ФСТЭК 239 — различия между версиями
Материал из Rosalab Wiki
Строка 238: | Строка 238: | ||
|- | |- | ||
|} | |} | ||
+ | |||
+ | [[Категория:ROSA Server]] |
Текущая версия на 20:18, 22 ноября 2024
Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России №239 средствами операционной системы Роса Хром 12 (сертификат ФСТЭК)
Об утверждении требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ) Российской Федерации
Категория значимости 1
№ | Меры обеспечения безопасности значимого объекта | Поддержка | Комментарий |
---|---|---|---|
УПД.0 | Регламентация правил и процедур управления доступом | + | |
УПД.1 | Управление учетными записями пользователей | + | |
УПД.2 | Реализация модели управления доступом | + | |
УПД.3 | Доверенная загрузка | Реализуется с помощью АПМДЗ (аппаратных модулей доверенной загрузки) | |
УПД.4 | Разделение полномочий (ролей) пользователей | + | |
УПД.5 | Назначение минимально необходимых прав и привилегий | + | |
УПД.6 | Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему | + | |
УПД.9 | Ограничение числа параллельных сеансов доступа | + | |
УПД.10 | Блокирование сеанса доступа пользователя при неактивности | + | |
УПД.11 | Управление действиями пользователей до идентификации и аутентификации | + | |
УПД.13 | Реализация защищенного удаленного доступа | + | SSH |
УПД.14 | Контроль доступа из внешних информационных (автоматизированных) систем | + | Фаервол (межсетевой экран) |
ОПС.0 | Регламентация правил и процедур ограничения программной среды | + | |
ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения | + | |
ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения | + | |
ЗНИ.0 | Регламентация правил и процедур защиты машинных носителей информации | Не относится к ОС | |
ЗНИ.1 | Учет машинных носителей информации | + | |
ЗНИ.2 | Управление физическим доступом к машинным носителям информации | Не относится к ОС | |
ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации | + | |
ЗНИ.6 | Контроль ввода (вывода) информации на съемные машинные носители информации | + | |
ЗНИ.7 | Контроль подключения съемных машинных носителей информации | + | |
ЗНИ.8 | Уничтожение (стирание) информации на машинных носителях информации | + | Утилита wipe |
АУД.0 | Регламентация правил и процедур аудита безопасности | Не относится к ОС | |
АУД.1 | Инвентаризация информационных ресурсов | Не относится к ОС, однако ОС может показывать информацию об аппаратном обеспечении | |
АУД.2 | Анализ уязвимостей и их устранение | + | Выявление и оперативное устранение уязвимостей производится разработчиком в соответствии с приказом ФСТЭК России №76 и ГОСТ Р 56939 |
АУД.3 | Генерирование временных меток и (или) синхронизация системного времени | + | |
АУД.4 | Регистрация событий безопасности | + | |
АУД.5 | Контроль и анализ сетевого трафика | + | |
АУД.6 | Защита информации о событиях безопасности | + | |
АУД.7 | Мониторинг безопасности | + | |
АУД.8 | Реагирование на сбои при регистрации событий безопасности | + | |
АУД.9 | Анализ действий отдельных пользователей | + | |
АУД.10 | Проведение внутренних аудитов | Не относится к ОС | |
АУД.11 | Проведение внешних аудитов | Не относится к ОС | |
АВЗ.0 | Регламентация правил и процедур антивирусной защиты | ОС Роса Хром не реализует функции антивирусной защиты, следует использовать внешние антивирусы | |
АВЗ.1 | Реализация антивирусной защиты | ||
АВЗ.2 | Антивирусная защита электронной почты и иных сервисов | ||
АВЗ.3 | Контроль использования архивных, исполняемых и зашифрованных файлов | ||
АВЗ.4 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | ||
АВЗ.5 | Использование средств антивирусной защиты различных производителей | ||
СОВ.0 | Регламентация правил и процедур предотвращения вторжений (компьютерных атак) | Не относится к ОС | |
СОВ.1 | Обнаружение и предотвращение компьютерных атак | В сертифицированном репозитории ОС Роса Хром имеется пакет snort | |
СОВ.2 | Обновление базы решающих правил | В сертифицированном репозитории ОС Роса Хром имеется пакет snort-rules, а администратор может сам менять, добавлять, удалять правила | |
ОЦЛ.0 | Регламентация правил и процедур обеспечения целостности | Не относится к ОС | |
ОЦЛ.1 | Контроль целостности программного обеспечения | + | AIDE |
ОЦЛ.3 | Ограничения по вводу информации в информационную (автоматизированную) систему | + | |
ОЦЛ.4 | Контроль данных, вводимых в информационную (автоматизированную) систему | + | |
ОЦЛ.5 | Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях | + | |
ОДТ.0 | Регламентация правил и процедур обеспечения доступности | Не относится к ОС | |
ОДТ.1 | Использование отказоустойчивых технических средств | Не относится к ОС | |
ОДТ.2 | Резервирование средств и систем | + | |
ОДТ.3 | Контроль безотказного функционирования средств и систем | + | |
ОДТ.4 | Резервное копирование информации | + | |
ОДТ.5 | Обеспечение возможности восстановления информации | + | |
ОДТ.6 | Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях | + | |
ОДТ.8 | Контроль предоставляемых вычислительных ресурсов и каналов связи | + | В имеются функции органичения дискового пространства, кол-ва процессов, сеансов и др. пользователей |
ЗТС.0 | Регламентация правил и процедур защиты технических средств и систем | Не относится к ОС | |
ЗТС.2 | Организация контролируемой зоны | Не относится к ОС | |
ЗТС.3 | Управление физическим доступом | Не относится к ОС | |
ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | Не относится к ОС | |
ЗТС.5 | Защита от внешних воздействий | Не относится к ОС | |
ЗИС.0 | Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов | Не относится к ОС | |
ЗИС.1 | Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями | + | Дискретная модель доступа в ОС позволяет разделять полномочия |
ЗИС.2 | Защита периметра информационной (автоматизированной) системы | + | Встроенные в ОС средства защиты могут являться одним из эшелонов защиты |
ЗИС.3 | Эшелонированная защита информационной (автоматизированной) системы | + | Встроенные в ОС средства защиты могут являться одним из эшелонов защиты |
ЗИС.4 | Сегментирование информационной (автоматизированной) системы | Не относится к ОС | |
ЗИС.5 | Организация демилитаризованной зоны | ||
ЗИС.6 | Управление сетевыми потоками | + | |
ЗИС.7 | Использование эмулятора среды функционирования программного обеспечения ("песочница") | + | Возможно использование chroot, systemd-nspawn, wine, средств виртуализации |
ЗИС.8 | Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы | + | |
ЗИС.13 | Защита неизменяемых данных | + | |
ЗИС.16 | Защита от спама | + | В сертифицированном репозитории ОС Роса Хром есть пакеты rspamd, spamassasin и почтовые серверы (postfix, exim, opensmtpd) |
ЗИС.19 | Защита информации при ее передаче по каналам связи | + | |
ЗИС.20 | Обеспечение доверенных канала, маршрута | + | Не относится к ОС, реализуется доверенным каналом связи |
ЗИС.21 | Запрет несанкционированной удаленной активации периферийных устройств | + | |
ЗИС.27 | Обеспечение подлинности сетевых соединений | Не относится к ОС, реализуется доверенным каналом связи | |
ЗИС.32 | Защита беспроводных соединений | + | |
ЗИС.33 | Исключение доступа через общие ресурсы | + | Реализуется с помощью фаервола и ПО |
ЗИС.34 | Защита от угроз отказа в обслуживании (DOS, DDOS-атак) | + | Реализуется с помощью фаервола, настроек веб-сервера и пр. |
ЗИС.35 | Управление сетевыми соединениями | + | |
ЗИС.38 | Защита информации при использовании мобильных устройств | + | |
ЗИС.39 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | - | |
ИНЦ.0 | Регламентация правил и процедур реагирования на компьютерные инциденты | Не относится к ОС | |
ИНЦ.1 | Выявление компьютерных инцидентов | + | Реагирование на сбои при регистрац |
ИНЦ.2 | Информирование о компьютерных инцидентах | + | |
ИНЦ.3 | Анализ компьютерных инцидентов | + | Система аудита (логирования) позволяет расследовать компьютерные инциденты |
ИНЦ.4 | Устранение последствий компьютерных инцидентов | Не относится к ОС | |
ИНЦ.5 | Принятие мер по предотвращению повторного возникновения компьютерных инцидентов | Не относится к ОС | |
ИНЦ.6 | Хранение и защита информации о компьютерных инцидентах | + | ОС позволяет хранить логи как локальной, так и удаленных машин |
УКФ.0 | Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы | + | |
УКФ.1 | Идентификация объектов управления конфигурацией | + | |
УКФ.2 | Управление изменениями | + | |
УКФ.3 | Установка (инсталляция) только разрешенного к использованию программного обеспечения | + | |
ОПО.0 | Регламентация правил и процедур управления обновлениями программного обеспечения | Не относится к ОС | |
ОПО.1 | Поиск, получение обновлений программного обеспечения от доверенного источника | + | |
ОПО.2 | Контроль целостности обновлений программного обеспечения | + | Пакетный менеджер проверяет GPG-подпись пакетов и сверяет контрольные суммы |
ОПО.3 | Тестирование обновлений программного обеспечения | + | |
ОПО.4 | Установка обновлений программного обеспечения | + | |
ПЛН.0 | Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации | Не относится к ОС | |
ПЛН.1 | Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации | Не относится к ОС | |
ПЛН.2 | Контроль выполнения мероприятий по обеспечению защиты информации | Не относится к ОС | |
ДНС.0 | Регламентация правил и процедур обеспечения действий в нештатных ситуациях | Не относится к ОС | |
ДНС.1 | Разработка плана действий в нештатных ситуациях | Не относится к ОС | |
ДНС.2 | Обучение и отработка действий персонала в нештатных ситуациях | Не относится к ОС | |
ДНС.3 | Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций | Не относится к ОС | |
ДНС.4 | Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций | Не относится к ОС | |
ДНС.5 | Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций | + | ОС имеет средства резервного копирования и восстановления (tar, rsync, bacula и др.) |
ДНС.6 | Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения | Не относится к ОС | |
ИПО.0 | Регламентация правил и процедур информирования и обучения персонала | Не относится к ОС | |
ИПО.1 | Информирование персонала об угрозах безопасности информации и о правилах безопасной работы | Не относится к ОС | |
ИПО.2 | Обучение персонала правилам безопасной работы | Не относится к ОС | |
ИПО.3 | Проведение практических занятий с персоналом по правилам безопасной работы | Не относится к ОС | |
ИПО.4 | Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы | Не относится к ОС |