Межсетевые экраны, сертифицированные по требованиям ФСТЭК
Также материал можно прочесть в блоге Алексея Комарова Zlonov.ru.
Действующие сейчас требования к межсетевым экранам (МЭ) были утверждены ФСТЭК 12 сентября 2016 года. Тогда же официально появились методические документы, содержащие профили защиты межсетевых экранов для 5 типов и 6 классов межсетевых экранов.
ФСТЭК выделила следующие типы межсетевых экранов:
- МЭ типа «А» — МЭ, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы;
- МЭ типа «Б» — МЭ, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы;
- МЭ типа «В» — МЭ, применяемый на узле (хосте) информационной системы;
- МЭ типа «Г» — МЭ, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). МЭ типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, идущих к веб-серверу и от веб-сервера;
- МЭ уровня промышленной сети (тип «Д») — МЭ, применяемый в автоматизированной системе управления технологическими или производственными процессами. МЭ типа «Д» может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).
C классами защиты еще проще: чем выше класс (1 — самый высокий), тем больше требований к МЭ и тем выше класс систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ), в которых МЭ могут применяться.
Для удобства были введены идентификаторы профилей защиты в формате «ИТ.МЭ.(тип)(класс).ПЗ». Профили сведены в таблицу ниже.
Класс защиты / |
6 |
5 |
4 |
3 |
2 |
1 |
Межсетевой экран типа «А» | ИТ.МЭ.А6.ПЗ | ИТ.МЭ.А5.ПЗ | ИТ.МЭ.А4.ПЗ | ИТ.МЭ.А3.ПЗ | ИТ.МЭ.А2.ПЗ | ИТ.МЭ.А1.ПЗ |
Межсетевой экран типа «Б» | ИТ.МЭ.Б6.ПЗ | ИТ.МЭ.Б5.ПЗ | ИТ.МЭ.Б4.ПЗ | ИТ.МЭ.Б3.ПЗ | ИТ.МЭ.Б2.ПЗ | ИТ.МЭ.Б1.ПЗ |
Межсетевой экран типа «В» | ИТ.МЭ.В6.ПЗ | ИТ.МЭ.В5.ПЗ | ИТ.МЭ.В4.ПЗ | ИТ.МЭ.В3.ПЗ | ИТ.МЭ.В2.ПЗ | ИТ.МЭ.В1.ПЗ |
Межсетевой экран типа «Г» | ИТ.МЭ.Г6.ПЗ | ИТ.МЭ.Г5.ПЗ | ИТ.МЭ.Г4.ПЗ |
— |
— |
— |
Межсетевой экран типа «Д» | ИТ.МЭ.Д6.ПЗ | ИТ.МЭ.Д5.ПЗ | ИТ.МЭ.Д4.ПЗ |
— |
— |
— |
С момента утверждения новых требований прошло более 1,5 лет, но на момент публикации в реестре ФСТЭК присутствует только 43 сертификатов с упоминанием профилей защиты ИТ.МЭ — и только 22 из них выданы на серии, а не на ограниченную партию изделий. Ниже приведены все доступные на сегодня сертифицированные серией по новым требованиям межсетевые экраны, сгруппированные по типам.
Межсетевые экраны типа «А»
Класс защиты |
№ сертификата — межсетевые экраны |
ИТ.МЭ.А1.ПЗ | Пока нет |
ИТ.МЭ.А2.ПЗ |
|
ИТ.МЭ.А3.ПЗ |
|
ИТ.МЭ.А4.ПЗ |
|
ИТ.МЭ.А5.ПЗ |
|
ИТ.МЭ.А6.ПЗ |
|
Межсетевые экраны типа «Б»
Класс защиты |
№ сертификата — межсетевые экраны |
ИТ.МЭ.Б1.ПЗ | Пока нет |
ИТ.МЭ.Б2.ПЗ | Пока нет |
ИТ.МЭ.Б3.ПЗ | Пока нет |
ИТ.МЭ.Б4.ПЗ |
|
ИТ.МЭ.Б5.ПЗ |
|
ИТ.МЭ.Б6.ПЗ |
|
Межсетевые экраны типа «В»
Класс защиты |
№ сертификата — межсетевые экраны |
ИТ.МЭ.В1.ПЗ | Пока нет |
ИТ.МЭ.В2.ПЗ |
|
ИТ.МЭ.В3.ПЗ | Пока нет |
ИТ.МЭ.В4.ПЗ |
|
ИТ.МЭ.В5.ПЗ | Пока нет |
ИТ.МЭ.В6.ПЗ | Пока нет |
Межсетевые экраны типа «Г»
Класс защиты |
№ сертификата — межсетевые экраны |
ИТ.МЭ.Г1.ПЗ | Не предусмотрен |
ИТ.МЭ.Г2.ПЗ | Не предусмотрен |
ИТ.МЭ.Г3.ПЗ | Не предусмотрен |
ИТ.МЭ.Г4.ПЗ |
|
ИТ.МЭ.Г5.ПЗ | Пока нет |
ИТ.МЭ.Г6.ПЗ | Пока нет |
Межсетевые экраны типа «Д»
Класс защиты |
№ сертификата — межсетевые экраны |
ИТ.МЭ.Д1.ПЗ | Не предусмотрен |
ИТ.МЭ.Д2.ПЗ | Не предусмотрен |
ИТ.МЭ.Д3.ПЗ | Не предусмотрен |
ИТ.МЭ.Д4.ПЗ | Пока нет |
ИТ.МЭ.Д5.ПЗ | Пока нет |
ИТ.МЭ.Д6.ПЗ | Пока нет |
Для полноты картины стоит отметить, что, судя по уже выданным сертификатам, сертифицированы как МЭ типа А 6-го класса защиты (ИТ.МЭ.А6.ПЗ) ограниченные партии следующих устройств Cisco:
- коммутатор Cisco 6504 VS-S720-10G с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10;
- коммутатор Cisco Catalyst WS-C3560V2-24TS с установленным программным обеспечением Cisco IOS версии 12.2(55)SE12;
- коммутатор Cisco Catalyst WS-C3560X-24T с установленным программным обеспечением Cisco IOS версии 15.0(2)SE11;
- коммутатор Cisco Catalyst WS-C3650-24TD-E с установленным программным обеспечением Cisco IOS-XE версии 03.06.07.E;
- коммутатор Cisco Nexus 5596 с установленным программным обеспечением Cisco NX-OS версии 7.1(2)N1(1);
- коммутатор Cisco Nexus 7000 с установленным программным обеспечением Cisco NX-OS версии 7.2(1)D1(1);
- коммутатор Cisco WS-C6506-E с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10;
- маршрутизатор Cisco 2901/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9;
- маршрутизатор Cisco 2911/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9;
- маршрутизатор Cisco C3900-SPE200/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9;
- межсетевой экран Cisco ASA 5512-X с установленным программным обеспечением Cisco Adaptive Security Appliance Software v. 9.6.3;
- межсетевой экран Cisco ASA 5525-X с установленным программным обеспечением Cisco Adaptive Security Appliance Software v. 9.6.3;
- межсетевой экран Cisco ASA5508-K8 с установленным программным обеспечением Cisco ASA версии 9.6(4)3;
- межсетевой экран Cisco ASA5510-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)19;
- межсетевой экран Cisco ASA5512-X-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27;
- межсетевой экран Cisco ASA5515-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27;
- межсетевой экран Cisco ASA5520-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)23;
- межсетевой экран Cisco ASA5525-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27;
- межсетевой экран Cisco ASA5550-K8 c установленным программным обеспечением Cisco ASA версии 9.1(7)23;
- межсетевой экран Cisco ASA5555-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27;
- межсетевой экран Cisco ASA5585-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27.
Как видно из таблиц, некоторые типы сертифицированных межсетевых экранов представлены в крайне ограниченном количестве, а, например, МЭ типа «Д» и вовсе на данный момент отсутствуют. [zlonov.ru]
Редакция благодарит Алексея Комарова за разрешение на перепечатку материала.