ФСТЭК 239 — различия между версиями
Материал из Rosalab Wiki
| (не показано 15 промежуточных версий этого же участника) | |||
| Строка 1: | Строка 1: | ||
| − | = Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России №239 средствами операционной системы Роса Хром | + | = Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России №239 средствами операционной системы Роса Хром 12 (сертификат ФСТЭК) = |
| + | |||
| + | Об утверждении требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ) Российской Федерации | ||
[https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 Текст приказа ФСТЭК №239] | [https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239 Текст приказа ФСТЭК №239] | ||
| − | + | Категория значимости 1 | |
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
| − | + | ||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
| − | ! № !! | + | ! № !! Меры обеспечения безопасности значимого объекта !! Поддержка !! Комментарий |
|- | |- | ||
| − | | УПД.0 || Регламентация правил и процедур управления доступом || + || | + | | УПД.0 || Регламентация правил и процедур управления доступом || + || |
|- | |- | ||
| − | | УПД.1 || Управление учетными записями пользователей || + || | + | | УПД.1 || Управление учетными записями пользователей || + || |
|- | |- | ||
| − | | УПД.2 || Реализация модели управления доступом || + || | + | | УПД.2 || Реализация модели управления доступом || + || |
|- | |- | ||
| − | | УПД.3 || Доверенная загрузка || | + | | УПД.3 || Доверенная загрузка || || Реализуется с помощью АПМДЗ (аппаратных модулей доверенной загрузки) |
|- | |- | ||
| − | | УПД.4 || Разделение полномочий (ролей) пользователей || + || | + | | УПД.4 || Разделение полномочий (ролей) пользователей || + || |
|- | |- | ||
| − | | УПД.5 || Назначение минимально необходимых прав и привилегий || + || | + | | УПД.5 || Назначение минимально необходимых прав и привилегий || + || |
|- | |- | ||
| − | | УПД.6 || Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему || + || | + | | УПД.6 || Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему || + || |
|- | |- | ||
| − | | УПД.9 || Ограничение числа параллельных сеансов доступа || + || | + | | УПД.9 || Ограничение числа параллельных сеансов доступа || + || |
|- | |- | ||
| − | | УПД.10 || Блокирование сеанса доступа пользователя при неактивности || + || | + | | УПД.10 || Блокирование сеанса доступа пользователя при неактивности || + || |
|- | |- | ||
| − | | УПД.11 || Управление действиями пользователей до идентификации и аутентификации || + || | + | | УПД.11 || Управление действиями пользователей до идентификации и аутентификации || + || |
|- | |- | ||
| − | | УПД.13 || Реализация защищенного удаленного доступа || + || | + | | УПД.13 || Реализация защищенного удаленного доступа || + || SSH |
|- | |- | ||
| − | | УПД.14 || Контроль доступа из внешних информационных (автоматизированных) систем || + || | + | | УПД.14 || Контроль доступа из внешних информационных (автоматизированных) систем || + || Фаервол (межсетевой экран) |
|- | |- | ||
| − | | ОПС.0 || Регламентация правил и процедур ограничения программной среды || + || | + | | ОПС.0 || Регламентация правил и процедур ограничения программной среды || + || |
|- | |- | ||
| − | | ОПС.1 || Управление запуском (обращениями) компонентов программного обеспечения || + || | + | | ОПС.1 || Управление запуском (обращениями) компонентов программного обеспечения || + || |
|- | |- | ||
| − | | ОПС.2 || Управление установкой (инсталляцией) компонентов программного обеспечения || + || | + | | ОПС.2 || Управление установкой (инсталляцией) компонентов программного обеспечения || + || |
|- | |- | ||
| − | | ЗНИ.0 || Регламентация правил и процедур защиты машинных носителей информации || | + | | ЗНИ.0 || Регламентация правил и процедур защиты машинных носителей информации || || Не относится к ОС |
|- | |- | ||
| − | | ЗНИ.1 || Учет машинных носителей информации || + || | + | | ЗНИ.1 || Учет машинных носителей информации || + || |
|- | |- | ||
| − | | ЗНИ.2 || Управление физическим доступом к машинным носителям информации || | + | | ЗНИ.2 || Управление физическим доступом к машинным носителям информации || || Не относится к ОС |
|- | |- | ||
| − | | ЗНИ.5 || Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации || + || | + | | ЗНИ.5 || Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации || + || |
|- | |- | ||
| − | | ЗНИ.6 || Контроль ввода (вывода) информации на съемные машинные носители информации || + || | + | | ЗНИ.6 || Контроль ввода (вывода) информации на съемные машинные носители информации || + || |
|- | |- | ||
| − | | ЗНИ.7 || Контроль подключения съемных машинных носителей информации || + || | + | | ЗНИ.7 || Контроль подключения съемных машинных носителей информации || + || |
|- | |- | ||
| − | | ЗНИ.8 || Уничтожение (стирание) информации на машинных носителях информации || + || | + | | ЗНИ.8 || Уничтожение (стирание) информации на машинных носителях информации || + || Утилита wipe |
|- | |- | ||
| − | | АУД.0 || Регламентация правил и процедур аудита безопасности || | + | | АУД.0 || Регламентация правил и процедур аудита безопасности || || Не относится к ОС |
|- | |- | ||
| − | | АУД.1 || Инвентаризация информационных ресурсов || | + | | АУД.1 || Инвентаризация информационных ресурсов || || Не относится к ОС, однако ОС может показывать информацию об аппаратном обеспечении |
|- | |- | ||
| − | | АУД.2 || Анализ уязвимостей и их устранение || + || | + | | АУД.2 || Анализ уязвимостей и их устранение || + || Выявление и оперативное устранение уязвимостей производится разработчиком в соответствии с приказом ФСТЭК России №76 и ГОСТ Р 56939 |
|- | |- | ||
| − | | АУД.3 || Генерирование временных меток и (или) синхронизация системного времени || + || | + | | АУД.3 || Генерирование временных меток и (или) синхронизация системного времени || + || |
|- | |- | ||
| − | | АУД.4 || Регистрация событий безопасности || + || | + | | АУД.4 || Регистрация событий безопасности || + || |
|- | |- | ||
| − | | АУД.5 || Контроль и анализ сетевого трафика || + || | + | | АУД.5 || Контроль и анализ сетевого трафика || + || |
|- | |- | ||
| − | | АУД.6 || Защита информации о событиях безопасности || + || | + | | АУД.6 || Защита информации о событиях безопасности || + || |
|- | |- | ||
| − | | АУД.7 || Мониторинг безопасности || + || | + | | АУД.7 || Мониторинг безопасности || + || |
|- | |- | ||
| − | | АУД.8 || Реагирование на сбои при регистрации событий безопасности || + || | + | | АУД.8 || Реагирование на сбои при регистрации событий безопасности || + || |
|- | |- | ||
| − | | АУД.9 || Анализ действий отдельных пользователей || + || | + | | АУД.9 || Анализ действий отдельных пользователей || + || |
|- | |- | ||
| − | | АУД.10 || Проведение внутренних аудитов || | + | | АУД.10 || Проведение внутренних аудитов || || Не относится к ОС |
|- | |- | ||
| − | | АУД.11 || Проведение внешних аудитов || | + | | АУД.11 || Проведение внешних аудитов || || Не относится к ОС |
|- | |- | ||
| − | | АВЗ.0 || Регламентация правил и процедур антивирусной защиты || | + | | АВЗ.0 || Регламентация правил и процедур антивирусной защиты || || ОС Роса Хром не реализует функции антивирусной защиты, следует использовать внешние антивирусы |
|- | |- | ||
| − | | АВЗ.1 || Реализация антивирусной защиты || | + | | АВЗ.1 || Реализация антивирусной защиты || || |
|- | |- | ||
| − | | АВЗ.2 || Антивирусная защита электронной почты и иных сервисов || | + | | АВЗ.2 || Антивирусная защита электронной почты и иных сервисов || || |
|- | |- | ||
| − | | АВЗ.3 || Контроль использования архивных, исполняемых и зашифрованных файлов || | + | | АВЗ.3 || Контроль использования архивных, исполняемых и зашифрованных файлов || || |
|- | |- | ||
| − | | АВЗ.4 || Обновление базы данных признаков вредоносных компьютерных программ (вирусов) || | + | | АВЗ.4 || Обновление базы данных признаков вредоносных компьютерных программ (вирусов) || || |
|- | |- | ||
| − | | АВЗ.5 || Использование средств антивирусной защиты различных производителей || | + | | АВЗ.5 || Использование средств антивирусной защиты различных производителей || || |
|- | |- | ||
| − | | СОВ.0 || Регламентация правил и процедур предотвращения вторжений (компьютерных атак) || | + | | СОВ.0 || Регламентация правил и процедур предотвращения вторжений (компьютерных атак) || || Не относится к ОС |
|- | |- | ||
| − | | СОВ.1 || Обнаружение и предотвращение компьютерных атак || | + | | СОВ.1 || Обнаружение и предотвращение компьютерных атак || || В сертифицированном репозитории ОС Роса Хром имеется пакет snort |
|- | |- | ||
| − | | СОВ.2 || Обновление базы решающих правил || | + | | СОВ.2 || Обновление базы решающих правил || || В сертифицированном репозитории ОС Роса Хром имеется пакет snort-rules, а администратор может сам менять, добавлять, удалять правила |
|- | |- | ||
| − | | ОЦЛ.0 || Регламентация правил и процедур обеспечения целостности || | + | | ОЦЛ.0 || Регламентация правил и процедур обеспечения целостности || || Не относится к ОС |
|- | |- | ||
| − | | ОЦЛ.1 || Контроль целостности программного обеспечения || + || | + | | ОЦЛ.1 || Контроль целостности программного обеспечения || + || [[AIDE]] |
|- | |- | ||
| − | | ОЦЛ.3 || Ограничения по вводу информации в информационную (автоматизированную) систему || + || | + | | ОЦЛ.3 || Ограничения по вводу информации в информационную (автоматизированную) систему || + || |
|- | |- | ||
| − | | ОЦЛ.4 || Контроль данных, вводимых в информационную (автоматизированную) систему || + || | + | | ОЦЛ.4 || Контроль данных, вводимых в информационную (автоматизированную) систему || + || |
|- | |- | ||
| − | | ОЦЛ.5 || Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях || + || | + | | ОЦЛ.5 || Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях || + || |
|- | |- | ||
| − | | ОДТ.0 || Регламентация правил и процедур обеспечения доступности || | + | | ОДТ.0 || Регламентация правил и процедур обеспечения доступности || || Не относится к ОС |
|- | |- | ||
| − | | ОДТ.1 || Использование отказоустойчивых технических средств || | + | | ОДТ.1 || Использование отказоустойчивых технических средств || || Не относится к ОС |
|- | |- | ||
| − | | ОДТ.2 || Резервирование средств и систем || + || | + | | ОДТ.2 || Резервирование средств и систем || + || |
|- | |- | ||
| − | | ОДТ.3 || Контроль безотказного функционирования средств и систем || + || | + | | ОДТ.3 || Контроль безотказного функционирования средств и систем || + || |
|- | |- | ||
| − | | ОДТ.4 || Резервное копирование информации || + || | + | | ОДТ.4 || Резервное копирование информации || + || |
|- | |- | ||
| − | | ОДТ.5 || Обеспечение возможности восстановления информации || + || | + | | ОДТ.5 || Обеспечение возможности восстановления информации || + || |
|- | |- | ||
| − | | ОДТ.6 || Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях || + || | + | | ОДТ.6 || Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях || + || |
|- | |- | ||
| − | | ОДТ.8 || Контроль предоставляемых вычислительных ресурсов и каналов связи || + || | + | | ОДТ.8 || Контроль предоставляемых вычислительных ресурсов и каналов связи || + || В имеются функции органичения дискового пространства, кол-ва процессов, сеансов и др. пользователей |
|- | |- | ||
| − | | ЗТС.0 || Регламентация правил и процедур защиты технических средств и систем || | + | | ЗТС.0 || Регламентация правил и процедур защиты технических средств и систем || || Не относится к ОС |
|- | |- | ||
| − | | ЗТС.2 || Организация контролируемой зоны || | + | | ЗТС.2 || Организация контролируемой зоны || || Не относится к ОС |
|- | |- | ||
| − | | ЗТС.3 || Управление физическим доступом || | + | | ЗТС.3 || Управление физическим доступом || || Не относится к ОС |
|- | |- | ||
| − | | ЗТС.4 || Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр || | + | | ЗТС.4 || Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр || || Не относится к ОС |
|- | |- | ||
| − | | ЗТС.5 || Защита от внешних воздействий || | + | | ЗТС.5 || Защита от внешних воздействий || || Не относится к ОС |
|- | |- | ||
| − | | ЗИС.0 || Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов || | + | | ЗИС.0 || Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов || || Не относится к ОС |
|- | |- | ||
| − | | ЗИС.1 || Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями || + || | + | | ЗИС.1 || Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями || + || Дискретная модель доступа в ОС позволяет разделять полномочия |
|- | |- | ||
| − | | ЗИС.2 || Защита периметра информационной (автоматизированной) системы || + || | + | | ЗИС.2 || Защита периметра информационной (автоматизированной) системы || + || Встроенные в ОС средства защиты могут являться одним из эшелонов защиты |
|- | |- | ||
| − | | ЗИС.3 || Эшелонированная защита информационной (автоматизированной) системы || + || | + | | ЗИС.3 || Эшелонированная защита информационной (автоматизированной) системы || + || Встроенные в ОС средства защиты могут являться одним из эшелонов защиты |
|- | |- | ||
| − | | ЗИС.4 || Сегментирование информационной (автоматизированной) системы || | + | | ЗИС.4 || Сегментирование информационной (автоматизированной) системы || || Не относится к ОС |
|- | |- | ||
| − | | ЗИС.5 || Организация демилитаризованной зоны || | + | | ЗИС.5 || Организация демилитаризованной зоны || || |
|- | |- | ||
| − | | ЗИС.6 || Управление сетевыми потоками || + || | + | | ЗИС.6 || Управление сетевыми потоками || + || |
|- | |- | ||
| − | | ЗИС.7 || Использование эмулятора среды функционирования программного обеспечения ("песочница") || + || | + | | ЗИС.7 || Использование эмулятора среды функционирования программного обеспечения ("песочница") || + || Возможно использование chroot, systemd-nspawn, wine, средств виртуализации |
|- | |- | ||
| − | | ЗИС.8 || Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы || + || | + | | ЗИС.8 || Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы || + || |
|- | |- | ||
| − | | ЗИС.13 || Защита неизменяемых данных || + || | + | | ЗИС.13 || Защита неизменяемых данных || + || |
|- | |- | ||
| − | | ЗИС.16 || Защита от спама || + || | + | | ЗИС.16 || Защита от спама || + || В сертифицированном репозитории ОС Роса Хром есть пакеты rspamd, spamassasin и почтовые серверы (postfix, exim, opensmtpd) |
|- | |- | ||
| − | | ЗИС.19 || Защита информации при ее передаче по каналам связи || + || | + | | ЗИС.19 || Защита информации при ее передаче по каналам связи || + || |
|- | |- | ||
| − | | ЗИС.20 || Обеспечение доверенных канала, маршрута || + || | + | | ЗИС.20 || Обеспечение доверенных канала, маршрута || + || Не относится к ОС, реализуется доверенным каналом связи |
|- | |- | ||
| − | | ЗИС.21 || Запрет несанкционированной удаленной активации периферийных устройств || + || | + | | ЗИС.21 || Запрет несанкционированной удаленной активации периферийных устройств || + || |
|- | |- | ||
| − | | ЗИС.27 || Обеспечение подлинности сетевых соединений || | + | | ЗИС.27 || Обеспечение подлинности сетевых соединений || || Не относится к ОС, реализуется доверенным каналом связи |
|- | |- | ||
| − | | ЗИС.32 || Защита беспроводных соединений || + || | + | | ЗИС.32 || Защита беспроводных соединений || + || |
|- | |- | ||
| − | | ЗИС.33 || Исключение доступа через общие ресурсы || + || | + | | ЗИС.33 || Исключение доступа через общие ресурсы || + || Реализуется с помощью фаервола и ПО |
|- | |- | ||
| − | | ЗИС.34 || Защита от угроз отказа в обслуживании (DOS, DDOS-атак) || + || | + | | ЗИС.34 || Защита от угроз отказа в обслуживании (DOS, DDOS-атак) || + || Реализуется с помощью фаервола, настроек веб-сервера и пр. |
|- | |- | ||
| − | | ЗИС.35 || Управление сетевыми соединениями || + || | + | | ЗИС.35 || Управление сетевыми соединениями || + || |
|- | |- | ||
| − | | ЗИС.38 || Защита информации при использовании мобильных устройств || + || | + | | ЗИС.38 || Защита информации при использовании мобильных устройств || + || |
|- | |- | ||
| − | | ЗИС.39 || Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных || | + | | ЗИС.39 || Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных || - || |
|- | |- | ||
| − | | ИНЦ.0 || Регламентация правил и процедур реагирования на компьютерные инциденты || | + | | ИНЦ.0 || Регламентация правил и процедур реагирования на компьютерные инциденты || || Не относится к ОС |
|- | |- | ||
| − | | ИНЦ.1 || Выявление компьютерных инцидентов || + || | + | | ИНЦ.1 || Выявление компьютерных инцидентов || + || Реагирование на сбои при регистрац |
|- | |- | ||
| − | | ИНЦ.2 || Информирование о компьютерных инцидентах || + || | + | | ИНЦ.2 || Информирование о компьютерных инцидентах || + || |
|- | |- | ||
| − | | ИНЦ.3 || Анализ компьютерных инцидентов || + || | + | | ИНЦ.3 || Анализ компьютерных инцидентов || + || Система аудита (логирования) позволяет расследовать компьютерные инциденты |
|- | |- | ||
| − | | ИНЦ.4 || Устранение последствий компьютерных инцидентов || | + | | ИНЦ.4 || Устранение последствий компьютерных инцидентов || || Не относится к ОС |
|- | |- | ||
| − | | ИНЦ.5 || Принятие мер по предотвращению повторного возникновения компьютерных инцидентов || | + | | ИНЦ.5 || Принятие мер по предотвращению повторного возникновения компьютерных инцидентов || || Не относится к ОС |
|- | |- | ||
| − | | ИНЦ.6 || Хранение и защита информации о компьютерных инцидентах || + || | + | | ИНЦ.6 || Хранение и защита информации о компьютерных инцидентах || + || ОС позволяет хранить логи как локальной, так и удаленных машин |
|- | |- | ||
| − | | УКФ.0 || Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы || + || | + | | УКФ.0 || Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы || + || |
|- | |- | ||
| − | | УКФ.1 || Идентификация объектов управления конфигурацией || + || | + | | УКФ.1 || Идентификация объектов управления конфигурацией || + || |
|- | |- | ||
| − | | УКФ.2 || Управление изменениями || + || | + | | УКФ.2 || Управление изменениями || + || |
|- | |- | ||
| − | | УКФ.3 || Установка (инсталляция) только разрешенного к использованию программного обеспечения || + || | + | | УКФ.3 || Установка (инсталляция) только разрешенного к использованию программного обеспечения || + || |
|- | |- | ||
| − | | ОПО.0 || Регламентация правил и процедур управления обновлениями программного обеспечения || | + | | ОПО.0 || Регламентация правил и процедур управления обновлениями программного обеспечения || || Не относится к ОС |
|- | |- | ||
| − | | ОПО.1 || Поиск, получение обновлений программного обеспечения от доверенного источника || + || | + | | ОПО.1 || Поиск, получение обновлений программного обеспечения от доверенного источника || + || |
|- | |- | ||
| − | | ОПО.2 || Контроль целостности обновлений программного обеспечения || + || | + | | ОПО.2 || Контроль целостности обновлений программного обеспечения || + || Пакетный менеджер проверяет GPG-подпись пакетов и сверяет контрольные суммы |
|- | |- | ||
| − | | ОПО.3 || Тестирование обновлений программного обеспечения || + || | + | | ОПО.3 || Тестирование обновлений программного обеспечения || + || |
|- | |- | ||
| − | | ОПО.4 || Установка обновлений программного обеспечения || + || | + | | ОПО.4 || Установка обновлений программного обеспечения || + || |
|- | |- | ||
| − | | ПЛН.0 || Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации || | + | | ПЛН.0 || Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации || || Не относится к ОС |
|- | |- | ||
| − | | ПЛН.1 || Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации || | + | | ПЛН.1 || Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации || || Не относится к ОС |
|- | |- | ||
| − | | ПЛН.2 || Контроль выполнения мероприятий по обеспечению защиты информации || | + | | ПЛН.2 || Контроль выполнения мероприятий по обеспечению защиты информации || || Не относится к ОС |
|- | |- | ||
| − | | ДНС.0 || Регламентация правил и процедур обеспечения действий в нештатных ситуациях || | + | | ДНС.0 || Регламентация правил и процедур обеспечения действий в нештатных ситуациях || || Не относится к ОС |
|- | |- | ||
| − | | ДНС.1 || Разработка плана действий в нештатных ситуациях || | + | | ДНС.1 || Разработка плана действий в нештатных ситуациях || || Не относится к ОС |
|- | |- | ||
| − | | ДНС.2 || Обучение и отработка действий персонала в нештатных ситуациях || | + | | ДНС.2 || Обучение и отработка действий персонала в нештатных ситуациях || || Не относится к ОС |
|- | |- | ||
| − | | ДНС.3 || Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций || | + | | ДНС.3 || Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций || || Не относится к ОС |
|- | |- | ||
| − | | ДНС.4 || Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций || | + | | ДНС.4 || Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций || || Не относится к ОС |
|- | |- | ||
| − | | ДНС.5 || Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций || + || | + | | ДНС.5 || Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций || + || ОС имеет средства резервного копирования и восстановления (tar, rsync, bacula и др.) |
|- | |- | ||
| − | | ДНС.6 || Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения || | + | | ДНС.6 || Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения || || Не относится к ОС |
|- | |- | ||
| − | | ИПО.0 || Регламентация правил и процедур информирования и обучения персонала || | + | | ИПО.0 || Регламентация правил и процедур информирования и обучения персонала || || Не относится к ОС |
|- | |- | ||
| − | | ИПО.1 || Информирование персонала об угрозах безопасности информации и о правилах безопасной работы || | + | | ИПО.1 || Информирование персонала об угрозах безопасности информации и о правилах безопасной работы || || Не относится к ОС |
|- | |- | ||
| − | | ИПО.2 || Обучение персонала правилам безопасной работы || | + | | ИПО.2 || Обучение персонала правилам безопасной работы || || Не относится к ОС |
|- | |- | ||
| − | | ИПО.3 || Проведение практических занятий с персоналом по правилам безопасной работы || | + | | ИПО.3 || Проведение практических занятий с персоналом по правилам безопасной работы || || Не относится к ОС |
|- | |- | ||
| − | | ИПО.4 || Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы || | + | | ИПО.4 || Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы || || Не относится к ОС |
|- | |- | ||
|} | |} | ||
| + | |||
| + | [[Категория:ROSA Server]] | ||
Текущая версия на 20:18, 22 ноября 2024
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России №239 средствами операционной системы Роса Хром 12 (сертификат ФСТЭК)
Об утверждении требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ) Российской Федерации
Категория значимости 1
| № | Меры обеспечения безопасности значимого объекта | Поддержка | Комментарий |
|---|---|---|---|
| УПД.0 | Регламентация правил и процедур управления доступом | + | |
| УПД.1 | Управление учетными записями пользователей | + | |
| УПД.2 | Реализация модели управления доступом | + | |
| УПД.3 | Доверенная загрузка | Реализуется с помощью АПМДЗ (аппаратных модулей доверенной загрузки) | |
| УПД.4 | Разделение полномочий (ролей) пользователей | + | |
| УПД.5 | Назначение минимально необходимых прав и привилегий | + | |
| УПД.6 | Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему | + | |
| УПД.9 | Ограничение числа параллельных сеансов доступа | + | |
| УПД.10 | Блокирование сеанса доступа пользователя при неактивности | + | |
| УПД.11 | Управление действиями пользователей до идентификации и аутентификации | + | |
| УПД.13 | Реализация защищенного удаленного доступа | + | SSH |
| УПД.14 | Контроль доступа из внешних информационных (автоматизированных) систем | + | Фаервол (межсетевой экран) |
| ОПС.0 | Регламентация правил и процедур ограничения программной среды | + | |
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения | + | |
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения | + | |
| ЗНИ.0 | Регламентация правил и процедур защиты машинных носителей информации | Не относится к ОС | |
| ЗНИ.1 | Учет машинных носителей информации | + | |
| ЗНИ.2 | Управление физическим доступом к машинным носителям информации | Не относится к ОС | |
| ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации | + | |
| ЗНИ.6 | Контроль ввода (вывода) информации на съемные машинные носители информации | + | |
| ЗНИ.7 | Контроль подключения съемных машинных носителей информации | + | |
| ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях информации | + | Утилита wipe |
| АУД.0 | Регламентация правил и процедур аудита безопасности | Не относится к ОС | |
| АУД.1 | Инвентаризация информационных ресурсов | Не относится к ОС, однако ОС может показывать информацию об аппаратном обеспечении | |
| АУД.2 | Анализ уязвимостей и их устранение | + | Выявление и оперативное устранение уязвимостей производится разработчиком в соответствии с приказом ФСТЭК России №76 и ГОСТ Р 56939 |
| АУД.3 | Генерирование временных меток и (или) синхронизация системного времени | + | |
| АУД.4 | Регистрация событий безопасности | + | |
| АУД.5 | Контроль и анализ сетевого трафика | + | |
| АУД.6 | Защита информации о событиях безопасности | + | |
| АУД.7 | Мониторинг безопасности | + | |
| АУД.8 | Реагирование на сбои при регистрации событий безопасности | + | |
| АУД.9 | Анализ действий отдельных пользователей | + | |
| АУД.10 | Проведение внутренних аудитов | Не относится к ОС | |
| АУД.11 | Проведение внешних аудитов | Не относится к ОС | |
| АВЗ.0 | Регламентация правил и процедур антивирусной защиты | ОС Роса Хром не реализует функции антивирусной защиты, следует использовать внешние антивирусы | |
| АВЗ.1 | Реализация антивирусной защиты | ||
| АВЗ.2 | Антивирусная защита электронной почты и иных сервисов | ||
| АВЗ.3 | Контроль использования архивных, исполняемых и зашифрованных файлов | ||
| АВЗ.4 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | ||
| АВЗ.5 | Использование средств антивирусной защиты различных производителей | ||
| СОВ.0 | Регламентация правил и процедур предотвращения вторжений (компьютерных атак) | Не относится к ОС | |
| СОВ.1 | Обнаружение и предотвращение компьютерных атак | В сертифицированном репозитории ОС Роса Хром имеется пакет snort | |
| СОВ.2 | Обновление базы решающих правил | В сертифицированном репозитории ОС Роса Хром имеется пакет snort-rules, а администратор может сам менять, добавлять, удалять правила | |
| ОЦЛ.0 | Регламентация правил и процедур обеспечения целостности | Не относится к ОС | |
| ОЦЛ.1 | Контроль целостности программного обеспечения | + | AIDE |
| ОЦЛ.3 | Ограничения по вводу информации в информационную (автоматизированную) систему | + | |
| ОЦЛ.4 | Контроль данных, вводимых в информационную (автоматизированную) систему | + | |
| ОЦЛ.5 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | + | |
| ОДТ.0 | Регламентация правил и процедур обеспечения доступности | Не относится к ОС | |
| ОДТ.1 | Использование отказоустойчивых технических средств | Не относится к ОС | |
| ОДТ.2 | Резервирование средств и систем | + | |
| ОДТ.3 | Контроль безотказного функционирования средств и систем | + | |
| ОДТ.4 | Резервное копирование информации | + | |
| ОДТ.5 | Обеспечение возможности восстановления информации | + | |
| ОДТ.6 | Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях | + | |
| ОДТ.8 | Контроль предоставляемых вычислительных ресурсов и каналов связи | + | В имеются функции органичения дискового пространства, кол-ва процессов, сеансов и др. пользователей |
| ЗТС.0 | Регламентация правил и процедур защиты технических средств и систем | Не относится к ОС | |
| ЗТС.2 | Организация контролируемой зоны | Не относится к ОС | |
| ЗТС.3 | Управление физическим доступом | Не относится к ОС | |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | Не относится к ОС | |
| ЗТС.5 | Защита от внешних воздействий | Не относится к ОС | |
| ЗИС.0 | Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов | Не относится к ОС | |
| ЗИС.1 | Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями | + | Дискретная модель доступа в ОС позволяет разделять полномочия |
| ЗИС.2 | Защита периметра информационной (автоматизированной) системы | + | Встроенные в ОС средства защиты могут являться одним из эшелонов защиты |
| ЗИС.3 | Эшелонированная защита информационной (автоматизированной) системы | + | Встроенные в ОС средства защиты могут являться одним из эшелонов защиты |
| ЗИС.4 | Сегментирование информационной (автоматизированной) системы | Не относится к ОС | |
| ЗИС.5 | Организация демилитаризованной зоны | ||
| ЗИС.6 | Управление сетевыми потоками | + | |
| ЗИС.7 | Использование эмулятора среды функционирования программного обеспечения ("песочница") | + | Возможно использование chroot, systemd-nspawn, wine, средств виртуализации |
| ЗИС.8 | Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы | + | |
| ЗИС.13 | Защита неизменяемых данных | + | |
| ЗИС.16 | Защита от спама | + | В сертифицированном репозитории ОС Роса Хром есть пакеты rspamd, spamassasin и почтовые серверы (postfix, exim, opensmtpd) |
| ЗИС.19 | Защита информации при ее передаче по каналам связи | + | |
| ЗИС.20 | Обеспечение доверенных канала, маршрута | + | Не относится к ОС, реализуется доверенным каналом связи |
| ЗИС.21 | Запрет несанкционированной удаленной активации периферийных устройств | + | |
| ЗИС.27 | Обеспечение подлинности сетевых соединений | Не относится к ОС, реализуется доверенным каналом связи | |
| ЗИС.32 | Защита беспроводных соединений | + | |
| ЗИС.33 | Исключение доступа через общие ресурсы | + | Реализуется с помощью фаервола и ПО |
| ЗИС.34 | Защита от угроз отказа в обслуживании (DOS, DDOS-атак) | + | Реализуется с помощью фаервола, настроек веб-сервера и пр. |
| ЗИС.35 | Управление сетевыми соединениями | + | |
| ЗИС.38 | Защита информации при использовании мобильных устройств | + | |
| ЗИС.39 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | - | |
| ИНЦ.0 | Регламентация правил и процедур реагирования на компьютерные инциденты | Не относится к ОС | |
| ИНЦ.1 | Выявление компьютерных инцидентов | + | Реагирование на сбои при регистрац |
| ИНЦ.2 | Информирование о компьютерных инцидентах | + | |
| ИНЦ.3 | Анализ компьютерных инцидентов | + | Система аудита (логирования) позволяет расследовать компьютерные инциденты |
| ИНЦ.4 | Устранение последствий компьютерных инцидентов | Не относится к ОС | |
| ИНЦ.5 | Принятие мер по предотвращению повторного возникновения компьютерных инцидентов | Не относится к ОС | |
| ИНЦ.6 | Хранение и защита информации о компьютерных инцидентах | + | ОС позволяет хранить логи как локальной, так и удаленных машин |
| УКФ.0 | Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы | + | |
| УКФ.1 | Идентификация объектов управления конфигурацией | + | |
| УКФ.2 | Управление изменениями | + | |
| УКФ.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения | + | |
| ОПО.0 | Регламентация правил и процедур управления обновлениями программного обеспечения | Не относится к ОС | |
| ОПО.1 | Поиск, получение обновлений программного обеспечения от доверенного источника | + | |
| ОПО.2 | Контроль целостности обновлений программного обеспечения | + | Пакетный менеджер проверяет GPG-подпись пакетов и сверяет контрольные суммы |
| ОПО.3 | Тестирование обновлений программного обеспечения | + | |
| ОПО.4 | Установка обновлений программного обеспечения | + | |
| ПЛН.0 | Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации | Не относится к ОС | |
| ПЛН.1 | Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации | Не относится к ОС | |
| ПЛН.2 | Контроль выполнения мероприятий по обеспечению защиты информации | Не относится к ОС | |
| ДНС.0 | Регламентация правил и процедур обеспечения действий в нештатных ситуациях | Не относится к ОС | |
| ДНС.1 | Разработка плана действий в нештатных ситуациях | Не относится к ОС | |
| ДНС.2 | Обучение и отработка действий персонала в нештатных ситуациях | Не относится к ОС | |
| ДНС.3 | Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций | Не относится к ОС | |
| ДНС.4 | Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций | Не относится к ОС | |
| ДНС.5 | Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций | + | ОС имеет средства резервного копирования и восстановления (tar, rsync, bacula и др.) |
| ДНС.6 | Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения | Не относится к ОС | |
| ИПО.0 | Регламентация правил и процедур информирования и обучения персонала | Не относится к ОС | |
| ИПО.1 | Информирование персонала об угрозах безопасности информации и о правилах безопасной работы | Не относится к ОС | |
| ИПО.2 | Обучение персонала правилам безопасной работы | Не относится к ОС | |
| ИПО.3 | Проведение практических занятий с персоналом по правилам безопасной работы | Не относится к ОС | |
| ИПО.4 | Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы | Не относится к ОС |
