Межсетевые экраны ФСТЭК России
Сертификация межсетевых экранов
Всё больше решений для защиты сетей получают сертификаты ФСТЭК России. Зачем нужны сертифицированные средства защиты информации и какую гарантию они дают пользователям? Давайте разберёмся!
Сертификация — регламентированный процесс оценки соответствия продукции или услуг требованиям, установленным нормативными документами. Сертификация может проводиться как на добровольной, так и на обязательной основе. Документальным подтверждением соответствия продукции заявленным требованиям, его качества и безопасности для потребителя является сертификат соответствия.
Сертификация — регламентированный процесс оценки соответствия продукции или услуг требованиям, установленным нормативными документами. Сертификация может проводиться как на добровольной, так и на обязательной основе. Документальным подтверждением соответствия продукции заявленным требованиям, его качества и безопасности для потребителя является сертификат соответствия.
Нормативные требования к проведению сертификации средств защиты информации (СЗИ) на территории Российской Федерации закреплены Федеральным законом «О техническом регулировании» № 184-ФЗ и Постановлением Правительства РФ № 608 "О сертификации средств защиты информации". Стоит отметить, что в случае сертификации СЗИ возможна только обязательная сертификация, гарантирующая безопасность обрабатываемой информации. При этом сертификат соответствия также является обязательным документом и неотъемлемой частью изделия. Также наличие сертификата гарантирует потребителю, что СЗИ будет сопровождаться заявителем, а это, как правило, сам производитель СЗИ, и обнаруженные в изделии уязвимости будут оперативно закрыты.
В настоящий момент в качестве органа по сертификации, курирующего сертификацию СЗИ, выступают: Федеральная служба по техническому и экспортному контролю (ФСТЭК России) Российской Федерации, Министерство обороны Российской Федерации (МО РФ), Федеральная служба безопасности Российской Федерации (ФСБ России) и Служба внешней разведки Российской Федерации. Сами сертификационные испытания проводят аккредитованные испытательные лаборатории по программам и методикам испытаний, утвержденных регулятором.
Как правило, сертификаты соответствия по требованиям безопасности на межсетевые экраны выдает ФСТЭК России, но такая процедура также предусмотрена в системах сертификации ФСБ РФ и МО РФ. Защита межсетевых экранов зафиксирована в требованиях технических регламентов. Сертификаты соответствия ФСТЭК России на межсетевые экраны выдаются сроком до пяти лет. При продлении сертификата проводится проверка изделий по сокращенной форме.
Межсетевые экраны, сертифицированные ФСТЭК России, могут применяться для защиты информации, в том числе гостайны, некриптографическими методами, т.е. без использования криптографических вычислений, в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), АСУ ТП и на объектах критической информационной инфраструктуры (КИИ). В случае, если межсетевой экран выступает в качестве средства криптографической защиты информации (СКЗИ) и применяет отечественное ГОСТ шифрование, сертификация проводится по системе сертификации ФСБ России.
Требования ФСТЭК России к межсетевым экранам
Актуальные требования ФСТЭК России безопасности информации к сертифицированным межсетевым экранам, утвержденные приказом ФСТЭК России от 9 февраля 2016 г. № 9, пришли на смену устаревшим требованиям «Руководящего документа. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (РД МЭ).
Новые требования имеют существенный ряд отличий. Во-первых, появились новые функции безопасности: оповещение о критических событиях безопасности, приоритезация информационных потоков, взаимодействие с другими СЗИ и маркирование наличия межсетевого экрана. Во-вторых, многие функции были усилены (контроль и фильтрация, идентификация и аутентификация, регистрация событий, тестирование и контроль целостности межсетевого экрана, администрирование.
Дополнительно приказом ФСТЭК России от 2 июня 2020 г. № 76 введены требования уровней доверия (УД) к техническим средствам защиты информации, под которые попадают межсетевые экраны. Для дифференциации требований применяется 6 УД. На каждый уровень доверия определен свой уровень контроля и исследований по выявлению уязвимостей и недекларированных возможностей.
Новые требования имеют существенный ряд отличий. Во-первых, появились новые функции безопасности: оповещение о критических событиях безопасности, приоритезация информационных потоков, взаимодействие с другими СЗИ и маркирование наличия межсетевого экрана. Во-вторых, многие функции были усилены (контроль и фильтрация, идентификация и аутентификация, регистрация событий, тестирование и контроль целостности межсетевого экрана, администрирование.
Дополнительно приказом ФСТЭК России от 2 июня 2020 г. № 76 введены требования уровней доверия (УД) к техническим средствам защиты информации, под которые попадают межсетевые экраны. Для дифференциации требований применяется 6 УД. На каждый уровень доверия определен свой уровень контроля и исследований по выявлению уязвимостей и недекларированных возможностей.
Типы межсетевых экранов в терминологии ФСТЭК России
Для межсетевых экранов по способу их интеграции ФСТЭК определил 5 типов:
- тип «А» (межсетевой экран уровня сети) — межсетевой экран программно-аппаратного исполнения, устанавливаемый на периметре защищаемой информационной системы или между физическими границами её сегментов;
- тип «Б» (межсетевой экран уровня логических границ сети) — межсетевой экран программного или программно-аппаратного исполнения, устанавливаемый на логическом периметре защищаемой информационной системы или между логическими границами её сегментов;
- тип «В» (межсетевой экран уровня узла) — программный межсетевой экран, устанавливаемый хосте (мобильном или стационарном) информационной системы;
- тип «Г» (межсетевой экран уровня веб-сервера) — межсетевой экран программного или программно-аппаратного исполнения, устанавливаемый на веб-сервер или на периметре сегмента таких серверов и обеспечивающий контроль и фильтрацию HTTP-трафика;
- тип «Д» (межсетевой экран уровня промышленной сети) – межсетевой экран программного или программно-аппаратного исполнения, устанавливаемый в АСУ ТП и обеспечивающий контроль и фильтрацию промышленных протоколов передачи данных.
Таблица 1. Классификация сертифицированных в системе сертификации ФСТЭК России межсетевых экранов
На каждый тип межсетевого экрана и каждый класс защиты ФСТЭК разработал методические документы «Профили защиты», учитывающий положения ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» и подробно детализирующий требования безопасности к межсетевым экранам, разработанным ФСТЭК России. Начиная с третьего класса межсетевых экранов, профили защиты имеют гриф секретности.
Выбор межсетевого экрана. Обзор основных причин приобретения
В 2022 году многие сертификаты ФСТЭК России на межсетевые экраны были отозваны регулятором. Это связано с невозможностью заявителей, объявивших об уходе с российского рынка, выполнять обязательства по технической поддержке своих продуктов а территории Российской Федерации. Данное требование зафиксировано законодательно и обязует заявителя осуществлять устранение выявленных недостатков и уязвимостей средств защиты информации, своевременно информировать пользователей о них, выпускать обновления и патчи ПО, актуализировать эксплуатационную документацию. В связи с этим важно выбирать изделия отечественных производителей.
Основной причиной внедрения сертифицированных межсетевых экранов является необходимость осуществлять контроль и фильтрацию сетевых потоков в целях защиты конфиденциальной информации (государственная тайна, коммерческая тайна или иная информация ограниченного доступа).
Дополнительно можно выделить следующие причины:
Список, содержащий сертифицированные межсетевые экраны по требованиям ФСТЭК России и их производителей, приведет в открытом реестре СЗИ на официальном сайте ФСТЭК России. Среди таких сертифицированных межсетевых экранов присутствует программно-аппаратный межсетевой экран нового поколения (Next-Generation Firewall, NGFW) Ideco UTM ФСТЭК (сертификат соответствия ФСТЭК России № 4503 от 28 декабря 2021 г.), соответствующий следующим требованиям:
Специалисты компании «Айдеко» подготовили оптимальные сценарии фильтрации, позволяющие эффективно использовать Ideco UTM ФСТЭК для защиты сети прямо «из коробки», а техническая поддержка включает помощь пользователей в настройке и эксплуатации межсетевого экрана.
Основной причиной внедрения сертифицированных межсетевых экранов является необходимость осуществлять контроль и фильтрацию сетевых потоков в целях защиты конфиденциальной информации (государственная тайна, коммерческая тайна или иная информация ограниченного доступа).
Дополнительно можно выделить следующие причины:
- защита информационной сети или ее сегментов от несанкционированного доступа;
- соответствие требованиям регуляторов к обеспечению безопасности информационной системы;
- страх перед репутационными рисками в случае возникновения инцидентов безопасности.
Список, содержащий сертифицированные межсетевые экраны по требованиям ФСТЭК России и их производителей, приведет в открытом реестре СЗИ на официальном сайте ФСТЭК России. Среди таких сертифицированных межсетевых экранов присутствует программно-аппаратный межсетевой экран нового поколения (Next-Generation Firewall, NGFW) Ideco UTM ФСТЭК (сертификат соответствия ФСТЭК России № 4503 от 28 декабря 2021 г.), соответствующий следующим требованиям:
- 4 уровень доверия;
- профили защиты межсетевых экранов типа А четвертого класса защиты (ИТ.МЭ.А4.ПЗ) и типа Б четвертого класса защиты (ИТ.МЭ.Б4.ПЗ);
- профиль защиты средств обнаружения вторжения уровня сети четвертого класса (ИТ.СОВ.С4.ПЗ).
- непосредственно самим межсетевым экранированием, защищающим информационную систему от внешних атак на основе правил фильтраций для сети и подсетей, динамических IP-адресов, пользователей и устройств;
- системой обнаружения и предотвращения вторжений, выявляющей и блокирующей DoS-атаки, ботнет-сети, шпионское ПО, анонимайзеры и анонимное сетевое соединение посредством TOR, эксплоиты и вирусы;
- контролем приложений за счет L7-фильтрации;
- контентной фильтрацией;
- контролем доступа;
- защита от перебора паролей;
- интеграция с SIEM-системами по протоколу Syslog;
- журналированием и генерацией отчетов.
Специалисты компании «Айдеко» подготовили оптимальные сценарии фильтрации, позволяющие эффективно использовать Ideco UTM ФСТЭК для защиты сети прямо «из коробки», а техническая поддержка включает помощь пользователей в настройке и эксплуатации межсетевого экрана.
Как протестировать и где получить консультацию
Если у вас возникли вопросы по функциональности Ideco UTM или вы хотите протестировать наш межсетевой экран, оставьте заявку ниже для получения консультации или доступа к демо-версии.
Форма обратной связи
Ваши ответы на вопросы в форме помогут нам правильно подготовиться и сэкономить ваше время.
Пожалуйста, заполняйте данные корректно.
Пожалуйста, заполняйте данные корректно.
Нажимая кнопку «Отправить» вы соглашаетесь с Политикой конфиденциальности