Межсетевые экраны, сертифицированные по требованиям ФСТЭК

ЦПС с разрешения автора републикует статью Алексея Комарова, посвященную сертифицированным по требованиям ФСТЭК межсетевым экранам.

Также материал можно прочесть в блоге Алексея Комарова Zlonov.ru.

Действующие сейчас требования к межсетевым экранам (МЭ) были утверждены ФСТЭК 12 сентября 2016 года. Тогда же официально появились методические документы, содержащие профили защиты межсетевых экранов для 5 типов и 6 классов межсетевых экранов.

ФСТЭК выделила следующие типы межсетевых экранов:

МЭ типа «А» — МЭ, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы;
МЭ типа «Б» — МЭ, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы;
МЭ типа «В» — МЭ, применяемый на узле (хосте) информационной системы;
МЭ типа «Г» — МЭ, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). МЭ типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, идущих к веб-серверу и от веб-сервера;
МЭ уровня промышленной сети (тип «Д») — МЭ, применяемый в автоматизированной системе управления технологическими или производственными процессами. МЭ типа «Д» может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).

C классами защиты еще проще: чем выше класс (1 — самый высокий), тем больше требований к МЭ и тем выше класс систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ), в которых МЭ могут применяться.

Для удобства были введены идентификаторы профилей защиты в формате «ИТ.МЭ.(тип)(класс).ПЗ». Профили сведены в таблицу ниже.

Класс защиты / Тип межсетевого экрана	6	5	4	3	2	1
Межсетевой экран типа «А»	ИТ.МЭ.А6.ПЗ	ИТ.МЭ.А5.ПЗ	ИТ.МЭ.А4.ПЗ	ИТ.МЭ.А3.ПЗ	ИТ.МЭ.А2.ПЗ	ИТ.МЭ.А1.ПЗ
Межсетевой экран типа «Б»	ИТ.МЭ.Б6.ПЗ	ИТ.МЭ.Б5.ПЗ	ИТ.МЭ.Б4.ПЗ	ИТ.МЭ.Б3.ПЗ	ИТ.МЭ.Б2.ПЗ	ИТ.МЭ.Б1.ПЗ
Межсетевой экран типа «В»	ИТ.МЭ.В6.ПЗ	ИТ.МЭ.В5.ПЗ	ИТ.МЭ.В4.ПЗ	ИТ.МЭ.В3.ПЗ	ИТ.МЭ.В2.ПЗ	ИТ.МЭ.В1.ПЗ
Межсетевой экран типа «Г»	ИТ.МЭ.Г6.ПЗ	ИТ.МЭ.Г5.ПЗ	ИТ.МЭ.Г4.ПЗ	—	—	—
Межсетевой экран типа «Д»	ИТ.МЭ.Д6.ПЗ	ИТ.МЭ.Д5.ПЗ	ИТ.МЭ.Д4.ПЗ	—	—	—

С момента утверждения новых требований прошло более 1,5 лет, но на момент публикации в реестре ФСТЭК присутствует только 43 сертификатов с упоминанием профилей защиты ИТ.МЭ — и только 22 из них выданы на серии, а не на ограниченную партию изделий. Ниже приведены все доступные на сегодня сертифицированные серией по новым требованиям межсетевые экраны, сгруппированные по типам.

Межсетевые экраны типа «А»

Класс защиты	№ сертификата — межсетевые экраны
ИТ.МЭ.А1.ПЗ	Пока нет
ИТ.МЭ.А2.ПЗ	2574 — межсетевой экран и система обнаружения вторжений «Рубикон» 3530 — программно-аппаратный комплекс Dionis-NX с установленным программным обеспечением версий 1.2-6 Hand, 1.2-7 Hand и 1.2-8 Hand UTM 3886 — аппаратно-программный комплекс «Маршрутизатор доступа»
ИТ.МЭ.А3.ПЗ	3008 — Континент 3.7
ИТ.МЭ.А4.ПЗ	3634 — шлюз безопасности Check Point Security Gateway версии R77.10 3692 — программно-аппаратный комплекс защиты информации ViPNet Coordinator HW 4 3720 — FortiGate (функционирующий под управлением операционной системы FortiOS 5.4.1) 3834 — программно-аппаратный комплекс Traffic Inspector Next Generation 3905 — изделие «Универсальный шлюз безопасности UserGate UTM»
ИТ.МЭ.А5.ПЗ	3778 — маршрутизатор ESR-1000 с программным обеспечением ESR-1000-1.0.7-ST 3788 — маршрутизатор ESR-100 с программным обеспечением ESR-100-1.0.7-ST 3789 — маршрутизатор ESR-200 с программным обеспечением ESR-200-1.0.7-ST
ИТ.МЭ.А6.ПЗ	3892 — межсетевой экран Cisco ASA-SM1 с установленным программным обеспечением Cisco ASA версии 9.x 3909 — межсетевой экран Huawei Eudemon (модель Eudemon 8000E-X3) версии V500 3935 — маршрутизаторы серии Huawei AR (модели AR2220E, AR2240, AR161FG-L) версии V200

Межсетевые экраны типа «Б»

Класс защиты	№ сертификата — межсетевые экраны
ИТ.МЭ.Б1.ПЗ	Пока нет
ИТ.МЭ.Б2.ПЗ	Пока нет
ИТ.МЭ.Б3.ПЗ	Пока нет
ИТ.МЭ.Б4.ПЗ	3462 — Kaspersky Security для виртуальных сред 3.0 «Защита без агента» 3634 — шлюз безопасности Check Point Security Gateway версии R77.10 3720 — FortiGate (функционирующий под управлением операционной системы FortiOS 5.4.1) 3834 — программно-аппаратный комплекс Traffic Inspector Next Generation 3871 — программный комплекс «РУСТЭК» версии 1.0 3905 — изделие «Универсальный шлюз безопасности UserGate UTM»
ИТ.МЭ.Б5.ПЗ	2407 — Traffic Inspector 3.0
ИТ.МЭ.Б6.ПЗ	3844 — программный комплекс VMware NSX for vSphere 6 3892 — межсетевой экран Cisco ASA-SM1 с установленным программным обеспечением Cisco ASA версии 9.x 3909 — межсетевой экран Huawei Eudemon (модель Eudemon 8000E-X3) версии V500 3935 — маршрутизаторы серии Huawei AR (модели AR2220E, AR2240, AR161FG-L) версии V200

Межсетевые экраны типа «В»

Класс защиты	№ сертификата — межсетевые экраны
ИТ.МЭ.В1.ПЗ	Пока нет
ИТ.МЭ.В2.ПЗ	3675 — средство защиты информации Secret Net Studio — C
ИТ.МЭ.В3.ПЗ	Пока нет
ИТ.МЭ.В4.ПЗ	3745 — средство защиты информации Secret Net Studio
ИТ.МЭ.В5.ПЗ	Пока нет
ИТ.МЭ.В6.ПЗ	Пока нет

Межсетевые экраны типа «Г»

Класс защиты	№ сертификата — межсетевые экраны
ИТ.МЭ.Г1.ПЗ	Не предусмотрен
ИТ.МЭ.Г2.ПЗ	Не предусмотрен
ИТ.МЭ.Г3.ПЗ	Не предусмотрен
ИТ.МЭ.Г4.ПЗ	3455 — система защиты приложений от несанкционированного доступа Positive Technologies Application Firewall
ИТ.МЭ.Г5.ПЗ	Пока нет
ИТ.МЭ.Г6.ПЗ	Пока нет

Межсетевые экраны типа «Д»

Класс защиты	№ сертификата — межсетевые экраны
ИТ.МЭ.Д1.ПЗ	Не предусмотрен
ИТ.МЭ.Д2.ПЗ	Не предусмотрен
ИТ.МЭ.Д3.ПЗ	Не предусмотрен
ИТ.МЭ.Д4.ПЗ	Пока нет
ИТ.МЭ.Д5.ПЗ	Пока нет
ИТ.МЭ.Д6.ПЗ	Пока нет

Для полноты картины стоит отметить, что, судя по уже выданным сертификатам, сертифицированы как МЭ типа А 6-го класса защиты (ИТ.МЭ.А6.ПЗ) ограниченные партии следующих устройств Cisco:

коммутатор Cisco 6504 VS-S720-10G с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10;
коммутатор Cisco Catalyst WS-C3560V2-24TS с установленным программным обеспечением Cisco IOS версии 12.2(55)SE12;
коммутатор Cisco Catalyst WS-C3560X-24T с установленным программным обеспечением Cisco IOS версии 15.0(2)SE11;
коммутатор Cisco Catalyst WS-C3650-24TD-E с установленным программным обеспечением Cisco IOS-XE версии 03.06.07.E;
коммутатор Cisco Nexus 5596 с установленным программным обеспечением Cisco NX-OS версии 7.1(2)N1(1);
коммутатор Cisco Nexus 7000 с установленным программным обеспечением Cisco NX-OS версии 7.2(1)D1(1);
коммутатор Cisco WS-C6506-E с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10;
маршрутизатор Cisco 2901/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9;
маршрутизатор Cisco 2911/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9;
маршрутизатор Cisco C3900-SPE200/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9;
межсетевой экран Cisco ASA 5512-X с установленным программным обеспечением Cisco Adaptive Security Appliance Software v. 9.6.3;
межсетевой экран Cisco ASA 5525-X с установленным программным обеспечением Cisco Adaptive Security Appliance Software v. 9.6.3;
межсетевой экран Cisco ASA5508-K8 с установленным программным обеспечением Cisco ASA версии 9.6(4)3;
межсетевой экран Cisco ASA5510-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)19;
межсетевой экран Cisco ASA5512-X-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27;
межсетевой экран Cisco ASA5515-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27;
межсетевой экран Cisco ASA5520-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)23;
межсетевой экран Cisco ASA5525-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27;
межсетевой экран Cisco ASA5550-K8 c установленным программным обеспечением Cisco ASA версии 9.1(7)23;
межсетевой экран Cisco ASA5555-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27;
межсетевой экран Cisco ASA5585-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27.

Как видно из таблиц, некоторые типы сертифицированных межсетевых экранов представлены в крайне ограниченном количестве, а, например, МЭ типа «Д» и вовсе на данный момент отсутствуют. [zlonov.ru]

Редакция благодарит Алексея Комарова за разрешение на перепечатку материала.