ФСТЕК: вимоги до файрволам

Отже, відбулася довгоочікувана подія і ФСТЕК РФ в доповнення до раніше випущеними Профілів антивірусного захисту випустив (точніше виклав на сайте) і вимоги до міжмережевих екранів. У тому числі програмним для встановлення на робочі станції. На жаль викладені не всі документи — традиційно викладені Профілі четвертого, п'ятого і шостого класу захисту. Інші класи захисту описуються в документах з грифом ДСК та широкій публіці недоступні.

Що ж повинні вміти міжмережеві екрани на думку ФСТЕК?

Згідно Інформаційному повідомленню «Про затвердження методичних документів, що містять профілі захисту міжмережевих екранів» від 12 вересня 2016 р. N 240/24/4278 розроблені Профілі захисту типів:

  • міжмережевий екран рівня мережі (тип «А») – міжмережевий екран, застосовуваний на фізичній кордоні (периметрі) інформаційної системи або між фізичними кордонами сегментів інформаційної системи. Міжмережеві екрани типу «А» можуть мати тільки програмно-технічне виконання;
  • міжмережевий екран рівня логічних меж мережі (тип «Б») – міжмережевий екран, застосовуваний на логічній кордоні (периметрі) інформаційної системи або між логічними межами сегментів інформаційної системи. Міжмережеві екрани типу «Б» можуть мати програмний або програмно-технічний виконання;
  • міжмережевий екран рівня вузла (тип «В») – міжмережевий екран, застосовуваний на сайті (хості) інформаційної системи. Міжмережеві екрани типу «В» можуть мати лише програмне виконання і встановлюються на мобільних або стаціонарних технічних засобах конкретного вузла інформаційної системи;
  • міжмережевий екран рівня веб-сервера (тип «М») – міжмережевий екран, застосовуваний на сервері, що обслуговує сайти, веб-служби і веб-додатки, або фізичної границі сегмента таких серверів сервера). Міжмережеві екрани типу «М» можуть мати програмний або програмно-технічне виконання і повинні забезпечувати контроль і фільтрацію інформаційних потоків за протоколом передачі гіпертексту, що проходять до веб-сервера і від веб-сервера;
  • міжмережевий екран рівня промислової мережі (тип «Д») – міжмережевий екран, застосований в автоматизованій системі управління технологічними або виробничими процесами. Міжмережеві екрани типу «Д» можуть мати програмний або програмно-технічне виконання і повинні забезпечувати контроль і фільтрацію промислових протоколів передачі даних (Modbus, Profibus, CAN, HART, Industrial Ethernet і (або) інші протоколи).
Для типів А, Б і В є вимоги до міжмережевих екранів від першого до шостого класу захисту, для типів Г і Д — тільки від шостого до четвертого

Насамперед про рівні захищеності. Згідно Інформаційному повідомленню «Про затвердження Вимог до міжмережевих екранів» від 28 квітня 2016 р. No 240/24/1986
Міжмережеві екрани, відповідні 6 класу захисту, застосовуються в державних інформаційних системах 3 і 4 класів захищеності*, в автоматизованих системах управління виробничими і технологічними процесами 3 класу захищеності**, в інформаційних системах персональних даних при необхідності забезпечення 3 і 4 рівнів захищеності персональних даних***.

Міжмережеві екрани, відповідні 5 класу захисту, застосовуються в державних інформаційних системах 2 класу захищеності*, в автоматизованих системах управління виробничими і технологічними процесами 2 класу захищеності***, в інформаційних системах персональних даних при необхідності забезпечення 2 рівня захищеності персональних даних**

Міжмережеві екрани, відповідні 4 класу захисту, застосовуються в державних інформаційних системах 1 класу захищеності*, в авто матизированных системах управління виробничими і технологічними процесами 1 класу захищеності**, в інформаційних системах персональних даних при необхідності забезпечення 1 рівня захищеності персональних даних***, в інформаційних системах загального користування II класу****.

Міжмережеві екрани, відповідні 3, 2 і 1 класів захисту, що застосовуються в інформаційних системах, в яких обробляється інформація, що містить відомості, складові державну таємницю.

* Встановлюється у відповідності з Вимогами про захист інформації, яка не становить державну таємницю, міститься в державних інформаційних системах, затвердженими наказом ФСТЕК Росії від 11 лютого 2013 р. No17.

** Встановлюється у відповідності з Вимогами до забезпечення захисту інформації в автоматизованих системах керування виробничими та технологічними процесами на критично важливих об'єктах, потенційно небезпечних об'єктах, а також об'єктах, що становлять підвищену небезпеку для життя і здоров'я людей і для навколишнього природного середовища, затверджених наказом ФСТЕК Росії від 14 березня 2014 р. No 31.

*** Встановлюється відповідно Вимог до захисту персональних даних при їх обробці в інформаційних системах персональних даних, затвердженими постановою Уряду Російської Федерації від 1 листопада 2012р., No 1119.

**** Встановлюється у відповідності з Вимогами про захист інформації, що міститься в інформаційних системах загального користування, затвердженими наказом ФСБ Росії і ФСТЕК Росії від 31августа 2010 р. No 416/489.
Можна передбачити, що як у випадку з антивірусами сертифікованих продуктів для класів захисту нижче четвертого не буде. Тому розглянемо Профіль захисту для четвертого класу захисту. Потрібно сказати, що вимоги для усіх типів досить схожі, тому для прикладу вимог візьмемо Профіль типу В (якщо буде інтерес, можна додати відмінності для інших типів). Даний профіль доступний тут

Що є міжмережевий екран відповідно до Профілю?
програмне засіб, що реалізує функції контролю і фільтрації у відповідності з заданими правилами, що проходять через нього інформаційних потоків.
Згідно Профілю МЕ повинен протидіяти наступним загроза безпеці інформації:

  • несанкціонований доступ до інформації, що міститься в інформаційній системі у зв'язку з наявністю неконтрольованих мережевих підключень до інформаційної системи;
  • відмова в обслуговуванні інформаційної системи та (або) її окремих компонентів у зв'язку з наявністю неконтрольованих мережевих підключень, уразливими мережевих протоколів, недоліками налаштування механізмів захисту, уразливими в програмному забезпеченні програмно-апаратних засобів ІС. Тут цікавий спосіб реалізації загрози — «встановлення не передбачених технологією обробки інформації в інформаційній системі мережевих з'єднань з інформаційною системою та (або) її окремими компонентами для відправки безлічі мережевих пакетів (запитів) до заповнення ними мережевий смуги пропускання каналу передачі даних або відправлення спеціально сформованих аномальних мережевих пакетів (запитів) великих розмірів або нестандартної структури». Виходить, що МЕ повинен мати засоби захисту від DDoS? Дивно, що інших можливостей реалізації загрози встановлення недозволених сполук немає;
  • несанкціонована передача інформації з інформаційної системи у інформаційно-телекомунікаційні мережі або інші інформаційні системи у зв'язку з впровадженням шкідливого програмного забезпечення для несанкціонованої надсилання інформації, що захищається на засоби обчислювальної техніки порушника або відправкою інформації, що захищається на засоби обчислювальної техніки порушника користувачем інформаційної системи;
  • несанкціоноване вплив на МЕ, метою якого є порушення його функціонування, включаючи подолання або обхід його функцій безпеки у зв'язку з відправкою спеціально сформованих мережевих пакетів на інтерфейси МЕ.
У тому числі в МЕ повинні бути реалізовані наступні функції безпеки:

  • контроль і фільтрація;
  • ідентифікація та аутентифікація;
  • реєстрація подій безпеки (аудит);
  • забезпечення безперебійного функціонування і відновлення;
  • тестування і контроль цілісності;
  • управління (адміністрування);
  • взаємодія з іншими засобами захисту інформації — сертифікованими на відповідність вимогам безпеки інформації з відповідного класу захисту.
Розкриємо ці вимоги більш докладно:

  • МЕ повинен «здійснювати фільтрацію мережевого трафіку для відправників інформації, одержувачів інформації і всіх операцій переміщення контрольованої МЕ інформації до вузлів інформаційної системи і від них». При цьому фільтрація повинна поширюватися на всі операції переміщення через МЕ інформації до вузлів інформаційної системи і від них». Якщо перша частина вимог цілком логічна, то друга утопічна, так як вимагає розкриття файрволом всіх протоколів і будь-яких недокументованих можливостей переміщення інформації (наприклад передачі інформації шкідливими програмами через DNS).

    Цікаво, що в розділі FW_ARP_EXT.2 уточнюється, що МЕ повинен мати можливість блокування недозволеного інформаційного потоку за протоколом передачі гіпертексту — про інших протоколах немає вказівок. Повинен МЕ блокувати передачу інформації по ним? До речі, цілком можливо, що цей пункт потрапив у документ з Профілю типу Р — там досить багато уваги приділяється саме цим протоколом;
  • МЕ повинен здійснювати фільтрацію за такими ознаками: мережевий адресу вузла відправника, мережна адреса вузла одержувача, мережевий протокол, транспортний протокол, порти джерела і одержувача в межах сеансу (сесії), дозволені (заборонені) команди, дозволений (заборонений) мобільний код, дозволені (заборонені) протоколи прикладного рівня. МЕ також повинен мати можливість «здійснювати політику фільтрації пакетів з урахуванням керуючих команд від взаємодіючих з МЕ засобів захисту інформації інших видів». Також МЕ повинен мати можливість визначати, що здійснює з'єднання і призначати для нього дозвільні та (або) заборонні атрибути безпеки з метою подальшого здійснення фільтрації;
  • МЕ повинен мати можливість здійснювати перевірку кожного пакета з таблиці станів для визначення того, чи не суперечить стан (статус, тип) пакета очікуваного стану»;
  • МЕ повинен мати можливість здійснювати перевірку використання мережевих ресурсів, що містять мобільний код, для якого адміністратором МЕ встановлені дозвільні або заборонні атрибути безпеки». Чи означає це, що МЕ повинен мати можливість віддаленої перевірки мережевих ресурсів ", що містять окремі типи мобільного коду "? Дивна вимога, застосовне більше до антивірусам. Швидше за все це повинна бути окрема операція, вироблена за запитом. За результатами перевірки МЕ повинен мати можливість дозволяти та забороняти доступ до таких ресурсів;
  • МЕ повинен мати «можливість дозволяти/забороняти інформаційний потік, грунтуючись на результатах перевірок». Не уточнюється, на підставі яких перевірок повинен заборонятися або вирішуватися інформаційний потік. Логічно було б, якщо б заборони або дозволу були на рівні визначених правил;
  • МЕ повинен мати можливість реєстрації та обліку виконання перевірок інформації мережевого трафіку, так і можливість читання таких записів — в тому числі з можливістю пошуку й фільтрації. У відповідності з Профілем повинні реєструватися події ", які згідно з національним стандартом Російської Федерації ГОСТ Р ІСО/МЕК 15408-2-2013 «Інформаційна технологія. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 2. Функціональні компоненти безпеки» включені в базовий рівень аудиту";
  • МЕ повинен підтримувати ролі адміністраторів і можливість ідентифікації і аутентифікації адміністратора для виконання дозволених даного адміністратору дій;
  • МЕ повинен мати можливість створення і призначення різних профілів (налаштувань);
  • МЕ повинен мати можливість ведення таблиці станів кожного з'єднання із зазначенням його статусу;
  • МЕ повинен мати «можливість забезпечення переходу в режим аварійної підтримки, який надає можливість повернення МЕ до штатного режиму функціонування» і «можливість тестування (самотестування) функцій безпеки МЕ (контроль цілісності виконуваного коду МЕ)»;
  • МЕ повинен мати можливість здійснювати видачу попереджувальних повідомлень користувачеві МЕ», дають можливість «здійснити блокування доступу до засобів обчислювальної техніки».
Загалом все. Вимоги до функціоналу закінчуються на сторінці 28 і до кінця документа (розміром 78 сторінок) йдуть повтор раніше написаного та вимоги до процедур з випуску, документування та підтримці.

В профілі вказується, що функціональні вимоги безпеки для МЕ складено на основі вимог ГОСТ Р ІСО/МЕК 15408-2-2013 «Інформаційна технологія. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 2. Функціональні компоненти безпеки» і досить сильно нагадують вимоги Профілів антивірусного захисту.

На жаль у відкриту частину не потрапили схеми, які вказують, де повинен розташовуватися сертифікований МЕ типу Ст. Але навіть зі списку функціоналу видно, що захист домашніх машин користувачів мобільних користувачів, а також захист мобільних пристроїв ФСТЭК'ом на даний момент не розглядається.

У зв'язку з тим, що МЕ, призначені для захисту робочих станцій і попадають під тип часто мають функціонал захисту від вторгнень, цікаво мати вимоги і до цього функціоналу. У розглянутих Профілях таких вимог немає, але вони є у Методичному документі ФСТЕК «Заходи захисту інформації в державних інформаційних системах». Згідно з даним документом МЕ:
  • антивірусний захист і захист від спаму повинні застосовуватися на засобах міжмережевого екранування (вимоги АВЗ.1 і ОЦЛ.4)
  • в інформаційній системі повинна здійснюватися кластеризація засобів захисту інформації (у випадках, коли це технічно можливо), включаючи кошти міжмережевого екранування
  • виявлення (запобігання) вторгнень повинно здійснюватися на зовнішньому кордоні інформаційної системи (системи виявлення вторгнень рівня мережі) і (або) на внутрішніх вузлах (системи виявлення вторгнень рівня вузла) сегментів інформаційної системи автоматизованих робочих місцях, серверах і інших вузлах), які визначаються оператором
Вказується, що засоби захисту від вторгнень повинні мати можливість аналізу трафіку, оновлення правил і централізованого управління. Правила повинні мати можливість редагування.

Отже, що ми маємо? На перший погляд базова функціональність персонального файрвола описана. Але:

  • незважаючи на те, що даний тип МЕ повинен застосовуватися в складі інформаційної системи — вимог щодо централізованого управління немає. Потрібно тільки забезпечити надійний канал управління у складі середовища функціонування. Нагадаємо, що в профілях антивірусних рішень є окремі профілі для централізовано керованих рішень і для окремо розташованих;
  • Незважаючи на вимогу фільтрації сполук від конкретних додатків — немає вимог щодо наявності баз профілів додатків. Без таких баз правил адміністратору доведеться налаштовувати кожне нове з'єднання. Не є добре і зручно;
  • Немає вимог щодо режимів роботи — все заборонено/дозволено/режим навчання. Передбачається налаштовувати кожне з'єднання по одному?;
  • Немає списку контрольованих протоколів. Згадується тільки один — HTTP. Скажімо як контролювати з'єднання з затвердженими протоколами (типу DNS), потрібно фільтрувати з'єднання, инкапсулирующиеся в дозволені протоколи — питань багато;

    джерело картинки
  • Немає вимог по функціоналу захисту від мережевих атак. Природно очікувати всередині мережі DDoS не варто, але повідомлення від скажімо перебору портів річ не надто потрібна. По суті зараз більшість персональних файрволів мають такий функціонал. Питання не пусте. За будь-яку сертифікацію беруть гроші й досить великі. Але про це трохи нижче;
  • Незважаючи на вимогу наявності процедур оновлення — у функціоналі немає вимог щодо наявності функцій оновлень. Не будемо говорити про уразливості, але ті ж шкідливі програми не стоять на місці і список використовуваних ними протоколів змінюється;
  • Зовсім незрозуміле вимога щодо взаємодії з іншими засобами захисту. Єдиного протоколу для засобів захисту немає — хоча виробники тих же SIEM від нього не відмовилися б. Можливо це вимога під конкретний продукт? Можливо це вимога під МЕ з антивірусним плагіном. Але такі продукти не складають більшість на ринку. Як правило справа йде навпаки — для захисту станцій ставляться антивіруси з модулем файрвола;
  • Повідомлення повинні відправлятися користувачам. Навіщо вони їм в корпоративній мережі? Зазвичай такі повідомлення йдуть адміністраторам, а для користувачів ховаються. Немає вимог по типам повідомлень адміністраторам — або вони повинні на думку ФСТЕК цілодобово сидіти за моніторами робочих станцій, чекаючи повідомлень?
За вимогами ФСТЕК з 1 грудня 2016 р. розробляються, виробляються і поставляються міжмережеві екрани повинні відповідати описаним в Профілях вимогам. Міжмережеві екрани, встановлені до 1 грудня 2016 р., можуть експлуатуватися без проведення повторної сертифікації на відповідність вимогам.

І тут споживачів чекає засідка. До виходу Профілів для захисту робочих станцій було використовувати сертифікований антивірус, в складі якого йшов файрвол — як компонент антивіруса теж сертифікований. Тепер так не можна. Виходить або виробникам антивіруса платити ще одну вартість сертифікації (і відбивати її звичайно) — а надалі можливо і ще одну за СОВ або користувачам купувати три окремих продукту — і тим самим вимагати від керівництва збільшення бюджету. Можливості для виробників антивірусів розширити сертифікат не передбачено, а значить варіантів не так багато:

  • закладати в бюджет кошти і на сертифікований антивірус і на сертифікований МЕ;
  • продовжити раніше куплений сертифікований антивірус на багато років вперед, оскільки раніше закуплені МЕ можуть продовжувати використовуватися;
  • сподіватися, що ФСТЕК одумається.
Пячаль в будь-яких варіантах.

До 1 грудня залишилося небагато, цікаво, хто встигне провести сертифікацію
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.