Зачем нужна сертификация
Сертификацию, не связанную с криптографией, курирует ФСТЭК. Есть несколько аспектов получения сертификата, рассмотрим кратко каждый из них.
Нормативная база
С точки зрения законодательства сертификат соответствия свидетельствует, что данное СЗИ разрешается применять для защиты сведений, относимых к охраняемой информации. Соответственно, в информационных системах (ИС), в которых обрабатываются такие сведения, необходимо применение сертифицированных СЗИ. Являющиеся для этого основой нормативные акты перечислены в Таблице 1. Приведены приказы ФСТЭК, которые в свою очередь подзаконны соответствующим Федеральным Законам и Постановлениям Правительства, указанным в тексте документов.
Таблица 1
| Тип данных или информационного ресурса | Нормативный акт |
| Государственная тайна (ГТ) | Руководящие документы Гостехкомиссии России, закрытые документы |
| Персональные данные (ПДн) | Приказ ФСТЭК от 18 февраля 2013 г. №21 |
| Государственные и муниципальные информационные системы (ГИС, МИС) | Приказ ФСТЭК от 11 февраля 2013 г. №17 |
| Автоматизированные системы управления технологическими процессами (АСУ) | Приказ ФСТЭК от 14 марта 2014 г. №31 |
| Значимые объекты критической информационной инфраструктуры (КИИ) | Приказ от 25 декабря 2017 г. №239 |
| В отдельных случаях иная конфиденциальная информация | Руководящие документы Гостехкомиссии России, специальные нормативные акты |
Есть некоторые дополнительные информационные системы, не относящиеся к ГИС или МИС, но требующие применение сертифицированных СЗИ, например:
- ИС, связанные с предоставлением государственных и муниципальных услуг в электронном виде;
- ИС общего пользования (ИС ОП);
- ИС межведомственного электронного документооборота.
Требования к таким информационным системам, как правило, являются отсылкой к приказу №17, либо более слабыми по перечню.
Технические особенности
Технически процедура сертификации представляет собой комплекс мероприятий, подчас требующий значительных ресурсов от заявителя. Так, например, только по времени это занимает в среднем от шести месяцев до года. Мероприятия включают в себя:
- разработку документации, как организационно-распорядительной, так и конструкторской и эксплуатационной;
- проведение сертификационных испытаний, включающие в себя проверки как непосредственно функций безопасности продукта, так и уровня организации его производства и технической поддержки.
Перечень проверок функций безопасности СЗИ определяется отдельно в программе и методике испытаний и обычно содержит в себе следующие:
- анализ исходного кода на предмет выполнения заявленных функций
- анализ исходного кода на предмет отсутствия уязвимостей и недекларированных функций;
- проверка механизма формирования и обеспечения неизменности контрольных сумм
- проверка подсистемы регистрации событий и оповещения пользователей.
В ходе испытаний идут постоянные доработки программно-аппаратной части продукта, а финальная версия фиксируется специальной программой (разумеется, сертифицированной).
Требования нормативных документов к МЭ
Требования к МЭ устанавливает Приказ ФСТЭК от 09.02.2016 №9 (согласно информационному сообщению ФСТЭК от 28 апреля 2016 г. N 240/24/1986). Документ является закрытым, поскольку содержит информацию по защите ГТ. Из указанного информационного сообщения следует, что выделяются пять типов и шесть классов защищенности МЭ. В таблице 2 демонстрируется соотношение классов и типов защищаемой информации.
Таблица 2
|
Класс защищенности МЭ/ Тип и класс ИС |
6 | 5 | 4 | 3 | 2 | 1 | |
| ГТ | |||||||
| ГИС | 1 КЗ | ||||||
| 2 КЗ | |||||||
| 3 КЗ | |||||||
| 4 КЗ | |||||||
| ИСПДн | 1 УЗ | ||||||
| 2 УЗ | |||||||
| 3 УЗ | |||||||
| 4 УЗ | |||||||
| АСУ | К1 | ||||||
| К2 | |||||||
| К3 | |||||||
| Значимые объекты КИИ | 1 кат | ||||||
| 2 кат | |||||||
| 3 кат | |||||||
| ИС ОП* | II класс | ||||||
*В совместном приказе ФСБ и ФСТЭК от 31 августа 2010 г. №416/489 разрешается использование МЭ, имеющих сертификат одного из ведомств (ФСТЭК не указан как обязательное).
Если ИС относится к нескольким типам, то принимаются более строгие меры защиты.
Типы МЭ различаются исходя из точки размещения:
- тип А — границе физической сети ИС или сегментов ИС;
- тип Б — внутри физической сети на логической границе ИС либо сегментов ИС;
- тип В — внутри физической сети на хосте;
- тип Г — внутри физической сети на web-сервере;
- тип Д — в АСУ ТП.
Брандмауэры типа А могут иметь только программно-техническое исполнение, а типа В — только программное. Во всех остальных случаях можно выбирать исполнение по своему усмотрению.
Требования безопасности МЭ
Назначение профилей защиты
Конкретные требования к файрволам устанавливаются в соответствующих профилях защиты (ПЗ), разработанных регулятором. При этом имеются требования ко всем классам для типов А, Б и В, а для типов Г и Д — только к трем низшим классам. Таким образом, существует двадцать четыре ПЗ, из которых в открытом доступе находится пятнадцать. Идентификаторы профилей формируются исходя из типа и класса, например, ИТ.МЭ.А4.ПЗ соответствует 4 классу типа А. Остальные символы идентификатора неизменны и являются отсылкой к ГОСТ ИСО/МЭК 15408.
Профили не являются обязательным документом для пользователя и даже для компании, разрабатывающей систему защиты для себя или третьим лицам. Эти документы предназначены разработчикам, планирующим быть заявителями на осуществление сертификации продукции, а также остальным участникам этого процесса: органам по сертификации и испытательным лабораториям. Они впоследствии оценивают, руководствуясь указанными документами, соответствие функций безопасности МЭ предписанным требованиям.
Новые и старые документы
После публикации информационного сообщения №240/24/1986 к регулятору появилось много вопросов по поводу преемственности между нормативными документами. Дело в том, что до Приказа №9 требования к МЭ регламентировались руководящим документом Гостехмиссии России от 25 июля 1997 г. (РД МЭ). Они устанавливали пять классов, и почти за двадцать лет действия по ним был аттестован не один десяток МЭ.
Приказ №9 по сути — полноценная и логичная замена РД МЭ ввиду возраста этого документа и темпов развития сетевых атак. Тем не менее, появилось много вопросов по поводу устройств с действующими сертификатами. Регулятору даже пришлось выпускать отдельный документ с разъяснениями (Информационное сообщение ФСТЭК “По вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации” от 24 марта 2017 г. №240/24/1382). В нем разрешено производить и сертифицировать МЭ, имевшие ранее сертификаты по РД МЭ, но при условии современного анализа уязвимостей. Пользователям разрешено такие продукты использовать и даже проходить с ними процедуру аттестации систем. При этом разработка новых файрволов и первичная аттестация возможны только в соответствии с Приказом №9.
Новые нормативные документы добавили требования к МЭ. В Таблице 3 показано как сам регулятор видит нововведения и отличия:
Таблица 3
| Функция безопасности | РД МЭ | Приказ №9 |
| Контроль и фильтрация | Имеется | Усилено |
| Идентификация и аутентификация | С 3 класса | С 6 класса, усилено |
| Регистрация событий безопасности (аудит) | Имеется | Усилено |
| Оповещение о критичных видах событий безопасности | Отсутствует | Имеется |
| Сохранение и восстановление штатного режима функционирования при сбоях и ошибках | В части восстановления | Имеется |
| Тестирование МЭ | Имеется | Усилено |
| Проверка целостности программного обеспечения и конфигурации (параметров) МЭ | Имеется | Усилено |
| Преобразование сетевых адресов | Со 2 класса | С 4 класса, усилено |
| Маскирование наличия МЭ | Отсутствует | Имеется |
| Приоритизация информационных потоков | Отсутствует | Имеется |
| Администрирование | Имеется | Усилено |
| Взаимодействие с другими СЗИ | Отсутствует | Имеется |
Основные совпадения в требованиях по идентификации и аутентификации, а также контролю и фильтрации данных, в остальном же они заметно ужесточены.
В Таблице 4 показаны требования доверия, присутствующие во всех ПЗ, и которых раньше практически не было. Заметим, что пристальное внимание уделяется аспектам организации производства продукта, анализу и процедуре обновлений.
Таблица 4
| Требование доверия | РД МЭ | Приказ №9 |
| Полное независимое тестирование | Имеется | Имеется |
| Анализ уязвимостей | Отсутствует | |
| Полная функциональная спецификация | ||
| Полное отображение представления реализации функциональных возможностей безопасности | ||
| Базовый модульный проект | ||
| Поддержка генерации, процедуры приемки и автоматизация | ||
| Базовое устранение недостатков | ||
| Полностью определенные инструментальные средства разработки | ||
| Усиленный методический анализ (уязвимостей) | ||
| Процедуры обновления программного обеспечения | ||
| Анализ влияния обновлений на безопасность | ||
| Контроль отсутствия НДВ |
Межсетевые экраны, сертифицированные ФСТЭК
В реестре сертифицированных СЗИ на данный момент действуют сертификаты на 56 МЭ. Здесь учитываются сертификаты только на серийные модели, а некоторые из них соответствуют требованиям нескольких ПЗ, например, А и Б одного класса. Также в реестре ССЗИ остаются действующие сертификаты по РД МЭ в количестве 28 штук. На диаграмме ниже приведено распределение по классам для обоих нормативных документов.
Очевидно, что большинство продуктов сертифицировано по 4 классу, что позволяет использовать их в любых ИС, не содержащих ГТ. Аналогичная ситуация и с прежними требованиями. Отличие лишь в том, что для ИСПДн 1 уровня защищенности необходим МЭ 3 класса (по РД МЭ), поэтому таких продуктов тоже сертифицировали много.
Решения С-Терра и Cisco
С-Терра располагает в своем портфолио четырьмя межсетевыми экранами, сертифицированными ФСТЭК:
- изделие “Программный комплекс С-Терра Шлюз. Версия 4.1” — РД МЭ (3);
- изделие “С-Терра Клиент. Версия 4.1” — РД МЭ (3);
- ПАК “С-Терра Шлюз. Версия 4.2” — ИТ.МЭ.А4.ПЗ и ИТ.МЭ.Б4.ПЗ;
- ПК “С-Терра Клиент. Версия 4.2” — ИТ.МЭ.В4.ПЗ.
Cisco в реестре ССЗИ представлен следующими устройствами:
- Cisco ASA 55xx — РД МЭ(3);
- Cisco IE-3000-8TC — РД МЭ (4);
- Cisco ST2911P — РД МЭ (3);
- Cisco 2921 — РД МЭ (4);
- Cisco ASA -SM1 — ИТ.МЭ.А6.ПЗ и ИТ.МЭ.Б6.ПЗ;
- Cisco ASA 5500-X — ИТ.МЭ.А6.ПЗ и ИТ.МЭ.Б6.ПЗ.
Обращайтесь к системному интегратору ВИСТЛАН по вопросам разработки системы защиты информации на базе сертифицированных решений, удовлетворяющей требованиям регуляторов.
Применение сертифицированных МЭ предписывается законом и подзаконными актами, основные — приказы ФСТЭК 21/17/31/КИИ. Требования безопасности к файрволам введены приказом ФСТЭК №9 и сгруппированы в профилях защиты. По ним сертифицируются все разрабатываемые продукты и аттестуются новые информационные системы.