Требования (профили защиты) к системам обнаружения вторжений (СОВ) были утверждены Приказом ФСТЭК России №638 от 6 декабря 2011 года и вступили в действие с 15 марта 2012 года. Как и для других средств защиты информации, профили защиты открыто опубликованы только частично — доступны требования для четвёртого, пятого и шестого классов защиты.
См. также:
— Межсетевые экраны, сертифицированные по новым требованиям
— Антивирусы, сертифицированные по новым требованиям
— Средства доверенной загрузки, сертифицированные по новым требованиям
Всего было введено два типа систем обнаружения вторжений (СОВ):
- СОВ уровня сети: Датчики (сенсоры) собирают информацию о пакетах данных, передаваемых в пределах информационной системы(ИС) (сегмента ИС), в которой (котором) установлены эти датчики. Датчики СОВ уровня сети могут быть реализованы в виде программного обеспечения (ПО), устанавливаемого на стандартные программно-технические платформы, а также в виде программно-технических устройств, подключаемых к ИС (сегменту ИС);
- СОВ уровня узла: Датчики СОВ уровня узла представляют собой программные модули, устанавливаемые на защищаемые узлы информационной системы (ИС) и предназначенные для сбора информации о событиях, возникающих на этих узлах.
Помимо двух типов СОВ определены 6 классов защиты для них: чем выше класс (1 — самый высокий), тем больше к ним требований и тем в более высокого класса систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ) они могут применяться.
На момент публикации данного поста в реестре ФСТЭК присутствует 22 сертификата с упоминанием профилей защиты СОВ и 19 из них выданы на серию (3 — на ограниченную партию изделий).
Ниже приведены все доступные на сегодня сертифицированные серией по текущим требованиям ФСТЭК системы обнаружения вторжений, сгруппированные по типам.
Важно! Информация в приведённых таблицах актуальна на дату публикации. Текущие действующие сертификаты ФСТЭК можно посмотреть в соответствующем Реестре ФСТЭК. Также по возможности актуализируется информация в Каталоге средств защиты информации.
Содержание
Системы обнаружения вторжений уровня сети
Класс защиты | № сертификата — Система обнаружения вторжений уровня сети |
ИТ.СОВ.С1.ПЗ | отсутствуют |
ИТ.СОВ.С2.ПЗ | 2574 — Межсетевой экран и система обнаружения вторжений Рубикон 3530 — программно-аппаратный комплекс Dionis-NX с установленным программным обеспечением версий 1.2-6 Hand, 1.2-7 Hand и 1.2-8 Hand UTM 3856 — программный комплекс обнаружения вторжений Ребус-СОВ |
ИТ.СОВ.С3.ПЗ | 2845 — система обнаружения компьютерных атак Форпост, версия 2.0 3008 — Континент 3.7 |
ИТ.СОВ.С4.ПЗ | 3634 — шлюз безопасности Check Point Security Gateway версии R77.10 3720 — FortiGate 3804 — программно-аппаратный комплекс ViPNet IDS 2 (версия 2.4) 3868 — программное изделие Система обнаружения вторжений ИВК Сенсор (СОВ ИВК СЕНСОР) 3905 — изделие Универсальный шлюз безопасности UserGate UTM 3911 — программное средство системы обнаружения вторжений (СОВ) Кречет 3976 — программный комплекс Аркан |
ИТ.СОВ.С5.ПЗ | 3481 — программно-аппаратный комплекс HP TippingPoint серий N и NX с операционной системой TOS версия 3 и системой управления SMS версия 3 3904 — система обнаружения вторжений Cisco ASA FirePOWER версии 6.2, реализованная адаптивным устройством безопасности серии Cisco ASA 5500-X (модели: ASA 5506-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X SSP10FP10) |
ИТ.СОВ.С6.ПЗ | отсутствуют |
Системы обнаружения вторжений уровня узла
Класс защиты | № сертификата — Система обнаружения вторжений уровня узла |
ИТ.СОВ.У1.ПЗ | отсутствуют |
ИТ.СОВ.У2.ПЗ | 3856 — программный комплекс обнаружения вторжений Ребус-СОВ |
ИТ.СОВ.У3.ПЗ | отсутствуют |
ИТ.СОВ.У4.ПЗ | 2720 — Система защиты информации от несанкционированного доступа Dallas Lock 8.0-K 2945 — Система защиты информации от несанкционированного доступа Dallas Lock 8.0-С 3232 — HP TrippingPoint (скорее всего речь о TippingPoint) 3745 — cредство защиты информации Secret Net Studio 3802 — система обнаружения вторжений ViPNet IDS HS |
ИТ.СОВ.У5.ПЗ | отсутствуют |
ИТ.СОВ.У6.ПЗ | отсутствуют |
Сетевых СОВ представлено много (14 штук), есть как отчественные решения, так и зарубежные (правда, последние только 4 и 5 классов защиты). А вот СОВ уровня узла лишь 6 вариантов и все, кроме Ребус-СОВ (у него класс 2), имеют только 4 класс защиты.
Пожалуй, стоит обратить внимание ещё вот на какой момент (спасибо Алексею Лукацкому за идею) — версия продукта, на которую выдан сертификат.
В случае с отечественными решениями, которые почти все в ином, отличном от сертифицированного виде не существуют и не продаются, это не так важно, а вот для зарубежных продуктов — дело совсем другое.
Так, если верить, пресс-релизу Trend Micro от июня 2017 года, сертификат 3232 выдан на «программно-аппаратный комплекс Trend Micro TippingPoint серий N и NX с операционной системой TOS версия 3.9.0 и системой управления Security Management System версия 4.5.0», что, согласно документу TippingPoint End of Life (EOL) dates, означает, что данное сертифицированное решение хоть и не последней версии, но, по крайней мере, является поддерживаемым.
Нужно, правда, отметить, что в тексте пресс-релиза в отношении сертификата 3232 говорится о том, что он выдан на СОВ уровня сети, но в реестре ФСТЭК указано, что сертификат 3232 выдан для СОВ уровня узла (ИТ.СОВ.У4.ПЗ), да и вообще — на некий «HP TrippingPoint».
Сертификат уровня сети на TippingPoint в реестре ФСТЭК всё же есть — это сертификат 3481. Беда только в том, что (если верить реестру) сертификат 3481 выдан на «программно-аппаратный комплекс HP TippingPoint серий N и NX с операционной системой TOS версия 3 и системой управления SMS версия 3», т.е. на устаревшую и неподдерживаемую с марта 2016 систему управления.
Пресс-релиз и реестр ФСТЭК противоречат друг другу и можно было бы верить реестру, но в нём тоже есть ошибки: упомянутый TrippingPoint или тот же САВ3.ИТ с цифрой 3 вместо буквы З (писал про него в июле, пока так и не исправили). Оригиналы сертификатов ФСТЭК просит не публиковать, так что «The Truth Is Out There» (с)
У другого нероссийского вендора Check Point, к сожалению, сертифицирована версия (R77.10), официально снятая с поддержки год назад.
У ещё одного зарубежного производителя Fortinet сертифицирован «программно-аппаратный комплекс «FortiGate», функционирующий под управлением операционной системы FortiOS 5.4.1″. Данная версия будет снята с инженерной поддержки в декабре 2018 года, а окончательно — только в 2020 году (информация из раздела Службы поддержки: Fortinet Life Cycle Information, для доступа нужно иметь зарегистрированный аакаунт).
Наконец, у Cisco сертифицирована «система обнаружения вторжений Cisco ASA FirePOWER версии 6.2», являющаяся актуальной, что и понятно — сертификат был получен только в марте этого года.
Кстати, в отчёте NSS Labs 2017 Security Value Map (SVM) for Next Generation Intrusion Prevention Systems (NGIPS) от ноября прошлого года фигурируют такие модели и версии продуктов упомянутых производителей:
Итоговая таблица по версиям неотечественных продуктов выглядит так (для Trend Micro требуется уточнение номера сертифицированной версии):
ПРОИЗВОДИТЕЛЬ | СЕРТИФИЦИРОВАНО | СТАТУС | В ОТЧЁТЕ NSS LABS | ТЕКУЩАЯ ВЕРСИЯ |
---|---|---|---|---|
Check Point | R77.10 | Снята с поддержки | R77.30 | R80.10 |
Cisco | FirePOWER 6.2 | Актуальна | FirePOWER 6.2.0.1 | FirePOWER 6.2.3 |
Fortinet | 5.4.1 | Поддерживается | 5.4.5 | 6.0 |
Trend Micro | NX 3* | Поддерживается* | NX 3.9.2.4784 | NX 3.9.3 |
Trend Micro | SMS 3* | Снята с поддержки* | — | SMS 5.1.0 |
В качестве пожелания авторам и составителям реестра ФСТЭК отмечу, что было бы здорово в реестре видеть в явном виде сертифицированную версию продукта с детализацией хотя бы до одной цифры после точки для всех средств защиты информации.
Ну, и ошибок, которых, понятно, не избежать на 100%, хотелось бы поменьше.
Информационное сообщение ФСТЭК России | 92 КБ | 30128 | |
Информационное сообщение ФСТЭК России | 82 КБ | 4439 |
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ)
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К СРЕДСТВАМ АНТИВИРУСНОЙ ЗАЩИТЫ
от 30 июля 2012 г. N 240/24/3095
В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 20 марта 2012 г. N 28 (зарегистрирован Минюстом России 3 мая 2012 г., рег. N 24045) утверждены Требования к средствам антивирусной защиты (далее – Требования), которые вступают в действие с 1 августа 2012 г.
Требования к средствам антивирусной защиты применяются к программным средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом.
Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, организуемых ФСТЭК России в пределах своих полномочий.
Требования к средствам антивирусной защиты включают общие требования к средствам антивирусной защиты и требования к функциям безопасности средств антивирусной защиты.
Для дифференциации требований к функциям безопасности средств антивирусной защиты установлено шесть классов защиты средств антивирусной защиты. Самый низкий класс – шестой, самый высокий – первый.
Средства антивирусной защиты, соответствующие 6 классу защиты, применяются в информационных системах персональных данных 3 и 4 классов*.
Средства антивирусной защиты, соответствующие 5 классу защиты, применяются в информационных системах персональных данных 2 класса*.
Средства антивирусной защиты, соответствующие 4 классу защиты, применяются в государственных информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, в информационных системах персональных данных 1 класса*, а также в информационных системах общего пользования II класса**.
Средства антивирусной защиты, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Также выделяются следующие типы средств антивирусной защиты:
тип «А» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах);
тип «Б» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на серверах информационных систем;
тип «В» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автоматизированных рабочих местах информационных систем;
тип «Г» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автономных автоматизированных рабочих местах.
Средства антивирусной защиты типа «А» не применяются в информационных системах самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов «Б» и (или) «В».
Детализация требований к функциям безопасности, установленным Требованиями, а также взаимосвязи этих требований приведены для каждого класса и типа средств антивирусной защиты в профилях защиты, утвержденных 14 июня 2012 г. ФСТЭК России в качестве методических документов в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
Спецификация профилей защиты средств антивирусной защиты для каждого типа средства антивирусной защиты и класса защиты средства антивирусной защиты приведена в таблице.
Таким образом, с 1 августа 2012 г. сертификация средств защиты информации, реализующих функции антивирусной защиты, в системе сертификации ФСТЭК России проводится на соответствие Требованиям к средствам антивирусной защиты, утвержденным приказом ФСТЭК России от 20 марта 2012 г. N 28.
Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций Требованиями к средствам антивирусной защиты, утвержденными приказом ФСТЭК России от 20 марта 2012 г. N 28, а также методическими документами ФСТЭК России, содержащими профили защиты средств антивирусной защиты 1, 2 и 3 классов защиты, производится в соответствии с Временным порядком обеспечения органов государственной власти Российской Федерации, органов местного самоуправления и организаций документами ФСТЭК России (www.fstec.ru).
Методические документы ФСТЭК России, содержащие профили защиты средств антивирусной защиты 4, 5 и 6 классов защиты размещены на официальном сайте ФСТЭК России www.fstec.ru в разделе «Информационно-справочная система по документам в области технической защиты информации. Документы по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации».
Примечание: * Устанавливается в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 г., регистрационный N 11462).
** Устанавливается в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. N 416/489 (зарегистрирован Минюстом России 13 октября 2010 г., регистрационный N 18704).