Верхнее

Сертифицированные межсетевые экраны (часть 1)

Сертифицированные межсетевые экраны (часть 1)

Сегодня межсетевой экран – это один из немногих компонентов системы информационной безопасности, принуждать приобретать который практически никого не надо. Даже систему предотвращения вторжений уже нужно активно продавать, а, например, до внедрения системы мониторинга событий информационной безопасности некоторые компании и вовсе, что называется, «не доросли». Зато межсетевой экран покупают и крупные компании и небольшие организации, даже домашние пользователи понемногу привыкают к «сетевым экранам», «файерволам» и прочим дополнениям к антивирусам.

Другими словами, рынок межсетевых экран достаточно развит и, естественно, привлекателен как для разработчиков, так и для поставщиков. При этом одним из важнейших факторов последних лет, повлиявших на направление развития этого рынка без сомнения стало принятие широко- и для многих печально- известного закона «О персональных данных». Касающаяся практически всех юридических лиц законодательная инициатива, так уж вышло, стала устанавливать правила игры не только юридическим языком, но и конкретными техническими требованиями. В частности, применение межсетевых экранов при защите персональных данных достаточно чётко регламентируется.

В принципе, с учётом зрелости рынка, регулятор лишь законодательно закрепил необходимость применения того, что и так многие использовали, да вот только одно дело – добровольный выбор, а другое – когда тебя вынуждают к чему-то, пусть и полезному для тебя самого. К тому же, как специально вписанные чьей-то лоббистской рукой и казавшиеся поначалу размытыми формулировки в ходе долгих обсуждений в сообществе в конечном итоге вылились в понимание того, что для защиты персональных данных нужно применять сертифицированные средства защиты вообще и сертифицированные межсетевые экраны в частности.

Сертифицированные межсетевые экраны на нашем рынке присутствовали всегда уже давно, но оставались больше головной болью в сфере внимания государственных и около государственных организаций. В свете же принятых нововведений, обычным коммерческим компаниям тоже пришлось познакомиться с «прекрасным и удивительным» миром сертифицированных изделий, в путешествие по которому я вас и приглашаю.

Требования к сертифицированным межсетевым экранам есть и у ФСБ и у ФСТЭК, но нас будут интересовать именно вторые в виду более широкой их распространённости и области применения. С точки зрения ФСТЭК сертифицированные межсетевые экраны бывают пяти классов от МЭ1 до МЭ5, при этом, чем выше класс, тем жёстче требования. Сами требования прописаны в документе с длинным, как это у нас почему-то принято, названием: Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации. Утверждён этот документ ещё 25 июля 1997 года и вы можете себе представить, насколько он современен и соответствует реалиям сетевых угроз наших дней, но ничего другого с тех пор ФСТЭК не предложил, так что по нему и живём.

Не будем вдаваться в детали самих требований, а перейдём лучше непосредственно к перечню существующих сертифицированных межсетевых экранов. Дабы избежать уловок хитрых поисковых оптимизаторов не будем пользоваться ни Яндексом, ни Google, а обратимся к первоисточнику с не менее заковыристым названием: Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00. Если не поленились прочитать название, то должны были догадаться, что в этом excel-файле по идее должны быть перечислены все средства защиты, когда-либо сертифицированные ФСТЭК. На практике, наверное, это не совсем так (хотя бы из тех соображений, что в номерах сертификатах есть пропуски), но нам сейчас это не принципиально. Открываем документ и поехали сверху вниз.

Первым средством защиты информации (СЗИ), сертифицированным в соответствии с выше обозначенными требованиями, указан «Сервер безопасности DioNIS Security Server v.6.0 с встроенным межсетевым экраном DioNIS Firewall». Судя по номеру сертификата (395/5), он неоднократно продлевался, а его текущий срок действия закончился буквально на днях – 03 мая 2012 года. Вообще, насколько мне известно, продукт с 2008 года не развивается и будет ли данный сертификат продлеваться – вопрос открытый, тем более что и новостей в интернете о нём никаких особо не наблюдается.

Следующим в реестре указан сертификат на Cisco PIX Firewall 506 ver. 6.1(3), но сертификат выдан не на серию, а на один конкретный экземпляр. В дальнейшем подобные сертифицированные межсетевые экраны будем пропускать, так как при наличии денег и времени можно сертифицировать практически любой из понравившихся межсетевых экранов, а вот сертификацию серии, ну или хотя бы крупной партии, делает, как правило, сам разработчик, желающий занять определённую нишу на этом рынке. Такие сертификаты делаются не под конкретный проект, а как раз для широкой продажи на открытом рынке.

Третий в списке сертифицированных межсетевых экранов – загадочный ССПТ-1М — Аппаратно-программный комплекс «Специализированный сетевой процессор ССПТ-1М». Сертифицировано их была внушительная партия в 4990 экземпляров, да вот только сам сертификат закончился ещё в начале 2009 года. Такие изделия нас тоже не будут интересовать – пройти аттестацию с просроченным сертификатом ведь всё равно не получится.

Пропустив целый ряд неподходящих нам по вышеобозначенным критериям сертифицированных межсетевых экранов добираемся до следующего игрока на рынке – компании Газинформсервис и её продукта Блокпост-Экран 2000/ХР. Данное решение является программным персональным межсетевым экраном, стоит 1500 рублей (плюс 500 рублей и странные 32 копейки за установочный комплект), но работает только в среде Windows 2000/XP, что делает область его практического применения весьма ограниченной. Но, «если звезды зажигают — значит — это кому-нибудь нужно»…

Далее из подходящих в списке встречаем сертифицированный межсетевой экран от компании ООО «ИВК» — ИВК Кольчуга. Вообще, в реестре сертификатов на «Кольчуги» значится целых пять штук, а так как размер поста уже и так достаточно большой, оставим их разбор до следующего раза. Промежуточные сводные результаты обзора доступны в этой таблице.

Продолжение следует… 

, , ,