Защита информации

В ОС Astra Linux Special Edition встроено множество механизмов безопасности, но некоторые из них по умолчанию выключены с целью повышения быстродействия, удобства администрирования или использования ОС. Однако, при обработке определенных типов информации к информационной системе могут предъявляться различные требования по обеспечению безопасности.

Эти требования могут быть заданы сторонними регуляторами либо собственной службой безопасности. ОС Astra Linux Special Edition позволяет удовлетворить их без использования сторонних (наложенных) СЗИ. Для этого необходимо выполнить настройку ОС и входящего в ее состав программного обеспечения.

Коллекция Ansible astra.hardening позволяет автоматизировать настройку механизмов безопасности Astra Linux Special Edition и входящего в ее состав программного обеспечения для выполнения необходимых требований. Все роли, входящие в состав коллекции, адаптированы под Astra Linux Special Edition.

CIS Benchmarks

Center for Internet Security (CIS) – некоммерческая организация, специализирующая на повышении общего уровня кибербезопасности как в частном, так и государственном секторах.

CIS разрабатывает:

• наборы стандартных технических контрольных мер (CIS Controls), которые обеспечивают конкретные и актуализированные рекомендации по безопасности ИТ-систем;

• детальные руководства по настройке безопасности (CIS Benchmarks) для обширного спектра информационных технологий и систем.

Указанные меры и руководства широко приняты в отрасли как стандарты безопасности.

Руководство CIS Debian Family Linux Benchmark описывает настройку параметров безопасности операционных систем, основанных на Debian Linux. Это руководство проверено и адаптировано для ОС Astra Linux Special Edition, основанной на Debian Linux.

Роль Ansible astra.hardening.cis используется для автоматизации настройки Astra Linux Special Edition согласно рекомендаций и инструкций, приведенных в CIS Debian Family Linux Benchmark.

Особенности роли astra.hardening.cis:

• Правило «1.4.1 Ensure AIDE is installed» заменено правилом «1.4.1 Ensure afick is installed».

  В состав Astra Linux Special Edition не входит AIDE (Advanced Intrusion Detection System). Вместо этого используется утилита afick (Another File Integrity Checker).

• Правило из раздела «1.7 Mandatory Access Control» переработано таким образом, чтобы вместо системы мандатного контроля доступа AppArmor использовался встроенный в ядро ОС механизм PARSEC.

• Правило «1.9 Ensure GDM is removed or login is configured» заменено правилом «1.9 Ensure Fly DM is removed or login is configured».

  В ОС Astra Linux Special Edition вместо окружения рабочего стола GNOME используется окружение рабочего стола Fly.

• Для выполнения правила «3.1.1 Disable IPv6» рекомендуется отключать протокол IPv6 путем изменения параметров ядра с помощью sysctl, а не через настройки загрузчика GRUB2.

  Подробности см. в статье справочного центра IPv6: включение и выключение.

• Изначально в CIS Debian Family Linux Benchmark раздел «3.4 TCP Wrappers» отсутствует, однако роль astra.hardening.cis реализует все необходимые правила:

  • «3.4.1 Ensure TCP Wrappers is installed»;

  • «3.4.2 Ensure /etc/hosts.allow is configured»;

  • «3.4.3 Ensure /etc/hosts.deny is configured»;

  • «3.4.4 Ensure permissions on /etc/hosts.allow are configured»;

  • «3.4.5 Ensure permissions on /etc/hosts.deny are configured».

• Правило «3.6.3.1.2 Ensure nftables is not installed» переработано в «3.6.3.1.2 Ensure nftables service is disabled».

  В Astra Linux Special Edition пакет nftables не удаляется, так как он является зависимостью пакета iptables.

• Правило «5.3.4 Ensure password hashing algorithm is SHA-512» заменено правилом «5.3.4 Ensure password hashing algorithm is GOST R 34.10-2012 (512)».

  Для хеширования паролей пользователей в файле /etc/shadow в ОС Astra Linux Special Edition вместо алгоритма SHA-512 используется 512-битный вариант алгоритма, описанного в ГОСТ Р 34.11-2012.

  Подробности см. в статье справочного центра Генерация хеша пароля по алгоритму ГОСТ Р 34.11-2012.

• Использование системы журналирования rsyslog в Astra Linux Special Edition x.7 и более новых версиях не рекомендуется. Поддержка пакета rsyslog в репозиториях Astra Linux Special Edition не осуществляется, а его установка нарушает работоспособность окружения рабочего стола Fly. Вместо rsyslog рекомендуется использовать систему журналирования syslog-ng.

  Подробности см. в статье справочного центра Журналы работы системных служб.

Названия переменных, управляющих применением правил CIS Debian Family Linux Benchmark, формируются по следующему шаблону:

cis_alse_rule_<number>

где <number> – номер правила, например, 6.2.1, 3.6.1.1 или 3.6.3.3.4.

Пример Ansible playbook, выполняющего настройку управляемых узлов с применением правил 6.2.1, 3.6.1.1 и 3.6.3.3.4:

- name: Configure security settings
  hosts: all
  vars:
    cis_alse_rule_6.2.1: true
    cis_alse_rule_3.6.1.1: true
    cis_alse_rule_3.6.3.3.4: true
  roles:
    - role: astra.hardening.cis

Полный список переменных роли astra.hardening.cis и их значения по умолчанию представлены в файле hardening/roles/cis/defaults.main.

Пример использования роли см. в документе Применение рекомендаций CIS.

DevSec Hardening Framework

DevSec Hardening Framework содержит рекомендации по проверке настроек параметров безопасности ОС и различного ПО с помощью платформы для аудита и автоматического тестирования безопасности и соответствия требованиям Chef InSpec, а также по автоматизированной настройке этих параметров с помощью популярных систем управления конфигурацией (Ansible, Chef, Puppet).

Роль Ansible astra.hardening.devsec реализует настройки безопасности, описанные в следующих разделах DevSec Hardening Framework:

• DevSec Linux Security Baseline v2.3.0;

• DevSec SSH Baseline v2.4.0.

Особенности реализации роли astra.hardening.devsec:

• Упомянуто правило «package-04». Это правило пропущено в DevSec Linux Security Baseline.

• Реализовано правило «sysctl-34». При выполнении этого правила устанавливаются безопасные значения для следующих параметров ядра:

  • protected_fifos;

  • protected_hardlinks;

  • protected_regular;

  • protected_symlinks.

Названия переменных, управляющих применением правил, формируются по следующему шаблону:

devsec_alse_<software>_rule_<name>

где:

• <software> – настраиваемое ПО:

  • linux – Astra Linux Special Edition;

  • ssh – OpenSSH.

• <name> – название правила в соответствующем руководстве, но с заменой символов дефиса - на символы подчеркивания _.

Пример Ansible playbook, выполняющего настройку управляемых узлов с применением правил «sysctl-02» и «sshd-01»:

---
- name: DevSec security settings
  hosts: all
  vars:
    devsec_alse_linux_rule_sysctl_02: true
    devsec_alse_ssh_rule_sshd_01: true
  roles:
    - role: astra.hardening.devsec

Пример использования роли см. в документе Применение рекомендаций DevSec.

Требования и методические рекомендации ФСТЭК России

ОС Astra Linux Special Edition сертифицирована Федеральной службой по техническому и экспортному контролю (ФСТЭК России) как СЗИ и реализует функции защиты информации, предусмотренные для 1 класса защиты следующими требованиями:

• Требования по безопасности информации к операционным системам (утв. приказом ФСТЭК России от 19.08.2016 г. № 119. ДСП);

• Требования по безопасности информации к средствам виртуализации (утв. приказом ФСТЭК России от 27.10.2022 г. № 187);

• Требования по безопасности информации к средствам контейнеризации (утв. приказом ФСТЭК России от 04.07.2022 г. № 118).

Кроме того, Astra Linux Special Edition реализует функции системы управления базами данных (СУБД), обеспечивающие выполнение ряда функций безопасности СУБД.

Функции защиты реализованы встроенным комплексом средств защиты информации Astra Linux Special Edition и могут применяться для реализации мер защиты информации ограниченного доступа в соответствии с требованиями следующих приказов ФСТЭК России:

• Приказ № 17 от 11 февраля 2013 г. «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

• Приказ № 21 от 18 февраля 2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

• Приказ № 31 от 14 марта 2014 г. «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;

• Приказ № 239 от 25 декабря 2017 г. «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации».

Важно

Требования вышеперечисленных приказов ФСТЭК России не регламентируют настройки средств защиты, а определяют базовый набор мер защиты, который для реализации на объектах информатизации адаптируется и уточняется в зависимости от структурно-функциональных характеристик и модели угроз.

С учетом того, что меры защиты представлены в требованиях приказов без конкретных параметров настроек, наши рекомендации по настройке операционной системы могут оказаться неподходящими для вашей информационной системы или недостаточными для предотвращения несанкционированного доступа. Решение о применении настроек остается за администратором безопасности вашей информационной системы.

В следующих нормативных документах приведены методические рекомендации ФСТЭК России по настройке систем безопасности информационных систем:

• Методический документ от 11 февраля 2014 г. «Меры защиты информации в государственных информационных системах».

• Методический документ от 25 декабря 2022 г. «Рекомендации по безопасной настройке операционных систем Linux».

В соответствии с требованиями ФСТЭК России в информационных системах, обрабатывающих информацию ограниченного доступа: в государственных информационных системах, информационных системах персональных данных, автоматизированных системах управления, в составе значимых объектов критической информационной инфраструктуры, – должны быть реализованы меры защиты информации, состав которых определяется исходя из класса (уровня, категории) защищенности (значимости) системы и актуальной модели угроз. Соответствие системы защиты информации информационной системы требованиям по безопасности подтверждается на этапе аттестационных испытаний.

Возможности Astra Linux Special Edition для реализации мер защиты информации, предусмотренных указанными выше приказами и описание используемых встроенных средств защиты приведены в статье справочного центра Возможности реализации мер защиты информации в соответствии с приказами ФСТЭК России средствами Astra Linux Special Edition.

Для настройки систем безопасности в соответствии с указанными требованиями и рекомендациями можно использовать роль astra.hardening.fstec.

Payment Card Industry Data Security Standard

Стандарт Payment Card Industry Data Security Standard (PCI DSS) содержит список требований, предъявляемых к информационным системам по обеспечению безопасности данных платежных карт.

Важно

Эта часть документации находится в стадии разработки.

Методические указания Банка России

Важно

Эта часть документации находится в стадии разработки.