Верхнее

[таблицы] МЭ, сертифицированные по новым требованиям

Свежие (текущие) требования к межсетевым экранам были утверждены ФСТЭК России 12 сентября 2016 г. Именно тогда официально появились методические документы, содержащие профили защиты межсетевых экранов для 5 типов и 6 классов межсетевых экранов.

Кратко напомню (и сам для себя ещё раз зафиксирую, чтобы потом знать, где искать), какие типы межсетевых экранов c точки зрения ФСТЭК бывают:

  • МЭ типа «А» – это МЭ, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы.
  • МЭ типа «Б» – это МЭ, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы.
  • МЭ типа «В» – это МЭ, применяемый на узле (хосте) информационной системы.
  • МЭ типа «Г» – это МЭ, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера.
  • МЭ уровня промышленной сети (тип «Д») – это МЭ, применяемый в автоматизированной системе управления технологическими или производственными процессами. МЭ типа «Д» может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).

C классами защиты ещё проще — чем выше класс (1 — самый высокий), (тем больше к ним требований и) тем в более высокого класса систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ) они могут применяться.

Для удобства были введены идентификаторы профилей защиты в формате ИТ.МЭ.«тип»«класс».ПЗ Вот полная их таблица:

Класс защиты /
Тип межсетевого экрана
654321
Межсетевой экран типа «А»ИТ.МЭ.А6.ПЗИТ.МЭ.А5.ПЗИТ.МЭ.А4.ПЗИТ.МЭ.А3.ПЗИТ.МЭ.А2.ПЗИТ.МЭ.А1.ПЗ
Межсетевой экран типа «Б»ИТ.МЭ.Б6.ПЗИТ.МЭ.Б5.ПЗИТ.МЭ.Б4.ПЗИТ.МЭ.Б3.ПЗИТ.МЭ.Б2.ПЗИТ.МЭ.Б1.ПЗ
Межсетевой экран типа «В»ИТ.МЭ.В6.ПЗИТ.МЭ.В5.ПЗИТ.МЭ.В4.ПЗИТ.МЭ.В3.ПЗИТ.МЭ.В2.ПЗИТ.МЭ.В1.ПЗ
Межсетевой экран типа «Г»ИТ.МЭ.Г6.ПЗИТ.МЭ.Г5.ПЗИТ.МЭ.Г4.ПЗ
Межсетевой экран типа «Д»ИТ.МЭ.Д6.ПЗИТ.МЭ.Д5.ПЗИТ.МЭ.Д4.ПЗ

С момента утверждения новых требований прошло более полутора лет, но в реестре ФСТЭК присутствуют (на момент публикации) только 43 сертификата с упоминанием профилей защиты ИТ.МЭ и только 22 из них выданы на серию, а не на ограниченную партию изделий.

Ниже приведены все доступные на сегодня сертифицированные по новым требованиям (и при этом серией) межсетевые экраны, сгруппированные по типам.

Межсетевые экраны типа «А»

Класс защиты№ сертификата — Межсетевые экраны
ИТ.МЭ.А1.ПЗпока нет
ИТ.МЭ.А2.ПЗ
ИТ.МЭ.А3.ПЗ
ИТ.МЭ.А4.ПЗ
ИТ.МЭ.А5.ПЗ
ИТ.МЭ.А6.ПЗ

Межсетевые экраны типа «Б»

Межсетевые экраны типа «В»

Класс защиты№ сертификата — Межсетевые экраны
ИТ.МЭ.В1.ПЗпока нет
ИТ.МЭ.В2.ПЗ
ИТ.МЭ.В3.ПЗпока нет
ИТ.МЭ.В4.ПЗ
ИТ.МЭ.В5.ПЗпока нет
ИТ.МЭ.В6.ПЗпока нет

Межсетевые экраны типа «Г»

Класс защиты№ сертификата — Межсетевые экраны
ИТ.МЭ.Г1.ПЗне предусмотрен
ИТ.МЭ.Г2.ПЗне предусмотрен
ИТ.МЭ.Г3.ПЗне предусмотрен
ИТ.МЭ.Г4.ПЗ
ИТ.МЭ.Г5.ПЗпока нет
ИТ.МЭ.Г6.ПЗпока нет

Межсетевые экраны типа «Д»

Класс защиты№ сертификата — Межсетевые экраны
ИТ.МЭ.Д1.ПЗне предусмотрен
ИТ.МЭ.Д2.ПЗне предусмотрен
ИТ.МЭ.Д3.ПЗне предусмотрен
ИТ.МЭ.Д4.ПЗпока нет
ИТ.МЭ.Д5.ПЗпока нет
ИТ.МЭ.Д6.ПЗпока нет

Как видно, некоторые типы сертифицированных межсетевых экранов представлены в крайне ограниченном количестве, а например, МЭ типа Д и вовсе пока отсутствуют.

Для полноты картины стоит отметить, что, судя по уже выданным сертификатам, есть возможность сертифицировать как МЭ типа А шестого класса защиты (ИТ.МЭ.А6.ПЗ) партии устройств Cisco:

  • коммутатор Cisco 6504 VS-S720-10G с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10
  • коммутатор Cisco Catalyst WS-C3560V2-24TS с установленным программным обеспечением Cisco IOS версии 12.2(55)SE12
  • коммутатор Cisco Catalyst WS-C3560X-24T с установленным программным обеспечением Cisco IOS версии 15.0(2)SE11
  • коммутатор Cisco Catalyst WS-C3650-24TD-E с установленным программным обеспечением Cisco IOS-XE версии 03.06.07.E
  • коммутатор Cisco Nexus 5596 с установленным программным обеспечением Cisco NX-OS версии 7.1(2)N1(1)
  • коммутатор Cisco Nexus 7000 с установленным программным обеспечением Cisco NX-OS версии 7.2(1)D1(1)
  • коммутатор Cisco WS-C6506-E с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10
  • маршрутизатор Cisco 2901/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
  • маршрутизатор Cisco 2911/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
  • маршрутизатор Cisco C3900-SPE200/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
  • межсетевой экран Cisco ASA 5512-X с установленным программным обеспечением Cisco Adaptive Security Appliance Software v. 9.6.3
  • межсетевой экран Cisco ASA 5525-X с установленным программным обеспечением Cisco Adaptive Security Appliance Software v. 9.6.3
  • межсетевой экран Cisco ASA5508-K8 с установленным программным обеспечением Cisco ASA версии 9.6(4)3
  • межсетевой экран Cisco ASA5510-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)19
  • межсетевой экран Cisco ASA5512-X-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
  • межсетевой экран Cisco ASA5515-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
  • межсетевой экран Cisco ASA5520-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)23
  • межсетевой экран Cisco ASA5525-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
  • межсетевой экран Cisco ASA5550-K8 c установленным программным обеспечением Cisco ASA версии 9.1(7)23
  • межсетевой экран Cisco ASA5555-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
  • межсетевой экран Cisco ASA5585-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27

 

, , ,