Добавлено 10.03.2022 ФСТЭК России были приостановлены два из упоминающихся ниже сертификатов: 3959 - программное обеспечение «Symantec Endpoint Protection» (версия 14) и 4238 - программное обеспечение «Trend Micro Deep Security 10».
15 марта 2022 года исполняется 10 лет с того момента, как Требования (профили защиты) к системам обнаружения вторжений (СОВ), утверждённые [ДСП] Приказом ФСТЭК России №638 от 6 декабря 2011 года, вступили в действие.
Напомню, что было введено два типа систем обнаружения вторжений (СОВ):
- СОВ уровня сети: Датчики (сенсоры) собирают информацию о пакетах данных, передаваемых в пределах информационной системы (ИС) (сегмента ИС), в которой (котором) установлены эти датчики. Датчики СОВ уровня сети могут быть реализованы в виде программного обеспечения (ПО), устанавливаемого на стандартные программно-технические платформы, а также в виде программно-технических устройств, подключаемых к ИС (сегменту ИС);
- СОВ уровня узла: Датчики СОВ уровня узла представляют собой программные модули, устанавливаемые на защищаемые узлы информационной системы (ИС) и предназначенные для сбора информации о событиях, возникающих на этих узлах.
Помимо двух типов СОВ определены 6 классов защиты для них: чем выше класс (1 — самый высокий), тем больше к ним требований и тем в более высокого класса систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ) они могут применяться.
При этом профили защиты открыто опубликованы только частично - доступны требования для четвёртого, пятого и шестого классов защиты.
КЛАСС ЗАЩИТЫ | СОВ УРОВНЯ СЕТИ | СОВ УРОВНЯ УЗЛА |
---|---|---|
1 | ИТ.СОВ.С1.ПЗ | ИТ.СОВ.У1.ПЗ |
2 | ИТ.СОВ.С2.ПЗ | ИТ.СОВ.У2.ПЗ |
3 | ИТ.СОВ.С3.ПЗ | ИТ.СОВ.У3.ПЗ |
4 | ИТ.СОВ.С4.ПЗ | ИТ.СОВ.У4.ПЗ |
5 | ИТ.СОВ.С5.ПЗ | ИТ.СОВ.У5.ПЗ |
6 | ИТ.СОВ.С6.ПЗ | ИТ.СОВ.У6.ПЗ |
В Государственном реестре сертифицированных средств защиты информации на дату публикации данного поста присутствует 51 сертификат, выданный на СОВ (в августе 2018 года их было 22), да вот только, если исключить те средства, что сертифицированы ограниченным количеством (не как серия) и срок действия сертификата на который пока не истёк, останется всего лишь 30 штук (в августе 2018 года таких было 19).
Что ж, давайте посмотрим их все, а заодно сопоставим с теми СОВ, которые присутствовали в реестре в августе 2018 года.
Системы обнаружения вторжений уровня узла
Класс защиты | № сертификата - Система обнаружения вторжений уровня узла | По состоянию на август 2018 |
---|---|---|
ИТ.СОВ.У1.ПЗ | отсутствуют | отсутствуют |
ИТ.СОВ.У2.ПЗ | 4394 - программный комплекс обнаружения вторжений «Ребус-СОВ» | Ребус-СОВ |
ИТ.СОВ.У3.ПЗ | отсутствуют | отсутствуют |
ИТ.СОВ.У4.ПЗ | 2945 - СЗИ от НСД «Dallas Lock 8.0-C» 3745 - cредство защиты информации Secret Net Studio 3802 - система обнаружения вторжений ViPNet IDS HS |
- Dallas Lock - HP TippingPoint - Secret Net Studio - ViPNet IDS HS |
ИТ.СОВ.У5.ПЗ | отсутствуют | отсутствуют |
ИТ.СОВ.У6.ПЗ | 3959 - программное обеспечение «Symantec Endpoint Protection» (версия 14) - Действие сертификата соответствия приостановлено 4248 - программное обеспечение «Trend Micro Deep Security 10» - Действие сертификата соответствия приостановлено |
отсутствуют |
СОВ уровня узла (конечной точки) как было немного, так немного и осталось. Видимо, не самое востребованное на рынке решение и шести имеющихся игроков достаточно для покрытия всех потребностей. Любопытно, что по сравнению с августом 2018 года появились сразу два новых иностранных решения - Symantec и Trend Micro, правда оба они не имеют сертификацию по Требованиям доверия, что, конечно, ограничивает их применение.
А вот в сегменте сертифицированных сетевых СОВ изменений гораздо больше.
Системы обнаружения вторжений уровня сети
Класс защиты | № сертификата - Система обнаружения вторжений уровня сети | По состоянию на август 2018 |
---|---|---|
ИТ.СОВ.С1.ПЗ | отсутствуют | отсутствуют |
ИТ.СОВ.С2.ПЗ | 3530 - программно-аппаратный комплекс Dionis-NX 4394 - программный комплекс обнаружения вторжений «Ребус-СОВ» |
- Рубикон - Dionis-NX - Ребус-СОВ |
ИТ.СОВ.С3.ПЗ | 4145 - аппаратно-программный комплекс шифрования «Континент». Версия 3.9 4268 - программный комплекс «Континент-СОВ». Версия 4 |
- Форпост - Континент |
ИТ.СОВ.С4.ПЗ | 3813 - система обнаружения компьютерных атак «Форпост», версия 3.0, исполнение 4 3905 - изделие «Универсальный шлюз безопасности «UserGate» 4027 - программное изделие «Kaspersky Industrial CyberSecurity for Networks» 4042 - программное изделие «Система обнаружения и предотвращения вторжений Positive Technologies Network Attack Discovery» 4048 - система обнаружения компьютерных атак «Аргус», версии 1.6 4055 - программный комплекс С-Терра СОВ. Версия 4.2 4066 - многофункциональный комплекс сетевой защиты «Diamond VPN/FW» 4208 - программный комплекс Шлюз безопасности «Check Point Security Gateway версии R77.30» 4209 - программно-аппаратный комплекс Шлюз безопасности «Check Point Security Gateway версии R77.30» 4222 - программно-аппаратный комплекс «FortiGate», функционирующий под управлением операционной системы FortiOS версии 6.X 4225 - программно-аппаратный комплекс Dionis DPS 4329 - cистема обнаружения компьютерных атак (вторжений) VIPNet IDS 3 4389 - программное обеспечение «Система сетевой безопасности Mirada» 4429 - программный комплекс «InfoWatch ARMA Industrial Firewall» 4496 - комплекс безопасности «Континент». Версия 4. 4501 - программно-аппаратный комплекс ViPNet xFirewall 5 4503 - программный комплекс Межсетевой экран с системой обнаружения вторжений Ideco UTM |
- Check Point Security Gateway - FortiGate - ViPNet IDS - ИВК Сенсор - UserGate UTM - Кречет - Аркан |
ИТ.СОВ.С5.ПЗ | отсутствуют | - HP TippingPoint - Cisco ASA FirePOWER |
ИТ.СОВ.С6.ПЗ | 4323 - межсетевой экран «Kerio Control» 4362 - программно-аппаратный комплекс «FortiGate», функционирующий под управлением операционной системы FortiOS версии 6.X 4451 - программный комплекс оперативного мониторинга состояния информационной безопасности и контроля состояния защищенности производственно-технологических комплексов «DATAPK» 4462 - программно-аппаратный комплекс «FortiGate» для защиты промышленной сети |
отсутствуют |
Думаю, нет смысла проводить построчное сравнение - таблица достаточно наглядна сама по себе. Например, заметно, что стало гораздо больше отечественных производителей, а вот из иностранных решений остались лишь Kerio Control, FortiGate и Check Point, сертифицированные СОВ от HP и Cisco более не производятся.
Тем оправданнее будет сопоставить сертификаты этих производителей и определить возможные области их применения.
№ | Изделие | Выдан Окончание Техподдержка |
Формулировка |
---|---|---|---|
4208 | программный комплекс Шлюз безопасности «Check Point Security Gateway версии R77.30» | 28.01.2020 28.01.2025 31.12.2023 |
Соответствует требованиям документов: Требования доверия(4), Требования к МЭ, Профиль защиты МЭ(Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ), Требования к СОВ, Профили защиты СОВ(cети четвертого класса защиты. ИТ.СОВ.С4.ПЗ) |
4209 | программно-аппаратный комплекс Шлюз безопасности «Check Point Security Gateway версии R77.30» | 28.01.2020 28.01.2025 31.12.2023 |
Соответствует требованиям документов: Требования доверия(4), Требования к МЭ, Профиль защиты МЭ(А четвертого класса защиты. ИТ.МЭ.А4.ПЗ), Профиль защиты МЭ(Д четвертого класса защиты. ИТ.МЭ.Д4.ПЗ), Требования к СОВ, Профили защиты СОВ(cети четвертого класса защиты. ИТ.СОВ.С4.ПЗ) |
4222 | программно-аппаратный комплекс «FortiGate», функционирующий под управлением операционной системы FortiOS версии 6.X | 11.02.2020 11.02.2025 - |
Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ(А четвертого класса защиты. ИТ.МЭ.А4.ПЗ), Профиль защиты МЭ(Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ), Требования к СОВ, Профили защиты СОВ(cети четвертого класса защиты. ИТ.СОВ.С4.ПЗ) |
4323 | межсетевой экран Kerio Control | 10.11.2020 10.11.2025 - |
Соответствует требованиям документов: Требования доверия(6), Требования к МЭ, Профиль защиты МЭ(Б шестого класса защиты. ИТ.МЭ.Б6.ПЗ), Требования к САВЗ, Профиль защиты САВЗ(Б шестого класса защиты. ИТ.САВЗ.Б6.ПЗ), Требования к СОВ, Профили защиты СОВ(cети шестого класса защиты. ИТ.СОВ.С6.ПЗ) |
4362 | программно-аппаратный комплекс «FortiGate», функционирующий под управлением операционной системы FortiOS версии 6.X | 15.01.2021 15.01.2026 - |
Соответствует требованиям документов: Требования доверия(6), Требования к МЭ, Профиль защиты МЭ(А шестого класса защиты. ИТ.МЭ.А6.ПЗ), Профиль защиты МЭ(Б шестого класса защиты. ИТ.МЭ.Б6.ПЗ), Требования к САВЗ, Профиль защиты САВЗ(Б шестого класса защиты. ИТ.САВЗ.Б6.ПЗ), Требования к СОВ, Профили защиты СОВ(cети шестого класса защиты. ИТ.СОВ.С6.ПЗ) |
4462 | программно-аппаратный комплекс «FortiGate» для защиты промышленной сети | 06.10.2021 06.10.2026 - |
Соответствует требованиям документов: Требования доверия(6), Требования к МЭ, Профиль защиты МЭ(Д шестого класса защиты. ИТ.МЭ.Д6.ПЗ), Требования к САВЗ, Профиль защиты САВЗ(Б шестого класса защиты. ИТ.САВЗ.Б6.ПЗ), Требования к СОВ, Профили защиты СОВ(cети шестого класса защиты. ИТ.СОВ.С6.ПЗ) |
Оба решения FortiGate и Check Point имеют сертификацию по 4 классу защиты СОВ, но только у Check Point есть одновременно сертификация по 4 уровню доверия, у FortiGate - только по 6-му. На примере требований п.29 приказа ФСТЭК России №239 это означает, что Check Point можно применять на любых значимых объектах, а FortiGate - только на значимых объектах третьей категории. Сертификация Kerio Control тоже ограничивает область применения только третьей категорией значимости.
В случае использования в значимом объекте сертифицированных на соответствие требованиям по безопасности информации средств защиты информации:
а) в значимых объектах 1 категории применяются средства защиты информации не ниже 4 класса защиты, а также средства вычислительной техники не ниже 5 класса;
б) в значимых объектах 2 категории применяются средства защиты информации не ниже 5 класса защиты, а также средства вычислительной техники не ниже 5 класса;
в) в значимых объектах 3 категории применяются средства защиты информации 6 класса защиты, а также средства вычислительной техники не ниже 5 класса.
При этом в значимых объектах 1 категории значимости применяются сертифицированные средства защиты информации, соответствующие 4 или более высокому уровню доверия. В значимых объектах 2 категории значимости применяются сертифицированные средства защиты информации, соответствующие 5 или более высокому уровню доверия. В значимых объектах 3 категории значимости применяются сертифицированные средства защиты информации, соответствующие 6 или более высокому уровню доверия.
Вместо выводов, полагаю, уместно будет отметить, что если вы не верите планам трёх оставшихся иностранных производителей IPS (СОВ) уровня сети по продолжению работ по сертификации своих решений по всё более и более ужесточающимся российским регуляторным требованиям, то самое время присмотреться к отечественным решениям. Лично я одному из них точно верю, второго просто не спрашивал, а с третьим и вовсе не знаком =)
Комментарии из Telegram
Комментарии ВКонтакте