Верхнее

[таблицы] Системы обнаружения вторжений, сертифицированные по новым требованиям

Требования (профили защиты) к системам обнаружения вторжений (СОВ) были утверждены Приказом ФСТЭК России №638 от 6 декабря 2011 года  и  вступили в действие с 15 марта 2012 года. Как и для других средств защиты информации, профили защиты открыто опубликованы только частично — доступны требования для четвёртогопятого и шестого классов защиты.

См. также:
— Межсетевые экраны, сертифицированные по новым требованиям
— Антивирусы, сертифицированные по новым требованиям
— Средства доверенной загрузки, сертифицированные по новым требованиям

Всего было введено два типа систем обнаружения вторжений (СОВ):

  • СОВ уровня сети: Датчики (сенсоры) собирают информацию о пакетах данных, передаваемых в пределах информационной системы(ИС) (сегмента ИС), в которой (котором) установлены эти датчики. Датчики СОВ уровня сети могут быть реализованы в виде программного обеспечения (ПО), устанавливаемого на стандартные программно-технические платформы, а также в виде программно-технических устройств, подключаемых к ИС (сегменту ИС);
  • СОВ уровня узла: Датчики СОВ уровня узла представляют собой программные модули, устанавливаемые на защищаемые узлы информационной системы (ИС) и предназначенные для сбора информации о событиях, возникающих на этих узлах.

Помимо двух типов СОВ определены 6 классов защиты для них: чем выше класс (1 — самый высокий), тем больше к ним требований и тем в более высокого класса систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ) они могут применяться.

КЛАСС ЗАЩИТЫСОВ УРОВНЯ СЕТИСОВ УРОВНЯ УЗЛА
1ИТ.СОВ.С1.ПЗИТ.СОВ.У1.ПЗ
2ИТ.СОВ.С2.ПЗИТ.СОВ.У2.ПЗ
3ИТ.СОВ.С3.ПЗИТ.СОВ.У3.ПЗ
4ИТ.СОВ.С4.ПЗИТ.СОВ.У4.ПЗ
5ИТ.СОВ.С5.ПЗИТ.СОВ.У5.ПЗ
6ИТ.СОВ.С6.ПЗИТ.СОВ.У6.ПЗ

На момент публикации данного поста в реестре ФСТЭК присутствует 22 сертификата с упоминанием профилей защиты СОВ и 19 из них выданы на серию (3 — на ограниченную партию изделий). 

Ниже приведены все доступные на сегодня сертифицированные серией по текущим требованиям ФСТЭК системы обнаружения вторжений, сгруппированные по типам.

Важно! Информация в приведённых таблицах актуальна на дату публикации. Текущие действующие сертификаты ФСТЭК можно посмотреть в соответствующем Реестре ФСТЭК. Также по возможности актуализируется информация в Каталоге средств защиты информации.

Системы обнаружения вторжений уровня сети

Класс защиты№ сертификата — Система обнаружения вторжений уровня сети
ИТ.СОВ.С1.ПЗотсутствуют
ИТ.СОВ.С2.ПЗ2574 — Межсетевой экран и система обнаружения вторжений Рубикон
3530 — программно-аппаратный комплекс Dionis-NX с установленным программным обеспечением версий 1.2-6 Hand, 1.2-7 Hand и 1.2-8 Hand UTM
3856 — программный комплекс обнаружения вторжений Ребус-СОВ
ИТ.СОВ.С3.ПЗ2845 — система обнаружения компьютерных атак Форпост, версия 2.0
3008 — Континент 3.7
ИТ.СОВ.С4.ПЗ3634 — шлюз безопасности Check Point Security Gateway версии R77.10
3720 — FortiGate
3804 — программно-аппаратный комплекс ViPNet IDS 2 (версия 2.4)
3868 — программное изделие Система обнаружения вторжений ИВК Сенсор (СОВ ИВК СЕНСОР)
3905 — изделие Универсальный шлюз безопасности UserGate UTM
3911 — программное средство системы обнаружения вторжений (СОВ) Кречет
3976 — программный комплекс Аркан
ИТ.СОВ.С5.ПЗ3481 — программно-аппаратный комплекс HP TippingPoint серий N и NX с операционной системой TOS версия 3 и системой управления SMS версия 3
3904 — система обнаружения вторжений Cisco ASA FirePOWER версии 6.2, реализованная адаптивным устройством безопасности серии Cisco ASA 5500-X (модели: ASA 5506-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X SSP10FP10)
ИТ.СОВ.С6.ПЗотсутствуют

Системы обнаружения вторжений уровня узла

Класс защиты№ сертификата — Система обнаружения вторжений уровня узла
ИТ.СОВ.У1.ПЗотсутствуют
ИТ.СОВ.У2.ПЗ3856 — программный комплекс обнаружения вторжений Ребус-СОВ
ИТ.СОВ.У3.ПЗотсутствуют
ИТ.СОВ.У4.ПЗ2720 — Система защиты информации от несанкционированного доступа Dallas Lock 8.0-K
2945 — Система защиты информации от несанкционированного доступа Dallas Lock 8.0-С
3232 — HP TrippingPoint (скорее всего речь о TippingPoint)
3745 — cредство защиты информации Secret Net Studio
3802 — система обнаружения вторжений ViPNet IDS HS
ИТ.СОВ.У5.ПЗотсутствуют
ИТ.СОВ.У6.ПЗотсутствуют

Сетевых СОВ представлено много (14 штук), есть как отчественные решения, так и зарубежные (правда, последние только 4 и 5 классов защиты). А вот СОВ уровня узла лишь 6 вариантов и все, кроме Ребус-СОВ (у него класс 2), имеют только 4 класс защиты.

Пожалуй, стоит обратить внимание ещё вот на какой момент (спасибо Алексею Лукацкому за идею) — версия продукта, на которую выдан сертификат.

В случае с отечественными решениями, которые почти все в ином, отличном от сертифицированного виде не существуют и не продаются, это не так важно, а вот для зарубежных продуктов — дело совсем другое.

Так, если верить, пресс-релизу Trend Micro от июня 2017 года, сертификат 3232 выдан на «программно-аппаратный комплекс Trend Micro TippingPoint серий N и NX с операционной системой TOS версия 3.9.0 и системой управления Security Management System версия 4.5.0«, что, согласно документу TippingPoint End of Life (EOL) dates, означает, что данное сертифицированное решение хоть и не последней версии, но, по крайней мере, является поддерживаемым.

Нужно, правда, отметить, что в тексте пресс-релиза в отношении сертификата 3232 говорится о том, что он выдан на СОВ уровня сети, но в реестре ФСТЭК указано, что  сертификат 3232 выдан для СОВ уровня узла (ИТ.СОВ.У4.ПЗ), да и вообще — на некий «HP TrippingPoint».

Сертификат уровня сети на TippingPoint в реестре ФСТЭК всё же есть — это сертификат 3481. Беда только в том, что (если верить реестру) сертификат 3481 выдан на «программно-аппаратный комплекс HP TippingPoint серий N и NX с операционной системой TOS версия 3 и системой управления SMS версия 3«, т.е. на устаревшую и неподдерживаемую с марта 2016 систему управления.

Пресс-релиз и реестр ФСТЭК противоречат друг другу и можно было бы верить реестру, но в нём тоже есть ошибки: упомянутый TrippingPoint или тот же САВ3.ИТ с цифрой 3 вместо буквы З (писал про него в июле, пока так и не исправили). Оригиналы сертификатов ФСТЭК просит не публиковать, так что «The Truth Is Out There» (с)

У другого нероссийского вендора Check Point, к сожалению, сертифицирована версия (R77.10), официально снятая с поддержки год назад.

У ещё одного зарубежного производителя Fortinet сертифицирован «программно-аппаратный комплекс «FortiGate», функционирующий под управлением операционной системы FortiOS 5.4.1«. Данная версия будет снята с инженерной поддержки в декабре 2018 года, а окончательно — только в 2020 году (информация из раздела Службы поддержки: Fortinet Life Cycle Information, для доступа нужно иметь зарегистрированный аакаунт).

Наконец, у Cisco сертифицирована «система обнаружения вторжений Cisco ASA FirePOWER версии 6.2«, являющаяся актуальной, что и понятно — сертификат был получен только в марте этого года. 

Кстати, в отчёте NSS Labs 2017 Security Value Map (SVM) for Next Generation Intrusion Prevention Systems (NGIPS) от ноября прошлого года фигурируют такие модели и версии продуктов упомянутых производителей:

  • Check Point Software Technologies 15600 R77.30
  • Cisco FirePOWER 8350 v6.2.0.1
  • Fortinet FortiGate 600D v5.4.5
  • Trend Micro 7500NX v3.9.2.4784

Итоговая таблица по версиям неотечественных продуктов выглядит так (для Trend Micro требуется уточнение номера сертифицированной версии):

ПРОИЗВОДИТЕЛЬСЕРТИФИЦИРОВАНОСТАТУСВ ОТЧЁТЕ NSS LABSТЕКУЩАЯ ВЕРСИЯ
Check PointR77.10Снята с поддержкиR77.30R80.10
CiscoFirePOWER 6.2АктуальнаFirePOWER 6.2.0.1FirePOWER 6.2.3
Fortinet5.4.1Поддерживается5.4.56.0
Trend MicroNX 3*Поддерживается*NX 3.9.2.4784NX 3.9.3
Trend MicroSMS 3*Снята с поддержки*SMS 5.1.0

В качестве пожелания авторам и составителям реестра ФСТЭК отмечу, что было бы здорово в реестре видеть в явном виде сертифицированную версию продукта с детализацией хотя бы до одной цифры после точки для всех средств защиты информации.

Ну, и ошибок, которых, понятно, не избежать на 100%, хотелось бы поменьше.

, , , , , , , , , , , , , , , ,

Начать обсуждение: rucybersecurity.ru