Меры приказов ФСТЭК. «Аккорд-X»

Таблица 1 – Выполнение базового набора мер по защите информации 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения ПАК СЗИ от НСД «Аккорд-X»

Таблица 2 - Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения ПАК СЗИ от НСД «Аккорд‑Х»

Таблица 3 – Выполнение базового набора мер по защите информации 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ от НСД «Аккорд-X»

Таблица 4 – Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 31‑го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ от НСД «Аккорд‑Х»

 

Выполнение мер базового набора мер, определенных 17-ым и 21-ым приказами ФСТЭК России по защите информации в информационной системе, путем применения ПАК СЗИ от НСД «Аккорд-X»

В таблице № 1 представлено описание выполнения базового набора мер 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения СЗИ НСД «Аккорд-X».

Выражение «все» в ячейках столбца «Уровни защищенности ПДн» означает, что рассматриваемая мера должна быть реализована в информационной системе с любым уровнем защищенности персональных данных.

Выражение «все» в ячейках столбца «Классы защищенности ИС» означает, что рассматриваемая мера должна быть реализована в информационной системе с любым классом защищенности.

Выражением «нет» выделены ячейки столбца «Уровни защищенности ПДн», которые относятся к требованиям, содержащимся только в 17-ом приказе ФСТЭК, и, следовательно, не относящимся к уровням защищенности ПДн.

Таблица 1 – Выполнение базового набора мер по защите информации 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения ПАК СЗИ от НСД «Аккорд-X»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Уровни защищенности ПДн

Классы защищенности ИС

«Аккорд-X»

 

 

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

 

 

 

1

 

ИАФ.1

Идентификация и аутентификация пользователей, являющихся работниками оператора

+

все

+

все

Идентификация и аутентификация осуществляется по имени пользователя, паролю и аппаратному идентификатору.

Выполняется за счет средств комплекса «Аккорд-АМДЗ», а также СПО «Аккорд-Х», входящих в состав ПАК «Аккорд-Х».

2

ИАФ.2

Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплекс «Аккорд-Х» позволяет однозначно идентифицировать все имеющиеся в системе устройства, как по внутренним именам операционной системы, так и по логическим, и задает для них правила разграничения доступа.

Выполняется за счет средств комплекса «Аккорд-АМДЗ», а также СПО «Аккорд-Х», входящих в состав ПАК «Аккорд-Х».

3

ИАФ.3

Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов

+

все

+

все

Управление идентификаторами учетных записей производится в консоли управления Аккорд-Х. (Управление Аккорд-Х возможно через толстый клиент, посредством веб-доступа, посредством командной строки).

Возможные операции: создание, удаление, блокировка, редактирование свойств учетной записи; создание, присвоение, удаление аппаратных идентификаторов, присвоение уровня доступа.

Выполняется за счет средств комплекса «Аккорд-АМДЗ», а также СПО «Аккорд-Х», входящих в состав ПАК «Аккорд-Х».

4

ИАФ.4

Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации

+

все

+

все

Управление паролями и аппаратными идентификаторами учетных записей пользователей производится в консоли управления Аккорд-Х.

Возможные операции: создание пароля, генерация пароля программой, смена пароля, запись данных в идентификатор, установка времени действия пароля.

Выполняется за счет средств комплекса «Аккорд-АМДЗ», а также СПО «Аккорд-Х», входящих в состав ПАК «Аккорд-Х».

5

ИАФ.5

Защита обратной связи при вводе аутентификационной информации

+

все

+

все

При вводе пароля (при авторизации в АМДЗ, при входе в ОС), пароль отображается звездочками.

Выполняется за счет средств комплекса «Аккорд-АМДЗ», входящего в состав ПАК «Аккорд-Х».

6

ИАФ.6

Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)

+

все

+

все

Идентификация и аутентификация осуществляется по имени пользователя, паролю и аппаратному идентификатору.

Выполняется за счет средств комплекса «Аккорд-АМДЗ», а также СПО «Аккорд-Х», входящих в состав ПАК «Аккорд-Х».

 

 

Управление доступом субъектов доступа к объектам доступа (УПД)

 

 

 

7

УПД.1

Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей

+

все

+

все

Управление учетными записями производится в консоли управления Аккорд-Х.

Возможные операции с пользователями: создание, удаление, отключение (деактивация) учетной записи, редактирование свойств учетной записи; включение пользователей в группы.

Выполняется за счет средств комплекса «Аккорд-АМДЗ», а также СПО «Аккорд-Х», входящих в состав ПАК «Аккорд-Х».

8

УПД.2

Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

+

все

+

все

Доступ субъектов доступа к ресурсам разграничивается в рамках настройки дискреционного и мандатного доступа.

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

9

УПД.4

Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы

+

все

+

все

Пользователь, установивший систему защиты, обладает всеми полномочиями администрирования (управления) системы защиты и всеми правами по доступу к ресурсам.

Администратор СЗИ от НСД регистрирует в системе защиты других пользователей.

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

10

УПД.5

Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы

+

все

+

все

11

УПД.6

Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)

+

все

+

все

Параметр pam-retries (максимальное количество попыток выполнить login перед блокировкой).

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

12

УПД.9

Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы

не входит в базовый набор мер

+

начиная с 1 класса защищенности ИС

Ограничение многосессионности задается в файле конфигурации «Аккорд-Х».

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

13

УПД.10

Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу

+

начиная с 3 уровня защищенности ПДн

+

все

PAM-модули «Аккорд-Х» можно использовать для блокировки сессии пользователей при включении штатного хранителя экрана в ОС Linux. Для этого PAM-модуль нужно аналогичным образом прописать для приложений типа gnome-screensaver или аналогичных (в зависимости от установленного приложения-скринсейвера).

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

14

УПД.11

Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации

+

начиная с 3 уровня защищенности ПДн

+

все

До проведения идентификации и аутентификации пользователю запрещены любые действия кроме ввода идентификационной и аутентификационной информации, предъявления аппаратного идентификатора, смены пользователя.

Выполняется за счет средств комплекса «Аккорд-АМДЗ», а также СПО «Аккорд-Х», входящих в состав ПАК «Аккорд-Х».

15

УПД.15

Регламентация и контроль использования в информационной системе мобильных технических устройств

+

все

+

все

Администратор должен описать всевозможные подключаемые устройства, на которых хранится и переносится информация (идентифицируя их, желательно, по UUID), и задать для каждого из них свою точку монтирования (например, в каталоге /mnt/diskA, /mnt/diskB и т.п.). После чего для каждого пользователя можно задать права в рамках дискреционной политики доступа Аккорд-Х на доступ к этим точкам монтирования, а для точек монтирования можно задать мандатные метки с уровнем конфиденциальности или добавить некоторые объекты в списки контроля целостности – всё зависит от решаемых задач по контролю за внешними носителями информации.

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

16

УПД.17

Обеспечение доверенной загрузки средств вычислительной техники[1]

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

В состав СЗИ НСД «Аккорд Х» и «Аккорд ХL» включен модуль доверенной загрузки «Аккорд-АМДЗ».

Выполняется за счет средств комплекса «Аккорд‑АМДЗ», входящего в состав ПАК «Аккорд-Х».

 

 

Ограничение программной среды (ОПС)

 

 

 

17

ОПС.1

Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения

не входит в базовый набор мер

+

начиная с 1 класса защищенности ИС

В СЗИ НСД существует механизм настройки изолированной программной среды (ИПС).

Выполняется за счет средств СПО «Аккорд‑Х», входящего в состав ПАК «Аккорд-Х».

 

 

Защита машинных носителей персональных данных (ЗНИ)

 

 

 

18

ЗНИ.5

Контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных

не входит в базовый набор мер

+

начиная со 2 класса защищенности ИС

Администратор должен описать всевозможные подключаемые устройства (идентифицируя их, желательно, по UUID) и задать для каждого из них свою точку монтирования (например, в каталоге /mnt/diskA, /mnt/diskB и т.п.). После чего для каждого пользователя можно задать права в рамках дискреционной политики доступа Аккорд-Х на доступ к этим точкам монтирования, а для точек монтирования можно задать мандатные метки с уровнем конфиденциальности или добавить некоторые объекты в списки контроля целостности – всё зависит от решаемых задач по контролю за внешними носителями информации.

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

19

ЗНИ.8

Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания

+

начиная с 3 уровня защищенности ПДн

+

все

СЗИ НСД «Аккорд» включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.

Выполняется за счет средств СПО «Аккорд‑Х», входящего в состав ПАК «Аккорд-Х».

 

 

Регистрация событий безопасности (РСБ)

 

 

 

20

РСБ.1

Определение событий безопасности, подлежащих регистрации, и сроков их хранения

+

все

+

все

Как для каталогов, так и для отдельных файлов, в «Аккорд-X» присутствует возможность установки опции регистрации в регистрационном журнале доступа к каталогу и его содержимому.

Выполняется за счет средств СПО «Аккорд‑Х», входящего в состав ПАК «Аккорд-Х».

21

РСБ.2

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

+

все

+

все

Состав и содержание событий безопасности определяются для событий, которые связаны с функциональными возможностями комплекса (дискреционная и мандатная политика управления доступом, процедуры идентификации и аутентификации, контроль целостности). При регистрации событий фиксируется исчерпывающий набор параметров: дата и время, идентификатор субъекта, идентификатор объекта, тип выполняемой операции, результат операции и др.

Выполняется за счет средств СПО «Аккорд‑Х», входящего в состав ПАК «Аккорд-Х».

22

РСБ.3

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

+

все

+

все

Данные аудита хранятся в системной папке. Файлы журналов событий сохраняются в специальный файл и доступны к просмотру только администратору. Для удобства просмотра и анализа информации присутствует возможность фильтрации по одному или нескольким полям таблицы в acx-admin log.

Ограничение времени хранения журналов обеспечивается ПО ОС.

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

23

РСБ.5

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

+

Начиная со 2 уровня защищенности ПДн

+

все

Комплекс обеспечивает просмотр администратору зарегистрированных в журнале событий безопасности.

Выполняется за счет средств СПО «Аккорд‑Х», входящего в состав ПАК «Аккорд-Х».

24

РСБ.7

Защита информации о событиях безопасности

+

все

+

все

Защита информации о событиях безопасности (записях регистрации (аудита)) обеспечивается применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования, и в том числе включает защиту средств ведения регистрации (аудита) и настроек механизмов регистрации событий.

Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставляется только уполномоченным должностным лицам.

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

 

 

Контроль (анализ) защищенности персональных данных (АНЗ)

 

 

 

25

АНЗ.2

Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

+

все

+

все

Обеспечивается средствами ОС.

26

АНЗ.3

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

+

начиная со 2 уровня защищенности ПДн

+

все

Реализована функция самотестирования функционала СЗИ НСД.

Выполняется за счет средств комплекса «Аккорд‑АМДЗ», входящего в состав ПАК «Аккорд-Х».

27

АНЗ.4

Контроль состава технических средств, программного обеспечения и средств защиты информации

+

начиная с 3 уровня защищенности ПДн

+

все

Производится контроль целостности программных средств СЗИ НСД и отдельно назначенных объектов файловой системы.

Выполняется за счет средств комплекса «Аккорд‑АМДЗ», входящего в состав ПАК «Аккорд-Х».

28

АНЗ.5

Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе

+

начиная со 2 уровня защищенности ПДн

+

все

Настраивается в Параметрах Пользователей.

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

 

 

Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

 

 

 

29

ОЦЛ.1

Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплекс обеспечивает контроль целостности средств защиты информации по контрольным суммам всех компонентов средств защиты информации динамически в процессе работы системы. В частности, комплекс должен обеспечивать контроль целостности файлов программ и данных.

Выполняется за счет средств СПО «Аккорд‑Х», входящего в состав ПАК «Аккорд-Х».

30

ОЦЛ.3

Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций

не входит в базовый набор мер

+

все

Реализована функция сохранения резервной копии конфигурационных файлов СЗИ НСД «Аккорд-АМДЗ».

Аппаратная часть комплекса СЗИ НСД «Аккорд-АМДЗ» имеет в составе внутреннего ПО функции резервного копирования и восстановления базы данных пользователей и списка контролируемых объектов.

Выполняется за счет средств комплекса «Аккорд‑АМДЗ», входящего в состав ПАК «Аккорд-Х».

31

ОЦЛ.6

Ограничение прав пользователей по вводу информации в информационную систему

не входит в базовый набор мер

+

начиная 1 класса защищенности ИС

Реализуется дискреционным и мандатным доступом к файлам документов.

Выполняется за счет средств СПО «Аккорд‑Х», входящего в состав ПАК «Аккорд-Х».

 

 

Обеспечение доступности персональных данных (ОДТ)

 

 

 

32

ОДТ.4

Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплексом «Аккорд-АМДЗ» (по команде администратора) обеспечиваться периодическое резервное копирование информации (базы данных пользователей и списка контролируемых объектов) на резервные машинные носители информации.

Выполняется за счет средств комплекса «Аккорд‑АМДЗ», входящего в состав ПАК «Аккорд-Х».

33

ОДТ.5

Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Комплексом «Аккорд-АМДЗ» (по команде администратора) обеспечивается возможность восстановления информации (базы данных пользователей и списка контролируемых объектов) с резервных машинных носителей информации (резервных копий).

Выполняется за счет средств комплекса «Аккорд‑АМДЗ», входящего в состав ПАК «Аккорд-Х».

 

 

Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

 

 

 

34

ЗИС.15

Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных

+

начиная со 2 уровня защищенности ПДн

+

начиная со 2 класса защищенности ИС

Производится контроль целостности программных средств СЗИ НСД (по умолчанию) и всех компонентов. Возможен контроль целостности файлов других приложений, файлов с данными и пр.

Выполняется за счет средств СПО «Аккорд‑Х», а также комплекса «Аккорд-АМДЗ» входящих в состав ПАК «Аккорд-Х».

35

ЗИС.21

Исключение доступа пользователя к информации, возникшей в результате действий предыдущего пользователя через реестры, оперативную память, внешние запоминающие устройства и иные общие для пользователей ресурсы информационной системы

нет

+

начиная с 1 класса защищенности ИС

В комплексе реализован механизм очистки памяти.

Выполняется за счет средств СПО «Аккорд‑Х», входящего в состав ПАК «Аккорд-Х».

 

Выполнение дополнительных (не включенных в базовый набор) мер, определенных 17-ым и 21-ым приказами ФСТЭК России по защите информации в информационной системе, путем применения ПАК СЗИ НСД «Аккорд-Х»

В таблице № 2 представлено описание выполнения дополнительных (не включенных в базовый набор) мер 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения комплекса ПАК СЗИ НСД «Аккорд-Х».

Выражением «нет» выделены ячейки столбца «Уровни защищенности ПДн», которые относятся к требованиям, содержащимся только в 17-ом приказе ФСТЭК, и, следовательно, не относящимся к уровням защищенности ПДн.

Выражением «нет» выделены ячейки столбца «Классы защищенности ИС», которые относятся к требованиям, содержащимся только в 21-ом приказе ФСТЭК, и, следовательно, не относящимся к классам защищенности ИС.

Таблица 2 - Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 17-го и 21-го приказов ФСТЭК по защите информации в информационной системе путем применения ПАК СЗИ от НСД «Аккорд‑Х»

Усл. обозн.

Содержание мер по обеспечению безопасности персональных данных

Уровни защищенности ПДн

Классы защищенности ИС

«Аккорд-Х»

 

 

Идентификация и аутентификация субъектов и объектов доступа (ИАФ)

 

 

 

1

ИАФ.7

Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа

 

нет

Идентификация объектов осуществляется по полному абсолютному пути в файловой системе. Для объектов файловой системы возможно использование контроля целостности.

Идентификация и аутентификация объектов систем управления базами данных не поддерживается.

Выполняется за счет средств комплекса «Аккорд-АМДЗ», а также СПО «Аккорд-Х», входящих в состав ПАК «Аккорд-Х».

 

 

Управление доступом субъектов доступа к объектам доступа (УПД)

 

 

 

2

УПД.12

Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки

 

 

В процессе хранения и обработки информации сохраняются все необходимые атрибуты (метки) безопасности с помощью возможностей дискреционного и мандатного доступа.

Метки конфиденциальности при настройке мандатного доступа при перемещении файлов сохраняются за счет назначения метки на папку (каталог).

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

 

 

Защита машинных носителей персональных данных (ЗНИ)

 

 

 

3

ЗНИ.6

Контроль ввода (вывода) информации на машинные носители персональных данных

 

 

Администратор должен описать всевозможные подключаемые устройства (идентифицируя их, желательно, по UUID) и задать для каждого из них свою точку монтирования (например, в каталоге /mnt/diskA, /mnt/diskB и т.п.). После чего для каждого пользователя можно задать права в рамках дискреционной политики доступа Аккорд-Х на доступ к этим точкам монтирования, а для точек монтирования можно задать мандатные метки с уровнем конфиденциальности или добавить некоторые объекты в списки контроля целостности – всё зависит от решаемых задач по контролю за внешними носителями информации.

Выполняется за счет средств СПО «Аккорд-Х», входящего в состав ПАК «Аккорд-Х».

4

ЗНИ.7

Контроль подключения машинных носителей персональных данных

 

 

 

 

Регистрация событий безопасности (РСБ)

 

 

 

5

РСБ.8

Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

нет

 

С помощью утилиты acx-admin log и применением различных фильтров можно проанализировать работу каждого пользователя.

Выполняется за счет средств СПО «Аккорд‑Х», входящего в состав ПАК «Аккорд-Х».

 

 

Обеспечение целостности информационной системы и персональных данных (ОЦЛ)

 

 

 

6

ОЦЛ.5

Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы

 

 

С помощью СЗИ от НСД «Аккорд» возможно:

  • выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;
  • выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них. 

Выполняется за счет средств СПО «Аккорд‑Х», входящего в состав ПАК «Аккорд-Х».

 

 

Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

 

 

 

7

ЗИС.19

Изоляция процессов (выполнение программ) в выделенной области памяти

 

 

В комплексе реализован механизм изоляции модулей.

Выполняется за счет средств СПО «Аккорд‑Х», входящего в состав ПАК «Аккорд-Х».

 

Итак, путем применения ПАК СЗИ НСД «Аккорд-Х» в информационной системе выполняются следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности информационной системы:

ИАФ: 1, 2, 3, 4, 5, 6;

УПД: 1, 2, 4, 5, 6, 9, 10, 11, 15, 17;

ОПС: 1;

ЗНИ: 5, 8;

РСБ: 1, 2, 3, 5, 7;

АНЗ: 2, 3, 4, 5;

ОЦЛ: 1, 3, 6;

ОДТ: 4, 5;

ЗИС: 15, 21;

а также дополнительные (не включенные в базовый набор) меры:

ИАФ: 7;

УПД: 12;

ЗНИ: 6, 7;

РСБ: 8;

ОЦЛ: 5;

ЗИС: 19.

Выполнение мер базового набора мер, определенных 31-ым приказом ФСТЭК России по защите информации в автоматизированной системе управления, путем применения ПАК СЗИ от НСД «Аккорд-X»

В таблице № 3 представлено описание выполнения базового набора мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения СЗИ НСД «Аккорд-X».

Выражение «все» в ячейках столбца «Классы защищенности автоматизированной системы управления» означает, что рассматриваемая мера должна быть реализована в автоматизированной системе с любым классом защищенности.

Таблица 3 – Выполнение базового набора мер по защите информации 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ от НСД «Аккорд-X»

Усл. обозн. и номер меры

Меры защиты информации в автоматизированных системах безопасности

Классы защищенности автоматизированной системы управления

«Аккорд-X»

 

 

Идентификация и аутентификация (ИАФ)

 

 

1

ИАФ.0

Разработка политики идентификации и аутентификации

+

все

В комплексе разработана политика идентификации и аутентификации.

2

ИАФ.1

Идентификация и аутентификация пользователей и инициируемых ими процессов

+

все

Комплекс «Аккорд-Х» позволяет однозначно идентифицировать все имеющиеся в системе устройства, как по внутренним именам операционной системы, так и по логическим, и задает для них правила разграничения доступа.

3

ИАФ.2

Идентификация и аутентификация устройств

+

все

Управление идентификаторами учетных записей производится в консоли управления Аккорд-Х. (Управление Аккорд-Х возможно через толстый клиент, посредством веб-доступа, посредством командной строки)

Возможные операции: создание, удаление, блокировка, редактирование свойств учетной записи; создание, присвоение, удаление аппаратных идентификаторов, присвоение уровня доступа.

4

ИАФ.3

Управление идентификаторами

+

все

Управление паролями и аппаратными идентификаторами учетных записей пользователей производится в консоли управления Аккорд-Х.

Возможные операции: создание пароля, генерация пароля программой, смена пароля, запись данных в идентификатор, установка времени действия пароля.

5

ИАФ.4

Управление средствами аутентификации

+

все

Управление паролями и аппаратными идентификаторами учетных записей пользователей производится в консоли управления Аккорд-Х.

Возможные операции: создание пароля, генерация пароля программой, смена пароля, запись данных в идентификатор, установка времени действия пароля.

6

ИАФ.5

Идентификация и аутентификация внешних пользователей

+

все

Идентификация и аутентификация осуществляется по имени пользователя, паролю и аппаратному идентификатору.

7

ИАФ.7

Защита аутентификационной информации при передаче

+

все

При вводе пароля (при авторизации в АМДЗ, при входе в ОС), пароль отображается звездочками.

 

 

Управление доступом (УПД)

 

 

8

УПД.0

Разработка политики управления доступом

+

все

В комплексе разработана политика управления доступом.

9

УПД.1

Управление учетными записями пользователей

+

все

Управление учетными записями производится в консоли управления Аккорд-Х.

Возможные операции с пользователями: создание, удаление, отключение (деактивация) учетной записи, редактирование свойств учетной записи; включение пользователей в группы.

10

УПД.2

Реализация политик управления доступом

+

все

Доступ субъектов доступа к ресурсам разграничивается в рамках настройки дискреционного и мандатного доступа.

11

УПД.3

Доверенная загрузка

+

начиная со 2 класса защищенности автоматизированной системы управления

В состав СЗИ НСД «Аккорд Х» и «Аккорд ХL» включен модуль доверенной загрузки «Аккорд-АМДЗ».

12

УПД.4

Разделение полномочий (ролей) пользователей

+

все

Пользователь, установивший систему защиты, обладает всеми полномочиями администрирования (управления) системы защиты и всеми правами по доступу к ресурсам.

Администратор СЗИ от НСД регистрирует в системе защиты других пользователей.

13

УПД.5

Назначение минимально необходимых прав и привилегий

+

все

14

УПД.6

Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему

+

все

Параметр pam-retries (максимальное количество попыток выполнить login перед блокировкой).

15

УПД.9

Ограничение числа параллельных сеансов доступа

+

начиная с 1 класса защищенности автоматизированной системы управления

Ограничение многосессионности задается в файле конфигурации «Аккорд-Х».

16

УПД.10

Блокирование сеанса доступа пользователя при неактивности

+

все

PAM-модули «Аккорд-Х» можно использовать для блокировки сессии пользователей при включении штатного хранителя экрана в ОС Linux. Для этого PAM-модуль нужно аналогичным образом прописать для приложений типа gnome-screensaver или аналогичных (в зависимости от установленного приложения-скринсейвера).

17

УПД.11

Управление действиями пользователей до идентификации и аутентификации

+

все

До проведения идентификации и аутентификации пользователю запрещены любые действия кроме ввода идентификационной и аутентификационной информации, предъявления аппаратного идентификатора, смены пользователя.

 

 

Ограничение программной среды (ОПС)

 

 

18

ОПС.0

Разработка политики ограничения программной среды

+

начиная со 2 класса защищенности автоматизированной системы управления

В СЗИ НСД существует механизм настройки изолированной программной среды (ИПС).

19

ОПС.1

Управление запуском (обращениями) компонентов программного обеспечения

+

начиная с 1 класса защищенности автоматизированной системы управления

 

 

Защита машинных носителей информации (ЗНИ)

 

 

20

ЗНИ.0

Разработка политики защиты машинных носителей информации

+

все

Комплекс поддерживает политику защиты машинных носителей информации в части обеспечения контроля использования интерфейсов ввода (вывода) информации на машинные носители информации, контроля ввода (вывода) информации на машинные носители информации, контроля подключения машинных носителей информации, а также уничтожения (стирания) информации.

21

ЗНИ.5

Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации

+

все

Администратор должен описать всевозможные подключаемые устройства (идентифицируя их, желательно, по UUID) и задать для каждого из них свою точку монтирования (например, в каталоге /mnt/diskA, /mnt/diskB и т.п.). После чего для каждого пользователя можно задать права в рамках дискреционной политики доступа Аккорд-Х на доступ к этим точкам монтирования, а для точек монтирования можно задать мандатные метки с уровнем конфиденциальности или добавить некоторые объекты в списки контроля целостности – всё зависит от решаемых задач по контролю за внешними носителями информации.

22

ЗНИ.6

Контроль ввода (вывода) информации на машинные носители информации

+

начиная с 1 класса защищенности автоматизированной системы управления

Администратор должен описать всевозможные подключаемые устройства (идентифицируя их, желательно, по UUID) и задать для каждого из них свою точку монтирования (например, в каталоге /mnt/diskA, /mnt/diskB и т.п.). После чего для каждого пользователя можно задать права в рамках дискреционной политики доступа Аккорд-Х на доступ к этим точкам монтирования, а для точек монтирования можно задать мандатные метки с уровнем конфиденциальности или добавить некоторые объекты в списки контроля целостности – всё зависит от решаемых задач по контролю за внешними носителями информации.

23

ЗНИ.7

Контроль подключения машинных носителей информации

+

все

Администратор должен описать всевозможные подключаемые устройства (идентифицируя их, желательно, по UUID) и задать для каждого из них свою точку монтирования (например, в каталоге /mnt/diskA, /mnt/diskB и т.п.). После чего для каждого пользователя можно задать права в рамках дискреционной политики доступа Аккорд-Х на доступ к этим точкам монтирования, а для точек монтирования можно задать мандатные метки с уровнем конфиденциальности или добавить некоторые объекты в списки контроля целостности – всё зависит от решаемых задач по контролю за внешними носителями информации.

24

ЗНИ.8

Уничтожение (стирание) информации на машинных носителях информации

+

все

СЗИ НСД «Аккорд» включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.

 

 

Аудит безопасности (АУД)

 

 

25

АУД.0

Разработка политики аудита безопасности

+

все

Комплекс поддерживает политику аудита безопасности в части обеспечения регистрации событий безопасности, защиты информации о событиях безопасности и анализа действий пользователей.

26

АУД.4

Регистрация событий безопасности

+

все

Как для каталогов, так и для отдельных файлов, в «Аккорд-X» присутствует возможность установки опции регистрации в регистрационном журнале доступа к каталогу и его содержимому.

27

АУД.6

Защита информации о событиях безопасности

+

все

Защита информации о событиях безопасности (записях регистрации (аудита)) обеспечивается применением мер защиты информации от неправомерного доступа, уничтожения или модифицирования, и в том числе включает защиту средств ведения регистрации (аудита) и настроек механизмов регистрации событий.

Доступ к записям аудита и функциям управления механизмами регистрации (аудита) предоставляется только уполномоченным должностным лицам.

28

АУД.7

Мониторинг безопасности

+

все

Комплекс обеспечивает просмотр администратору зарегистрированных в журнале событий безопасности.

29

АУД.9

Анализ действий пользователей

+

начиная с 1 класса защищенности автоматизированной системы управления

С помощью утилиты acx-admin log и применением различных фильтров можно проанализировать работу каждого пользователя.

 

 

Обеспечение целостности (ОЦЛ)

 

 

30

ОЦЛ.0

Разработка политики обеспечения целостности

+

все

В комплексе реализована политика обеспечения целостности.

31

ОЦЛ.1

Контроль целостности программного обеспечения

+

все

Комплекс обеспечивает контроль целостности средств защиты информации по контрольным суммам всех компонентов средств защиты информации динамически в процессе работы системы. В частности, комплекс должен обеспечивать контроль целостности файлов программ и данных.

32

ОЦЛ.3

Ограничение по вводу информации в информационную (автоматизированную) систему

+

начиная с 1 класса защищенности автоматизированной системы управления

Реализуется дискреционным и мандатным доступом к файлам документов.

33

ОЦЛ.4

Контроль данных, вводимых в информационную (автоматизированную) систему

+

начиная со 2 класса защищенности автоматизированной системы управления

С помощью СЗИ от НСД «Аккорд» возможно:

· выявление фактов неправомерной записи защищаемой информации на неучтенные съемные машинные носители информации и реагирование на них;

· выявление фактов неправомерного вывода на печать документов, содержащих защищаемую информацию, и реагирование на них.

 

 

Обеспечение доступности (ОДТ)

 

 

34

ОДТ.0

Разработка политики обеспечения доступности

+

все

Комплекс поддерживает политики обеспечения доступности в части обеспечения резервного копирования конфигурации СЗИ от НСД и восстановления СЗИ от НСД из резервной копии.

35

ОДТ.4

Резервное копирование информации

+

все

Комплексом обеспечивается резервное копирование конфигурации СЗИ от НСД.

36

ОДТ.5

Обеспечение возможности восстановления информации

+

все

Комплексом обеспечивается возможность восстановления СЗИ от НСД из резервной копии.

 

 

Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

 

 

37

ЗИС.0

Разработка политики защиты информационной (автоматизированной) системы и ее компонентов

+

все

Комплекс обеспечивает защиту информационной (автоматизированной) системы и ее компонентов в части изоляции процессов в выделенной области памяти, защиты неизменяемых данных.

38

ЗИС.13

Защита неизменяемых данных

+

начиная со 2 класса защищенности автоматизированной системы управления

Производится контроль целостности программных средств СЗИ НСД (по умолчанию) и всех компонентов. Возможен контроль целостности файлов других приложений, файлов с данными и пр.

39

ЗИС.33

Исключение доступа через общие ресурсы

+

начиная с 1 класса защищенности автоматизированной системы управления

В комплексе реализован механизм очистки памяти.

 

Выполнение дополнительных (не включенных в базовый набор) мер, определенных 31-ым приказом ФСТЭК России по защите информации в автоматизированной системе управления, путем применения ПАК СЗИ НСД «Аккорд-Х»

В таблице № 4 представлено описание выполнения дополнительных (не включенных в базовый набор) мер 31-го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения комплекса ПАК СЗИ НСД «Аккорд-Х».

Таблица 4 - Выполнение дополнительных (не включенных в базовый набор) мер по защите информации 31‑го приказа ФСТЭК по защите информации в автоматизированной системе управления путем применения ПАК СЗИ от НСД «Аккорд‑Х»

Усл. обозн. и номер меры

Меры защиты информации в автоматизированных системах безопасности

Классы защищенности автоматизированной системы управления

«Аккорд-X»

 

 

Управление доступом (УПД)

 

 

1

УПД.12

Управление атрибутами безопасности

 

В процессе хранения и обработки информации сохраняются все необходимые атрибуты (метки) безопасности с помощью возможностей дискреционного и мандатного доступа.

Метки конфиденциальности при настройке мандатного доступа при перемещении файлов сохраняются за счет назначения метки на папку (каталог).

 

 

Защита информационной (автоматизированной) системы и ее компонентов (ЗИС)

 

 

2

ЗИС.12

Изоляция процессов (выполнение программ) в выделенной области памяти

 

В комплексе реализован механизм изоляции модулей.

Итак, путем применения ПАК СЗИ НСД «Аккорд-Х» в автоматизированной системе управления выполняются следующие меры, включенные в базовый набор мер защиты информации для соответствующего класса защищенности автоматизированной системы:

ИАФ: 1, 2, 3, 4, 5, 7;

УПД: 1, 2, 3, 4, 5, 6, 9, 10, 11;

ОПС: 1;

ЗНИ: 5, 6, 7, 8;

АУД: 4, 6, 7, 9;

ОЦЛ: 1, 3, 4;

ОДТ: 4, 5;

ЗИС: 13, 33;

а также дополнительные (не включенные в базовый набор) меры:

УПД: 12;

ЗИС: 12.

[1] Угроза доверенной загрузки может быть признана неактуальной в случае блокирования внешних интерфейсов системного блока компьютера, извлечения CD/DVD-приводов и пр. для исключения возможности произвести загрузку недоверенной ОС со сторонних носителей информации.

Дубликатом бесценного груза
Кнопка связи