронной почты и иных сервисов || ||
 
|-
 
|-
| АВЗ.3 || Контроль использования архивных, исполняемых и зашифрованных файлов || + || k
+
| АВЗ.3 || Контроль использования архивных, исполняемых и зашифрованных файлов || ||
 
|-
 
|-
| АВЗ.4 || Обновление базы данных признаков вредоносных компьютерных программ (вирусов) || + || k
+
| АВЗ.4 || Обновление базы данных признаков вредоносных компьютерных программ (вирусов) || ||
 
|-
 
|-
| АВЗ.5 || Использование средств антивирусной защиты различных производителей || + || k
+
| АВЗ.5 || Использование средств антивирусной защиты различных производителей || ||
 
|-
 
|-
| СОВ.0 || Регламентация правил и процедур предотвращения вторжений (компьютерных атак) || + || k
+
| СОВ.0 || Регламентация правил и процедур предотвращения вторжений (компьютерных атак) || || Не относится к ОС
 
|-
 
|-
| СОВ.1 || Обнаружение и предотвращение компьютерных атак || + || k
+
| СОВ.1 || Обнаружение и предотвращение компьютерных атак || || В сертифицированном репозитории ОС Роса Хром имеется пакет snort
 
|-
 
|-
| СОВ.2 || Обновление базы решающих правил || + || k
+
| СОВ.2 || Обновление базы решающих правил || || В сертифицированном репозитории ОС Роса Хром имеется пакет snort-rules, а администратор может сам менять, добавлять, удалять правила
 
|-
 
|-
| ОЦЛ.0 || Регламентация правил и процедур обеспечения целостности || + || k
+
| ОЦЛ.0 || Регламентация правил и процедур обеспечения целостности || || Не относится к ОС
 
|-
 
|-
| ОЦЛ.1 || Контроль целостности программного обеспечения || + || k
+
| ОЦЛ.1 || Контроль целостности программного обеспечения || + || [[AIDE]]
 
|-
 
|-
| ОЦЛ.3 || Ограничения по вводу информации в информационную (автоматизированную) систему || + || k
+
| ОЦЛ.3 || Ограничения по вводу информации в информационную (автоматизированную) систему || + ||
 
|-
 
|-
| ОЦЛ.4 || Контроль данных, вводимых в информационную (автоматизированную) систему || + || k
+
| ОЦЛ.4 || Контроль данных, вводимых в информационную (автоматизированную) систему || + ||
 
|-
 
|-
| ОЦЛ.5 || Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях || + || k
+
| ОЦЛ.5 || Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях || + ||
 
|-
 
|-
| ОДТ.0 || Регламентация правил и процедур обеспечения доступности || + || k
+
| ОДТ.0 || Регламентация правил и процедур обеспечения доступности || || Не относится к ОС
 
|-
 
|-
| ОДТ.1 || Использование отказоустойчивых технических средств || + || k
+
| ОДТ.1 || Использование отказоустойчивых технических средств || || Не относится к ОС
 
|-
 
|-
| ОДТ.2 || Резервирование средств и систем || + || k
+
| ОДТ.2 || Резервирование средств и систем || + ||
 
|-
 
|-
| ОДТ.3 || Контроль безотказного функционирования средств и систем || + || k
+
| ОДТ.3 || Контроль безотказного функционирования средств и систем || + ||
 
|-
 
|-
| ОДТ.4 || Резервное копирование информации || + || k
+
| ОДТ.4 || Резервное копирование информации || + ||
 
|-
 
|-
| ОДТ.5 || Обеспечение возможности восстановления информации || + || k
+
| ОДТ.5 || Обеспечение возможности восстановления информации || + ||
 
|-
 
|-
| ОДТ.6 || Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях || + || k
+
| ОДТ.6 || Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях || + ||
 
|-
 
|-
| ОДТ.8 || Контроль предоставляемых вычислительных ресурсов и каналов связи || + || k
+
| ОДТ.8 || Контроль предоставляемых вычислительных ресурсов и каналов связи || + || В имеются функции органичения дискового пространства, кол-ва процессов, сеансов и др. пользователей
 
|-
 
|-
| ЗТС.0 || Регламентация правил и процедур защиты технических средств и систем || + || k
+
| ЗТС.0 || Регламентация правил и процедур защиты технических средств и систем || || Не относится к ОС
 
|-
 
|-
| ЗТС.2 || Организация контролируемой зоны || + || k
+
| ЗТС.2 || Организация контролируемой зоны || || Не относится к ОС
 
|-
 
|-
| ЗТС.3 || Управление физическим доступом || + || k
+
| ЗТС.3 || Управление физическим доступом || || Не относится к ОС
 
|-
 
|-
| ЗТС.4 || Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр || + || k
+
| ЗТС.4 || Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр || || Не относится к ОС
 
|-
 
|-
| ЗТС.5 || Защита от внешних воздействий || + || k
+
| ЗТС.5 || Защита от внешних воздействий || || Не относится к ОС
 
|-
 
|-
| ЗИС.0 || Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов || + || k
+
| ЗИС.0 || Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов || || Не относится к ОС
 
|-
 
|-
| ЗИС.1 || Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями || + || k
+
| ЗИС.1 || Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями || + || Дискретная модель доступа в ОС позволяет разделять полномочия
 
|-
 
|-
| ЗИС.2 || Защита периметра информационной (автоматизированной) системы || + || k
+
| ЗИС.2 || Защита периметра информационной (автоматизированной) системы || + || Встроенные в ОС средства защиты могут являться одним из эшелонов защиты
 
|-
 
|-
| ЗИС.3 || Эшелонированная защита информационной (автоматизированной) системы || + || k
+
| ЗИС.3 || Эшелонированная защита информационной (автоматизированной) системы || + || Встроенные в ОС средства защиты могут являться одним из эшелонов защиты
 
|-
 
|-
| ЗИС.4 || Сегментирование информационной (автоматизированной) системы || + || k
+
| ЗИС.4 || Сегментирование информационной (автоматизированной) системы || || Не относится к ОС
 
|-
 
|-
| ЗИС.5 || Организация демилитаризованной зоны || + || k
+
| ЗИС.5 || Организация демилитаризованной зоны || ||
 
|-
 
|-
| ЗИС.6 || Управление сетевыми потоками || + || k
+
| ЗИС.6 || Управление сетевыми потоками || + ||
 
|-
 
|-
| ЗИС.7 || Использование эмулятора среды функционирования программного обеспечения ("песочница") || + || k
+
| ЗИС.7 || Использование эмулятора среды функционирования программного обеспечения ("песочница") || + || Возможно использование chroot, systemd-nspawn, wine, средств виртуализации
 
|-
 
|-
| ЗИС.8 || Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы || + || k
+
| ЗИС.8 || Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы || + ||
 
|-
 
|-
| ЗИС.13 || Защита неизменяемых данных || + || k
+
| ЗИС.13 || Защита неизменяемых данных || + ||
 
|-
 
|-
| ЗИС.16 || Защита от спама || + || k
+
| ЗИС.16 || Защита от спама || + || В сертифицированном репозитории ОС Роса Хром есть пакеты rspamd, spamassasin и почтовые серверы (postfix, exim, opensmtpd)
 
|-
 
|-
| ЗИС.19 || Защита информации при ее передаче по каналам связи || + || k
+
| ЗИС.19 || Защита информации при ее передаче по каналам связи || + ||
 
|-
 
|-
| ЗИС.20 || Обеспечение доверенных канала, маршрута || + || k
+
| ЗИС.20 || Обеспечение доверенных канала, маршрута || + || Не относится к ОС, реализуется доверенным каналом связи
 
|-
 
|-
| ЗИС.21 || Запрет несанкционированной удаленной активации периферийных устройств || + || k
+
| ЗИС.21 || Запрет несанкционированной удаленной активации периферийных устройств || + ||
 
|-
 
|-
| ЗИС.27 || Обеспечение подлинности сетевых соединений || + || k
+
| ЗИС.27 || Обеспечение подлинности сетевых соединений || || Не относится к ОС, реализуется доверенным каналом связи
 
|-
 
|-
| ЗИС.32 || Защита беспроводных соединений || + || k
+
| ЗИС.32 || Защита беспроводных соединений || + ||
 
|-
 
|-
| ЗИС.33 || Исключение доступа через общие ресурсы || + || k
+
| ЗИС.33 || Исключение доступа через общие ресурсы || + || Реализуется с помощью фаервола и ПО
 
|-
 
|-
| ЗИС.34 || Защита от угроз отказа в обслуживании (DOS, DDOS-атак) || + || k
+
| ЗИС.34 || Защита от угроз отказа в обслуживании (DOS, DDOS-атак) || + || Реализуется с помощью фаервола, настроек веб-сервера и пр.
 
|-
 
|-
| ЗИС.35 || Управление сетевыми соединениями || + || k
+
| ЗИС.35 || Управление сетевыми соединениями || + ||
 
|-
 
|-
| ЗИС.38 || Защита информации при использовании мобильных устройств || + || k
+
| ЗИС.38 || Защита информации при использовании мобильных устройств || + ||
 
|-
 
|-
| ЗИС.39 || Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных || + || k
+
| ЗИС.39 || Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных || - ||
 
|-
 
|-
| ИНЦ.0 || Регламентация правил и процедур реагирования на компьютерные инциденты || + || k
+
| ИНЦ.0 || Регламентация правил и процедур реагирования на компьютерные инциденты || || Не относится к ОС
 
|-
 
|-
| ИНЦ.1 || Выявление компьютерных инцидентов || + || k
+
| ИНЦ.1 || Выявление компьютерных инцидентов || + || Реагирование на сбои при регистрац
 
|-
 
|-
| ИНЦ.2 || Информирование о компьютерных инцидентах || + || k
+
| ИНЦ.2 || Информирование о компьютерных инцидентах || + ||
 
|-
 
|-
| ИНЦ.3 || Анализ компьютерных инцидентов || + || k
+
| ИНЦ.3 || Анализ компьютерных инцидентов || + || Система аудита (логирования) позволяет расследовать компьютерные инциденты
 
|-
 
|-
| ИНЦ.4 || Устранение последствий компьютерных инцидентов || + || k
+
| ИНЦ.4 || Устранение последствий компьютерных инцидентов || || Не относится к ОС
 
|-
 
|-
| ИНЦ.5 || Принятие мер по предотвращению повторного возникновения компьютерных инцидентов || + || k
+
| ИНЦ.5 || Принятие мер по предотвращению повторного возникновения компьютерных инцидентов || || Не относится к ОС
 
|-
 
|-
| ИНЦ.6 || Хранение и защита информации о компьютерных инцидентах || + || k
+
| ИНЦ.6 || Хранение и защита информации о компьютерных инцидентах || + || ОС позволяет хранить логи как локальной, так и удаленных машин
 
|-
 
|-
| УКФ.0 || Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы || + || k
+
| УКФ.0 || Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы || + ||
 
|-
 
|-
| УКФ.1 || Идентификация объектов управления конфигурацией || + || k
+
| УКФ.1 || Идентификация объектов управления конфигурацией || + ||
 
|-
 
|-
| УКФ.2 || Управление изменениями || + || k
+
| УКФ.2 || Управление изменениями || + ||
 
|-
 
|-
| УКФ.3 || Установка (инсталляция) только разрешенного к использованию программного обеспечения || + || k
+
| УКФ.3 || Установка (инсталляция) только разрешенного к использованию программного обеспечения || + ||
 
|-
 
|-
| ОПО.0 || Регламентация правил и процедур управления обновлениями программного обеспечения || + || k
+
| ОПО.0 || Регламентация правил и процедур управления обновлениями программного обеспечения || || Не относится к ОС
 
|-
 
|-
| ОПО.1 || Поиск, получение обновлений программного обеспечения от доверенного источника || + || k
+
| ОПО.1 || Поиск, получение обновлений программного обеспечения от доверенного источника || + ||
 
|-
 
|-
| ОПО.2 || Контроль целостности обновлений программного обеспечения || + || k
+
| ОПО.2 || Контроль целостности обновлений программного обеспечения || + || Пакетный менеджер проверяет GPG-подпись пакетов и сверяет контрольные суммы
 
|-
 
|-
| ОПО.3 || Тестирование обновлений программного обеспечения || + || k
+
| ОПО.3 || Тестирование обновлений программного обеспечения || + ||
 
|-
 
|-
| ОПО.4 || Установка обновлений программного обеспечения || + || k
+
| ОПО.4 || Установка обновлений программного обеспечения || + ||
 
|-
 
|-
| ПЛН.0 || Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации || + || k
+
| ПЛН.0 || Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации || || Не относится к ОС
 
|-
 
|-
| ПЛН.1 || Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации || + || k
+
| ПЛН.1 || Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации || || Не относится к ОС
 
|-
 
|-
| ПЛН.2 || Контроль выполнения мероприятий по обеспечению защиты информации || + || k
+
| ПЛН.2 || Контроль выполнения мероприятий по обеспечению защиты информации || || Не относится к ОС
 
|-
 
|-
| ДНС.0 || Регламентация правил и процедур обеспечения действий в нештатных ситуациях || + || k
+
| ДНС.0 || Регламентация правил и процедур обеспечения действий в нештатных ситуациях || || Не относится к ОС
 
|-
 
|-
| ДНС.1 || Разработка плана действий в нештатных ситуациях || + || k
+
| ДНС.1 || Разработка плана действий в нештатных ситуациях || || Не относится к ОС
 
|-
 
|-
| ДНС.2 || Обучение и отработка действий персонала в нештатных ситуациях || + || k
+
| ДНС.2 || Обучение и отработка действий персонала в нештатных ситуациях || || Не относится к ОС
 
|-
 
|-
| ДНС.3 || Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций || + || k
+
| ДНС.3 || Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций || || Не относится к ОС
 
|-
 
|-
| ДНС.4 || Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций || + || k
+
| ДНС.4 || Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций || || Не относится к ОС
 
|-
 
|-
| ДНС.5 || Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций || + || k
+
| ДНС.5 || Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций || + || ОС имеет средства резервного копирования и восстановления (tar, rsync, bacula и др.)
 
|-
 
|-
| ДНС.6 || Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения || + || k
+
| ДНС.6 || Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения || || Не относится к ОС
 
|-
 
|-
| ИПО.0 || Регламентация правил и процедур информирования и обучения персонала || + || k
+
| ИПО.0 || Регламентация правил и процедур информирования и обучения персонала || || Не относится к ОС
 
|-
 
|-
| ИПО.1 || Информирование персонала об угрозах безопасности информации и о правилах безопасной работы || + || k
+
| ИПО.1 || Информирование персонала об угрозах безопасности информации и о правилах безопасной работы || || Не относится к ОС
 
|-
 
|-
| ИПО.2 || Обучение персонала правилам безопасной работы || + || k
+
| ИПО.2 || Обучение персонала правилам безопасной работы || || Не относится к ОС
 
|-
 
|-
| ИПО.3 || Проведение практических занятий с персоналом по правилам безопасной работы || + || k
+
| ИПО.3 || Проведение практических занятий с персоналом по правилам безопасной работы || || Не относится к ОС
 
|-
 
|-
| ИПО.4 || Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы || + || k
+
| ИПО.4 || Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы || || Не относится к ОС
 
|-
 
|-
 
|}
 
|}
 +
 +
[[Категория:ROSA Server]]

Текущая версия на 20:18, 22 ноября 2024

Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России №239 средствами операционной системы Роса Хром 12 (сертификат ФСТЭК)

Об утверждении требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ) Российской Федерации

Текст приказа ФСТЭК №239

Категория значимости 1

Меры обеспечения безопасности значимого объекта Поддержка Комментарий
УПД.0 Регламентация правил и процедур управления доступом +
УПД.1 Управление учетными записями пользователей +
УПД.2 Реализация модели управления доступом +
УПД.3 Доверенная загрузка Реализуется с помощью АПМДЗ (аппаратных модулей доверенной загрузки)
УПД.4 Разделение полномочий (ролей) пользователей +
УПД.5 Назначение минимально необходимых прав и привилегий +
УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему +
УПД.9 Ограничение числа параллельных сеансов доступа +
УПД.10 Блокирование сеанса доступа пользователя при неактивности +
УПД.11 Управление действиями пользователей до идентификации и аутентификации +
УПД.13 Реализация защищенного удаленного доступа + SSH
УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем + Фаервол (межсетевой экран)
ОПС.0 Регламентация правил и процедур ограничения программной среды +
ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения +
ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения +
ЗНИ.0 Регламентация правил и процедур защиты машинных носителей информации Не относится к ОС
ЗНИ.1 Учет машинных носителей информации +
ЗНИ.2 Управление физическим доступом к машинным носителям информации Не относится к ОС
ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации +
ЗНИ.6 Контроль ввода (вывода) информации на съемные машинные носители информации +
ЗНИ.7 Контроль подключения съемных машинных носителей информации +
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации + Утилита wipe
АУД.0 Регламентация правил и процедур аудита безопасности Не относится к ОС
АУД.1 Инвентаризация информационных ресурсов Не относится к ОС, однако ОС может показывать информацию об аппаратном обеспечении
АУД.2 Анализ уязвимостей и их устранение + Выявление и оперативное устранение уязвимостей производится разработчиком в соответствии с приказом ФСТЭК России №76 и ГОСТ Р 56939
АУД.3 Генерирование временных меток и (или) синхронизация системного времени +
АУД.4 Регистрация событий безопасности +
АУД.5 Контроль и анализ сетевого трафика +
АУД.6 Защита информации о событиях безопасности +
АУД.7 Мониторинг безопасности +
АУД.8 Реагирование на сбои при регистрации событий безопасности +
АУД.9 Анализ действий отдельных пользователей +
АУД.10 Проведение внутренних аудитов Не относится к ОС
АУД.11 Проведение внешних аудитов Не относится к ОС
АВЗ.0 Регламентация правил и процедур антивирусной защиты ОС Роса Хром не реализует функции антивирусной защиты, следует использовать внешние антивирусы
АВЗ.1 Реализация антивирусной защиты
АВЗ.2 Антивирусная защита электронной почты и иных сервисов
АВЗ.3 Контроль использования архивных, исполняемых и зашифрованных файлов
АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
АВЗ.5 Использование средств антивирусной защиты различных производителей
СОВ.0 Регламентация правил и процедур предотвращения вторжений (компьютерных атак) Не относится к ОС
СОВ.1 Обнаружение и предотвращение компьютерных атак В сертифицированном репозитории ОС Роса Хром имеется пакет snort
СОВ.2 Обновление базы решающих правил В сертифицированном репозитории ОС Роса Хром имеется пакет snort-rules, а администратор может сам менять, добавлять, удалять правила
ОЦЛ.0 Регламентация правил и процедур обеспечения целостности Не относится к ОС
ОЦЛ.1 Контроль целостности программного обеспечения + AIDE
ОЦЛ.3 Ограничения по вводу информации в информационную (автоматизированную) систему +
ОЦЛ.4 Контроль данных, вводимых в информационную (автоматизированную) систему +
ОЦЛ.5 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях +
ОДТ.0 Регламентация правил и процедур обеспечения доступности Не относится к ОС
ОДТ.1 Использование отказоустойчивых технических средств Не относится к ОС
ОДТ.2 Резервирование средств и систем +
ОДТ.3 Контроль безотказного функционирования средств и систем +
ОДТ.4 Резервное копирование информации +
ОДТ.5 Обеспечение возможности восстановления информации +
ОДТ.6 Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях +
ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связи + В имеются функции органичения дискового пространства, кол-ва процессов, сеансов и др. пользователей
ЗТС.0 Регламентация правил и процедур защиты технических средств и систем Не относится к ОС
ЗТС.2 Организация контролируемой зоны Не относится к ОС
ЗТС.3 Управление физическим доступом Не относится к ОС
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр Не относится к ОС
ЗТС.5 Защита от внешних воздействий Не относится к ОС
ЗИС.0 Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов Не относится к ОС
ЗИС.1 Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями + Дискретная модель доступа в ОС позволяет разделять полномочия
ЗИС.2 Защита периметра информационной (автоматизированной) системы + Встроенные в ОС средства защиты могут являться одним из эшелонов защиты
ЗИС.3 Эшелонированная защита информационной (автоматизированной) системы + Встроенные в ОС средства защиты могут являться одним из эшелонов защиты
ЗИС.4 Сегментирование информационной (автоматизированной) системы Не относится к ОС
ЗИС.5 Организация демилитаризованной зоны
ЗИС.6 Управление сетевыми потоками +
ЗИС.7 Использование эмулятора среды функционирования программного обеспечения ("песочница") + Возможно использование chroot, systemd-nspawn, wine, средств виртуализации
ЗИС.8 Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы +
ЗИС.13 Защита неизменяемых данных +
ЗИС.16 Защита от спама + В сертифицированном репозитории ОС Роса Хром есть пакеты rspamd, spamassasin и почтовые серверы (postfix, exim, opensmtpd)
ЗИС.19 Защита информации при ее передаче по каналам связи +
ЗИС.20 Обеспечение доверенных канала, маршрута + Не относится к ОС, реализуется доверенным каналом связи
ЗИС.21 Запрет несанкционированной удаленной активации периферийных устройств +
ЗИС.27 Обеспечение подлинности сетевых соединений Не относится к ОС, реализуется доверенным каналом связи
ЗИС.32 Защита беспроводных соединений +
ЗИС.33 Исключение доступа через общие ресурсы + Реализуется с помощью фаервола и ПО
ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак) + Реализуется с помощью фаервола, настроек веб-сервера и пр.
ЗИС.35 Управление сетевыми соединениями +
ЗИС.38 Защита информации при использовании мобильных устройств +
ЗИС.39 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных -
ИНЦ.0 Регламентация правил и процедур реагирования на компьютерные инциденты Не относится к ОС
ИНЦ.1 Выявление компьютерных инцидентов + Реагирование на сбои при регистрац
ИНЦ.2 Информирование о компьютерных инцидентах +
ИНЦ.3 Анализ компьютерных инцидентов + Система аудита (логирования) позволяет расследовать компьютерные инциденты
ИНЦ.4 Устранение последствий компьютерных инцидентов Не относится к ОС
ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов Не относится к ОС
ИНЦ.6 Хранение и защита информации о компьютерных инцидентах + ОС позволяет хранить логи как локальной, так и удаленных машин
УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы +
УКФ.1 Идентификация объектов управления конфигурацией +
УКФ.2 Управление изменениями +
УКФ.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения +
ОПО.0 Регламентация правил и процедур управления обновлениями программного обеспечения Не относится к ОС
ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника +
ОПО.2 Контроль целостности обновлений программного обеспечения + Пакетный менеджер проверяет GPG-подпись пакетов и сверяет контрольные суммы
ОПО.3 Тестирование обновлений программного обеспечения +
ОПО.4 Установка обновлений программного обеспечения +
ПЛН.0 Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации Не относится к ОС
ПЛН.1 Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации Не относится к ОС
ПЛН.2 Контроль выполнения мероприятий по обеспечению защиты информации Не относится к ОС
ДНС.0 Регламентация правил и процедур обеспечения действий в нештатных ситуациях Не относится к ОС
ДНС.1 Разработка плана действий в нештатных ситуациях Не относится к ОС
ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях Не относится к ОС
ДНС.3 Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций Не относится к ОС
ДНС.4 Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций Не относится к ОС
ДНС.5 Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций + ОС имеет средства резервного копирования и восстановления (tar, rsync, bacula и др.)
ДНС.6 Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения Не относится к ОС
ИПО.0 Регламентация правил и процедур информирования и обучения персонала Не относится к ОС
ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы Не относится к ОС
ИПО.2 Обучение персонала правилам безопасной работы Не относится к ОС
ИПО.3 Проведение практических занятий с персоналом по правилам безопасной работы Не относится к ОС
ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы Не относится к ОС