Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.
См. также:
Важно!
Информация в приведённых таблицах актуальна на дату публикации. Текущие действующие сертификаты ФСТЭК можно посмотреть в соответствующем Реестре ФСТЭК. Также по возможности актуализируется информация в Каталоге средств защиты информации.
Свежие (текущие) требования к межсетевым экранам были утверждены ФСТЭК России 12 сентября 2016 г. Именно тогда официально появились методические документы, содержащие профили защиты межсетевых экранов для 5 типов и 6 классов межсетевых экранов.
Кратко напомню (и сам для себя ещё раз зафиксирую, чтобы потом знать, где искать), какие типы межсетевых экранов c точки зрения ФСТЭК бывают:
- МЭ типа «А» – это МЭ, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы.
- МЭ типа «Б» – это МЭ, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы.
- МЭ типа «В» – это МЭ, применяемый на узле (хосте) информационной системы.
- МЭ типа «Г» – это МЭ, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера.
- МЭ уровня промышленной сети (тип «Д») – это МЭ, применяемый в автоматизированной системе управления технологическими или производственными процессами. МЭ типа «Д» может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).
C классами защиты ещё проще - чем выше класс (1 - самый высокий), (тем больше к ним требований и) тем в более высокого класса систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ) они могут применяться.
Для удобства были введены идентификаторы профилей защиты в формате ИТ.МЭ.«тип»«класс».ПЗ Вот полная их таблица:
| Класс защиты / Тип межсетевого экрана | 6 | 5 | 4 | 3 | 2 | 1 |
| Межсетевой экран типа «А» | ИТ.МЭ. А6.ПЗ | ИТ.МЭ. А5.ПЗ | ИТ.МЭ. А4.ПЗ | ИТ.МЭ. А3.ПЗ | ИТ.МЭ. А2.ПЗ | ИТ.МЭ. А1.ПЗ |
| Межсетевой экран типа «Б» | ИТ.МЭ. Б6.ПЗ | ИТ.МЭ. Б5.ПЗ | ИТ.МЭ. Б4.ПЗ | ИТ.МЭ. Б3.ПЗ | ИТ.МЭ. Б2.ПЗ | ИТ.МЭ. Б1.ПЗ |
| Межсетевой экран типа «В» | ИТ.МЭ. В6.ПЗ | ИТ.МЭ. В5.ПЗ | ИТ.МЭ. В4.ПЗ | ИТ.МЭ. В3.ПЗ | ИТ.МЭ. В2.ПЗ | ИТ.МЭ. В1.ПЗ |
| Межсетевой экран типа «Г» | ИТ.МЭ. Г6.ПЗ | ИТ.МЭ. Г5.ПЗ | ИТ.МЭ. Г4.ПЗ | - | - | - |
| Межсетевой экран типа «Д» | ИТ.МЭ. Д6.ПЗ | ИТ.МЭ. Д5.ПЗ | ИТ.МЭ. Д4.ПЗ | - | - | - |
С момента утверждения новых требований прошло более полутора лет, но в реестре ФСТЭК присутствуют (на момент публикации) только 43 сертификата с упоминанием профилей защиты ИТ.МЭ и только 22 из них выданы на серию, а не на ограниченную партию изделий.
Ниже приведены все доступные на сегодня сертифицированные по новым требованиям (и при этом серией) межсетевые экраны, сгруппированные по типам.
Межсетевые экраны типа «А»
| Класс защиты | № сертификата - Межсетевые экраны |
| ИТ.МЭ.А1.ПЗ | пока нет |
| ИТ.МЭ.А2.ПЗ | |
| ИТ.МЭ.А3.ПЗ |
|
| ИТ.МЭ.А4.ПЗ |
|
| ИТ.МЭ.А5.ПЗ | |
| ИТ.МЭ.А6.ПЗ |
Межсетевые экраны типа «Б»
| Класс защиты | № сертификата - Межсетевые экраны |
| ИТ.МЭ.Б1.ПЗ | пока нет |
| ИТ.МЭ.Б2.ПЗ | пока нет |
| ИТ.МЭ.Б3.ПЗ | пока нет |
| ИТ.МЭ.Б4.ПЗ |
|
| ИТ.МЭ.Б5.ПЗ |
|
| ИТ.МЭ.Б6.ПЗ |
|
Межсетевые экраны типа «В»
| Класс защиты | № сертификата - Межсетевые экраны |
| ИТ.МЭ.В1.ПЗ | пока нет |
| ИТ.МЭ.В2.ПЗ | |
| ИТ.МЭ.В3.ПЗ | пока нет |
| ИТ.МЭ.В4.ПЗ | |
| ИТ.МЭ.В5.ПЗ | пока нет |
| ИТ.МЭ.В6.ПЗ | пока нет |
Межсетевые экраны типа «Г»
| Класс защиты | № сертификата - Межсетевые экраны |
| ИТ.МЭ.Г1.ПЗ | не предусмотрен |
| ИТ.МЭ.Г2.ПЗ | не предусмотрен |
| ИТ.МЭ.Г3.ПЗ | не предусмотрен |
| ИТ.МЭ.Г4.ПЗ | |
| ИТ.МЭ.Г5.ПЗ | пока нет |
| ИТ.МЭ.Г6.ПЗ | пока нет |
Межсетевые экраны типа «Д»
| Класс защиты | № сертификата - Межсетевые экраны |
| ИТ.МЭ.Д1.ПЗ | не предусмотрен |
| ИТ.МЭ.Д2.ПЗ | не предусмотрен |
| ИТ.МЭ.Д3.ПЗ | не предусмотрен |
| ИТ.МЭ.Д4.ПЗ | пока нет |
| ИТ.МЭ.Д5.ПЗ | пока нет |
| ИТ.МЭ.Д6.ПЗ | пока нет |
Как видно, некоторые типы сертифицированных межсетевых экранов представлены в крайне ограниченном количестве, а например, МЭ типа Д и вовсе пока отсутствуют.
Для полноты картины стоит отметить, что, судя по уже выданным сертификатам, есть возможность сертифицировать как МЭ типа А шестого класса защиты (ИТ.МЭ.А6.ПЗ) партии устройств Cisco:
- коммутатор Cisco 6504 VS-S720-10G с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10
- коммутатор Cisco Catalyst WS-C3560V2-24TS с установленным программным обеспечением Cisco IOS версии 12.2(55)SE12
- коммутатор Cisco Catalyst WS-C3560X-24T с установленным программным обеспечением Cisco IOS версии 15.0(2)SE11
- коммутатор Cisco Catalyst WS-C3650-24TD-E с установленным программным обеспечением Cisco IOS-XE версии 03.06.07.E
- коммутатор Cisco Nexus 5596 с установленным программным обеспечением Cisco NX-OS версии 7.1(2)N1(1)
- коммутатор Cisco Nexus 7000 с установленным программным обеспечением Cisco NX-OS версии 7.2(1)D1(1)
- коммутатор Cisco WS-C6506-E с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10
- маршрутизатор Cisco 2901/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
- маршрутизатор Cisco 2911/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
- маршрутизатор Cisco C3900-SPE200/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
- межсетевой экран Cisco ASA 5512-X с установленным программным обеспечением Cisco Adaptive Security Appliance Software v. 9.6.3
- межсетевой экран Cisco ASA 5525-X с установленным программным обеспечением Cisco Adaptive Security Appliance Software v. 9.6.3
- межсетевой экран Cisco ASA5508-K8 с установленным программным обеспечением Cisco ASA версии 9.6(4)3
- межсетевой экран Cisco ASA5510-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)19
- межсетевой экран Cisco ASA5512-X-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
- межсетевой экран Cisco ASA5515-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
- межсетевой экран Cisco ASA5520-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)23
- межсетевой экран Cisco ASA5525-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
- межсетевой экран Cisco ASA5550-K8 c установленным программным обеспечением Cisco ASA версии 9.1(7)23
- межсетевой экран Cisco ASA5555-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
- межсетевой экран Cisco ASA5585-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
Комментарии из Telegram
Комментарии ВКонтакте