ФСТЭК 239

Материал из Rosalab Wiki
Версия от 17:38, 22 ноября 2024; Mikhailnov (обсуждение | вклад)

Это снимок страницы. Он включает старые, но не удалённые версии шаблонов и изображений.
Перейти к: навигация, поиск

Возможности реализации мер защиты информации в соответствии с приказом ФСТЭК России №239 средствами операционной системы Роса Хром 12 (сертификат ФСТЭК)

Об утверждении требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ) Российской Федерации

Текст приказа ФСТЭК №239

Категория значимости 1

Меры обеспечения безопасности значимого объекта Поддержка Комментарий
УПД.0 Регламентация правил и процедур управления доступом +
УПД.1 Управление учетными записями пользователей +
УПД.2 Реализация модели управления доступом +
УПД.3 Доверенная загрузка Реализуется с помощью АПМДЗ (аппаратных модулей доверенной загрузки)
УПД.4 Разделение полномочий (ролей) пользователей +
УПД.5 Назначение минимально необходимых прав и привилегий +
УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему +
УПД.9 Ограничение числа параллельных сеансов доступа +
УПД.10 Блокирование сеанса доступа пользователя при неактивности +
УПД.11 Управление действиями пользователей до идентификации и аутентификации +
УПД.13 Реализация защищенного удаленного доступа + SSH
УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем + Фаервол (межсетевой экран)
ОПС.0 Регламентация правил и процедур ограничения программной среды +
ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения +
ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения +
ЗНИ.0 Регламентация правил и процедур защиты машинных носителей информации Не относится к ОС
ЗНИ.1 Учет машинных носителей информации +
ЗНИ.2 Управление физическим доступом к машинным носителям информации Не относится к ОС
ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации +
ЗНИ.6 Контроль ввода (вывода) информации на съемные машинные носители информации +
ЗНИ.7 Контроль подключения съемных машинных носителей информации +
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации + Утилита wipe
АУД.0 Регламентация правил и процедур аудита безопасности Не относится к ОС
АУД.1 Инвентаризация информационных ресурсов Не относится к ОС, однако ОС может показывать информацию об аппаратном обеспечении
АУД.2 Анализ уязвимостей и их устранение + Выявление и оперативное устранение уязвимостей производится разработчиком в соответствии с приказом ФСТЭК России №76 и ГОСТ Р 56939
АУД.3 Генерирование временных меток и (или) синхронизация системного времени +
АУД.4 Регистрация событий безопасности +
АУД.5 Контроль и анализ сетевого трафика +
АУД.6 Защита информации о событиях безопасности +
АУД.7 Мониторинг безопасности +
АУД.8 Реагирование на сбои при регистрации событий безопасности +
АУД.9 Анализ действий отдельных пользователей +
АУД.10 Проведение внутренних аудитов Не относится к ОС
АУД.11 Проведение внешних аудитов Не относится к ОС
АВЗ.0 Регламентация правил и процедур антивирусной защиты + k
АВЗ.1 Реализация антивирусной защиты ОС Роса Хром не реализует функциии антивирусной защиты, следует использовать внешние антивирусы
АВЗ.2 Антивирусная защита электронной почты и иных сервисов
АВЗ.3 Контроль использования архивных, исполняемых и зашифрованных файлов
АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
АВЗ.5 Использование средств антивирусной защиты различных производителей
СОВ.0 Регламентация правил и процедур предотвращения вторжений (компьютерных атак) Не относится к ОС
СОВ.1 Обнаружение и предотвращение компьютерных атак В сертифицированном репозитории ОС Роа Хром имеется пакет snort
СОВ.2 Обновление базы решающих правил В сертифицированном репозитории ОС Роа Хром имеется пакет snort-rules, а администратор может сам менять, добавлять, удалять правила
ОЦЛ.0 Регламентация правил и процедур обеспечения целостности Не относится к ОС
ОЦЛ.1 Контроль целостности программного обеспечения + AIDE
ОЦЛ.3 Ограничения по вводу информации в информационную (автоматизированную) систему +
ОЦЛ.4 Контроль данных, вводимых в информационную (автоматизированную) систему +
ОЦЛ.5 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях +
ОДТ.0 Регламентация правил и процедур обеспечения доступности Не относится к ОС
ОДТ.1 Использование отказоустойчивых технических средств Не относится к ОС
ОДТ.2 Резервирование средств и систем +
ОДТ.3 Контроль безотказного функционирования средств и систем +
ОДТ.4 Резервное копирование информации +
ОДТ.5 Обеспечение возможности восстановления информации +
ОДТ.6 Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях +
ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связи + В имеются функции органичения дискового пространства, кол-ва процессов, сеансов и др. пользователей
ЗТС.0 Регламентация правил и процедур защиты технических средств и систем Не относится к ОС
ЗТС.2 Организация контролируемой зоны Не относится к ОС
ЗТС.3 Управление физическим доступом Не относится к ОС
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр Не относится к ОС
ЗТС.5 Защита от внешних воздействий Не относится к ОС
ЗИС.0 Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов Не относится к ОС
ЗИС.1 Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями + Дискретная модель доступа в ОС позволяет разделять полномочия
ЗИС.2 Защита периметра информационной (автоматизированной) системы + Встроенные в ОС средства защиты могут являться одним из эшелонов защиты
ЗИС.3 Эшелонированная защита информационной (автоматизированной) системы + Встроенные в ОС средства защиты могут являться одним из эшелонов защиты
ЗИС.4 Сегментирование информационной (автоматизированной) системы Не относится к ОС
ЗИС.5 Организация демилитаризованной зоны
ЗИС.6 Управление сетевыми потоками +
ЗИС.7 Использование эмулятора среды функционирования программного обеспечения ("песочница") + Возможно использование chroot, systemd-nspawn, wine, средств виртуализации
ЗИС.8 Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы +
ЗИС.13 Защита неизменяемых данных +
ЗИС.16 Защита от спама + В сертифицированном репозитории ОС Роса Хром есть пакеты rspamd, spamassasin и почтовые серверы (postfix, exim, opensmtpd)
ЗИС.19 Защита информации при ее передаче по каналам связи +
ЗИС.20 Обеспечение доверенных канала, маршрута + Не относится к ОС, реализуется доверенным каналом связи
ЗИС.21 Запрет несанкционированной удаленной активации периферийных устройств +
ЗИС.27 Обеспечение подлинности сетевых соединений Не относится к ОС, реализуется доверенным каналом связи
ЗИС.32 Защита беспроводных соединений +
ЗИС.33 Исключение доступа через общие ресурсы + Реализуется с помощью фаервола и ПО
ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак) + Реализуется с помощью фаервола, настроек веб-сервера и пр.
ЗИС.35 Управление сетевыми соединениями +
ЗИС.38 Защита информации при использовании мобильных устройств +
ЗИС.39 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных -
ИНЦ.0 Регламентация правил и процедур реагирования на компьютерные инциденты Не относится к ОС
ИНЦ.1 Выявление компьютерных инцидентов + Реагирование на сбои при регистрац
ИНЦ.2 Информирование о компьютерных инцидентах +
ИНЦ.3 Анализ компьютерных инцидентов + Система аудита (логирования) позволяет расследовать компьютерные инциденты
ИНЦ.4 Устранение последствий компьютерных инцидентов Не относится к ОС
ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов Не относится к ОС
ИНЦ.6 Хранение и защита информации о компьютерных инцидентах + ОС позволяет хранить логи как локальной, так и удаленных машин
УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы +
УКФ.1 Идентификация объектов управления конфигурацией +
УКФ.2 Управление изменениями +
УКФ.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения +
ОПО.0 Регламентация правил и процедур управления обновлениями программного обеспечения Не относится к ОС
ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника +
ОПО.2 Контроль целостности обновлений программного обеспечения + Пакетный менеджер проверяет GPG-подпись пакетов и сверяет контрольные суммы
ОПО.3 Тестирование обновлений программного обеспечения +
ОПО.4 Установка обновлений программного обеспечения +
ПЛН.0 Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации Не относится к ОС
ПЛН.1 Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации Не относится к ОС
ПЛН.2 Контроль выполнения мероприятий по обеспечению защиты информации Не относится к ОС
ДНС.0 Регламентация правил и процедур обеспечения действий в нештатных ситуациях Не относится к ОС
ДНС.1 Разработка плана действий в нештатных ситуациях Не относится к ОС
ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях Не относится к ОС
ДНС.3 Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций Не относится к ОС
ДНС.4 Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций Не относится к ОС
ДНС.5 Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций + ОС имеет средства резервного копирования и восстановления (tar, rsync, bacula и др.)
ДНС.6 Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения Не относится к ОС
ИПО.0 Регламентация правил и процедур информирования и обучения персонала Не относится к ОС
ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы Не относится к ОС
ИПО.2 Обучение персонала правилам безопасной работы Не относится к ОС
ИПО.3 Проведение практических занятий с персоналом по правилам безопасной работы Не относится к ОС
ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы Не относится к ОС