Про сертифікації міжмережевих екранів

Інструмент захисту від небажаного трафіку

Будучи зацікавленою людиною в області сертифікації СЗІ, вирішив викласти деякі думки з сертифікації міжмережевих екранів. У статті приділено увагу проблемам, які чомусь дуже неохоче вирішуються в даний момент. Якщо ця тема вам теж цікава і ви хочете її обговорити, ласкаво просимо під кат.

Міжмережеві екрани — комплексне програмне або апаратне забезпечення, що дозволяє на належному рівні безпеки контролювати кількість і якість мережевих пакетів, що проходять через нього. Міжмережевий екран здійснює аналіз мережевого трафіку, виходячи з певного набору правил, згідно з якими здійснюється фільтрація даних.

Таким чином, основне завдання МЕ (брандмауера, мережевого екрану, брандмауера) — захист автономних вузлів або загальних комп'ютерних мереж від несанкціонованого стороннього доступу, який може використовувати інформацію в своїх цілях або завдати непоправної шкоди власнику мережі. Саме тому міжмережеві екрани ще називають фільтрами, які не пропускають не підходящі під прописані в конфігурації критерії пакети даних. Фільтрація мережевого трафіку може здійснюватися на будь-якому рівні моделі OSI. В якості критеріїв може бути використана інформація з різних рівнів: номери портів, вміст поля даних, адреса відправника/одержувача.

Державні органи контролю інформаційних технологій визначають міжмережевий екран більш конкретно — як один з компонентів обширної системи інформаційної безпеки, що включає в себе ряд додаткових характеристик для забезпечення її ефективної роботи. Міжмережевий екран не є обов'язковим для придбання власником мережі. Не дивлячись на те, що він повною мірою відповідає за збереження конфіденційної інформації, зараз подібна система захисту в РФ не поширена на належному рівні. В ідеалі вона повинна бути впроваджена в кожну внутрішню мережу, щоб цілодобово контролювати вхідні/вихідні потоки інформації. Система моніторингу захисту інформації в деякій мірі заміняє зараз додаткові засоби захисту мережі, однак цього не досить для визначення особистої системи безпеки як сукупності апаратних забезпечень високого рівня.

Поширеність МЕ

Давно всім відомо, що захист завжди повинна бути комплексною, і навіть коректно налаштований МЕ з усім необхідним набором правил не дає користувачу абсолютний захист. Тому використання МЕ повинно проводитися з використанням антивірусних програм, які виявляють і нейтралізують різні шкідливі програми, знаходять заражені файли, ізолюють підозрілі файли, контролюють виконувані процеси в системі. Комплексність такого підходу вирішує проблеми, що виникають у зв'язку зі спеціалізацією засобів інформаційного захисту, коли кожен засіб сприяє запобіганню лише певних загроз безпеки.

В залежності від типу МЕ можлива ізоляція і захист додатків, машин і сервісів внутрішньої мережі від вступника із зовнішньої мережі Інтернет небажаного трафіку, заборона або обмеження доступу хостів внутрішньої мережі до зовнішніх web-сервісів і підтримка перетворення мережевих адрес, що дозволяє використовувати у внутрішній мережі приватні IP-адреси. Міжмережеві екрани фільтрують весь вхідний/вихідний трафік, що проходить через особисту систему кожного користувача. В залежності від ряду додаткових характеристик можуть належати до певного класу захищеності, для цього необхідно отримати сертифікат.

МЕ може в процесі роботи «керуватися» одним або кількома наборами установок, завдяки яким проходить перевірка і фільтрація кожного мережевого пакету. Даний процес здійснюється як на вході, так і на виході пакетів через канали мережевого з'єднання. За результатами перевірки трафік може як отримати доступ до подальшого проходження, так і блокуватися. При цьому в установках самого брандмауера є параметри, що вказують на конкретні характеристики мережевих пакетів, що підлягають перевірці під час фільтрації. Тип протоколу при цьому не є обмеженням, так само як адреса хоста і порт призначення або джерела.

Міжмережеві екрани значно збільшують рівень безпеки локальної мережі. Але цим їх функціональність не обмежується, МЕ виконують різні завдання, які необхідні користувачу або організації на даний момент.

Характеристики ефективного МЕ

В даний час ринок міжмережевих екранів представлений безліччю різних моделей, що відрізняються між собою функціоналом. Мережеве засіб захисту цікавить як користувачів, так і виробників, постачальників (зацікавленого у великих обсягах продажів кола осіб). До моменту вступу в силу закону «Про персональних даних», продати апаратне забезпечення було значно простіше, так як обов'язковий сертифікат продукту не вимагався. В даний час ситуація дещо ускладнилася, вже не можна не включити необхідні параметри захисту в апаратне забезпечення, а продати його за високої вартості як продукт високого рівня безпеки. Застосування кожного типу міжмережевого екрану, використовуваного для захисту персональних даних, чітко регламентується, як і кожна окремо взята характеристика. Всі нормативні акти безперешкодно інформують користувачів і розробників, яким у кінцевому підсумку повинен бути міжмережевий екран, що належить до одного з п'яти класів захищеності.

Законодавчі органи в кінцевому підсумку приходять до висновку, що для ефективного захисту особистих даних потрібно використовувати виключно сертифіковані апаратні засоби захисту. Це безпосередньо стосується і міжмережевих екранів. Купуючи неперевірений продукт, користувач має всі шанси отримати підробку. Наприклад, брандмауер з мінімальним набором характеристик можна купити по більш низькій вартості.

Проблеми у сфері сертифікації МЕ

Незважаючи на чітке визначення поняття «міжмережевий екран», властивості якого зводяться до фільтрації небажаної інформації, яка може перетнути мережеву кордон, розробники не завжди створюють функціональне засіб, що відповідає параметрам сертифікації. Це може бути через недобросовісність продавця, а також при некомпетентності розробника, який допустив помилку (одну або кілька) під час створення апаратного забезпечення.

Регулятор визначає основні показники, яким повинен відповідати кожен МЕ, що відноситься до певного сертифікованому класу. Існують нормативні акти, в яких чітко прописані вимоги до пропонованих користувачам засобів захисту.

Розробник може назвати міжмережевим екраном будь-яке апаратне забезпечення, але воно не буде сертифіковано до того моменту, поки не буде відповідати всім параметрам, відображеним у цих і ряду додаткових положень та офіційних документів.

Обов'язкові попередні випробування програмного продукту, перш ніж він надійде у продаж. Видача відповідного сертифіката контролюючим органом — основне підтвердження відповідності МЕ РД.
Однак багато фахівців акцентують увагу на застарілому підході до вивчення даного питання, Керівні документи не змінювалися, у них не вносилися корективи протягом тривалого проміжку часу. Це означає, що стан справ у сфері інформаційних технологій зараз дещо відрізняється від того, яке було десятиліття тому. Тим не менш, така скептична точка зору не перешкоджає прагненню багатьох розробників і постачальників до отримання сертифіката.

Сертифіковані МЕ відносяться до одного з п'яти класів захищеності персональної інформації. Подібна класифікація призначена для замовників і розробників МЕ, а також мереж ЕОМ, розподілених автоматизованих систем з метою використання при формулюванні та реалізації вимог щодо їх захисту від НСД до інформації.

Чим вище клас міжмережевого екрана, тим більше вимог, що пред'являються до нього, тим жорсткіше загальноприйняті аналізовані характеристики. Всі норми прописані в Керівному документі «Засоби обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації», затвердженому 25.07.1997 року. До теперішнього моменту ФСТЕК не вносив жодних поправок у документ, що свідчить про певне ігнорування інновацій, впроваджених розробниками в міжмережеві екрани зокрема.

Кожне засіб захисту, який з моменту появи документа сертифицировалось в ФСТЕК, внесено в Державний реєстр. Документ доступний для ознайомлення кожному, що дозволяє покупцеві МЕ отримати попередню картину стосовно продукту, внесеного до реєстру або його аналога, ще до покупки. Варто зауважити, що в деяких кодах апаратного забезпечення в документі є пропуски, не всі одиниці були вчасно внесені в загальний список. Це може призвести до спотворення інформації.

В даний час не всі розробники міжмережевих екранів можуть сертифікувати свій продукт, так як він має невідповідність вимогам РД Російської Федерації. Однією з найпоширеніших причин, по якій можна отримати відмову у сертифікації — відсутність функції, що дозволяє проводити фільтрацію трафіку на транспортному та мережевому рівнях (мається на увазі, як комплексний підхід, так і розгляд кожного рівня окремо). Такі МЕ контролюють мережеві пакети виключно на прикладному рівні, що в значній мірі знижує ефективність функціонування міжмережевого екрану як комплексного апаратного забезпечення. Такий продукт легкий у розробці, не вимагає при цьому значних часових та матеріальних витрат. Брандмауер з такими «вузькими» характеристиками має шанс на сертифікацію на відсутність НДВ, однак при проведенні сертифікації саме поняття «міжмережевий екран» не розглядається.

Звідси випливає висновок, що згідно з вимогами щодо сертифікації засобів захисту інформації — міжмережевий екран повинен бути сертифікований, як міжмережевий екран певного класу — на відповідність РД ФСТЕК. Так як сертифікація на відсутність НДВ або можливість застосування в АС/ИСПДн/ІВ в даному випадку не дає коректну оцінку розглянутому СЗІ, в якості брандмауера.

Якщо замовнику не настільки важливо суворе відповідність МЕ певного класу захищеності, що повинно бути відображено у сертифікаті, він не вимагає при купівлі даний документ. Це актуально в деяких галузях, які використовують засоби захисту інформації, які не пройшли перевірку раніше.

Якщо продукт проходить сертифікацію за ТУ, що відображає чіткі вимоги керівних документів щодо управління вхідними/вихідними інформаційними потоками, його функціонал перевіряється. В даний час ФСТЕК не вважає подібні міжмережеві екрани сертифікованим як продукти общеопределенных класів захисту інформації.

Для замовника важливо звертати увагу на перераховані вище нюанси ще до придбання міжмережевого екрану, не сподіваючись виключно на порядність і компетентність виробника. Заздалегідь потрібно ознайомитися з нормативними документами, що дозволяють зрозуміти механізм перевірки МЕ на відповідність нормам.

При виникненні підозр у наявності функцій, прописаних у сертифікаті, можна звернутися в ФСТЕК для проведення повторної сертифікації продукту, яка підтвердить його справжність або спростує її. Додатково вивчіть особливості чинної системи сертифікації, щоб надалі не було проблем з продуктом. На користувача апаратного забезпечення лежить основний тягар відповідальності.

У разі збою функціонування МЕ або його неефективності, що відбулося через відсутність потрібних функцій, виникнуть питання не до розробника брандмауера, а до адміністратора МЕ або покупцю продукту, вчасно не проверившему його справжність.

Проводити сертифікацію засобів захисту інформації (зокрема міжмережеві екрани) можуть виключно спеціальні акредитовані і федеральні державні органи по сертифікації. Після надходження заявки на випробування системи кермо правління передаються у випробувальні центри, які мають необхідний рівень сертифікації, а також специфічну матеріально технічну базу, що дозволяє проводити подібні випробування апаратних систем захисту інформації. В окремих випадках, можливо проводити випробування МЕ на базі заявника, але цей процес відбувається з дозволу федерального органу під його строгим контролем. Справжність виданого сертифіката може бути перевірена в інших лабораторіях, якщо у регулятора виникли сумніви щодо правдоподібності результатів дослідження.

Замість висновку

В якості основи побудови системи міжмережевий захисту інформації використовуються міжмережеві екрани. На сьогоднішній день існує не одна сотня родин міжмережевих екранів, що призводить до ускладнення проведення процедури сертифікації у зв'язку з визначенням рівня міжмережевого екрану по відношенню до РД ФСТЕК Росії. Набір методик, що застосовується в даний час і є типовим і, як правило, він розробляється окремо для кожного випробуваного міжмережевого екрану в окремій випробувальної лабораторії. Подібні методики сертифікаційних випробувань носять схематичний характер, і це призводить до ускладнення оптимізації дій з оцінки відповідності застосовуваних засобів міжмережевий захисту та комп'ютерних мереж.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.