ФСТЭК: требования к файрволам

    Итак, произошло долгожданное событие и ФСТЭК РФ в дополнение к ранее выпущенным Профилям антивирусной защиты выпустил (точнее выложил на сайте) и требования к межсетевым экранам. В том числе программным для установки на рабочие станции. К сожалению выложены не все документы — традиционно выложены Профили четвертого, пятого и шестого класса защиты. Остальные классы защиты описываются в документах с грифом ДСП и широкой публике недоступны.

    Что же должны уметь межсетевые экраны по мнению ФСТЭК?

    Согласно Информационному сообщению «Об утверждении методических документов, содержащих профили защиты межсетевых экранов» от 12 сентября 2016 г. N 240/24/4278 разработаны Профили защиты типов:

    • межсетевой экран уровня сети (тип «А») – межсетевой экран, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Межсетевые экраны типа «А» могут иметь только программно-техническое исполнение;

    • межсетевой экран уровня логических границ сети (тип «Б») – межсетевой экран, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы. Межсетевые экраны типа «Б» могут иметь программное или программно-техническое исполнение;

    • межсетевой экран уровня узла (тип «В») – межсетевой экран, применяемый на узле (хосте) информационной системы. Межсетевые экраны типа «В» могут иметь только программное исполнение и устанавливаются на мобильных или стационарных технических средствах конкретного узла информационной системы;

    • межсетевой экран уровня веб-сервера (тип «Г») – межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;

    • межсетевой экран уровня промышленной сети (тип «Д») – межсетевой экран, применяемый в автоматизированной системе управления технологическими или производственными процессами. Межсетевые экраны типа «Д» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).

    Для типов А, Б и В имеются требования к межсетевым экранам от первого до шестого класса защиты, для типов Г и Д — только от шестого до четвертого

    Прежде всего об уровнях защищенности. Согласно Информационному сообщению «Об утверждении Требований к межсетевым экранам» от 28 апреля 2016 г. No 240/24/1986.
    Межсетевые экраны, соответствующие 6 классу защиты, применяются в государственных информационных системах 3 и 4 классов защищенности*, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровней защищенности персональных данных***.

    Межсетевые экраны, соответствующие 5 классу защиты, применяются в государственных информационных системах 2 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных**

    Межсетевые экраны, соответствующие 4 классу защиты, применяются в государственных информационных системах 1 класса защищенности*, в авто матизированных системах управления производственными и технологическими процессами 1 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных***, в информационных системах общего пользования II класса****.

    Межсетевые экраны, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

    * Устанавливается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. No17.

    ** Устанавливается в соответствии с Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. No 31.

    *** Устанавливается в соответствии Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012г., No 1119.

    **** Устанавливается в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31августа 2010 г. No 416/489.

    Можно предсказать, что как в случае с антивирусами сертифицированных продуктов для классов защиты ниже четвертого не будет. Поэтому рассмотрим Профиль защиты для четвертого класса защиты. Нужно сказать, что требования для всех типов достаточно похожи, поэтому для примера требований возьмем Профиль типа В (если будет интерес, можно будет добавить отличия для иных типов). Данный профиль доступен здесь

    Что есть межсетевой экран согласно Профилю?
    программное средство, реализующее функции контроля и фильтрации в соответствии с заданными правилами проходящих через него информационных потоков.

    Согласно Профилю МЭ должен противодействовать следующим угроза безопасности информации:

    • несанкционированный доступ к информации, содержащейся в информационной системе в связи с наличием неконтролируемых сетевых подключений к информационной системе;

    • отказ в обслуживании информационной системы и (или) ее отдельных компонентов в связи с наличием неконтролируемых сетевых подключений, уязвимостями сетевых протоколов, недостатками настройки механизмов защиты, уязвимостями в программном обеспечении программно-аппаратных средств ИС. Здесь интересен способ реализации угрозы — «установление не предусмотренных технологией обработки информации в информационной системе сетевых соединений с информационной системой и (или) ее отдельными компонентами для отправки множества сетевых пакетов (запросов) до заполнения ими сетевой полосы пропускания канала передачи данных или отправки специально сформированных аномальных сетевых пакетов (запросов) больших размеров или нестандартной структуры». Получается, что МЭ должен иметь средства защиты от DDoS? Странно, что иных возможностей реализации угрозы установления неразрешенных соединений нет;

    • несанкционированная передача информации из информационной системы в информационно-телекоммуникационные сети или иные информационные системы в связи с внедрением вредоносного программного обеспечения для несанкционированной отправки защищаемой информации на средства вычислительной техники нарушителя или отправкой защищаемой информации на средства вычислительной техники нарушителя пользователем информационной системы;

    • несанкционированное воздействие на МЭ, целью которого является нарушение его функционирования, включая преодоление или обход его функций безопасности в связи с отправкой специально сформированных сетевых пакетов на интерфейсы МЭ.

    В том числе в МЭ должны быть реализованы следующие функции безопасности:

    • контроль и фильтрация;
    • идентификация и аутентификация;
    • регистрация событий безопасности (аудит);
    • обеспечение бесперебойного функционирования и восстановление;
    • тестирование и контроль целостности;
    • управление (администрирование);
    • взаимодействие с другими средствами защиты информации — сертифицированными на соответствие требованиям безопасности информации по соответствующему классу защиты.

    Раскроем эти требования более подробно:

    • МЭ должен «осуществлять фильтрацию сетевого трафика для отправителей информации, получателей информации и всех операций перемещения контролируемой МЭ информации к узлам информационной системы и от них». При этом фильтрация должна распространяться «на все операции перемещения через МЭ информации к узлам информационной системы и от них». Если первая часть требований вполне логична, то вторая утопична, так как требует раскрытия файрволом всех протоколов и любых недокументированных возможностей перемещения информации (например передачи информации вредоносными программами через DNS).

      Интересно, что в разделе FW_ARP_EXT.2 уточняется, что МЭ должен иметь возможность по блокированию неразрешенного информационного потока по протоколу передачи гипертекста — о иных протоколах нет указаний. Должен ли МЭ блокировать передачу информации по ним? Кстати вполне возможно, что данный пункт попал в документ из Профиля типа Г — там достаточно много внимания уделяется именно этому протоколу;

    • МЭ должен осуществлять фильтрацию по следующим признакам: сетевой адрес узла отправителя, сетевой адрес узла получателя, сетевой протокол, транспортный протокол, порты источника и получателя в рамках сеанса (сессии), разрешенные (запрещенные) команды, разрешенный (запрещенный) мобильный код, разрешенные (запрещенные) протоколы прикладного уровня. МЭ также должен иметь возможность «осуществлять политику фильтрации пакетов с учетом управляющих команд от взаимодействующих с МЭ средств защиты информации других видов». Также МЭ должен иметь возможность определять ПО, осуществляющее соединения и назначать для него разрешительные и (или) запретительные атрибуты безопасности с целью последующего осуществления фильтрации;

    • МЭ должен иметь «возможность осуществлять проверку каждого пакета по таблице состояний для определения того, не противоречит ли состояние (статус, тип) пакета ожидаемому состоянию»;

    • МЭ должен иметь «возможность осуществлять проверку использования сетевых ресурсов, содержащих мобильный код, для которого администратором МЭ установлены разрешительные или запретительные атрибуты безопасности». Означает ли это, что МЭ должен иметь возможность удаленной проверки сетевых ресурсов ", содержащих отдельные типы мобильного кода "? Странное требование, применимое больше к антивирусам. Скорее всего это должна выть отдельная операция, производимая по запросу. По результатам проверки МЭ должен иметь возможность разрешать и запрещать доступ к таким ресурсам;

    • МЭ должен иметь «возможность разрешать/запрещать информационный поток, основываясь на результатах проверок». Не уточняется, на основании каких проверок должен запрещаться или разрешаться информационный поток. Логично было бы, если бы запреты или разрешения были на уровне предопределенных правил;

    • МЭ должен иметь как возможность регистрации и учета выполнения проверок информации сетевого трафика, так и возможность чтения таких записей — в том числе с возможностью использования поиска и фильтрации. В соответствии с Профилем должны регистрироваться события ", которые в соответствии с национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» включены в базовый уровень аудита";

    • МЭ должен поддерживать роли администраторов и возможность идентификации и аутентификации администратора для выполнения разрешенных данному администратору действий;

    • МЭ должен иметь возможность создания и назначения различных профилей (настроек);

    • МЭ должен иметь возможность ведения таблицы состояний каждого соединения с указанием его статуса;

    • МЭ должен иметь «возможность обеспечения перехода в режим аварийной поддержки, который предоставляет возможность возврата МЭ к штатному режиму функционирования» и «возможность тестирования (самотестирования) функций безопасности МЭ (контроль целостности исполняемого кода МЭ)»;

    • МЭ должен иметь «возможность осуществлять выдачу предупреждающих сообщений пользователю МЭ», позволяющих возможность «осуществить блокирование доступа к средству вычислительной техники».

    В общем все. Требования к функционалу заканчиваются на странице 28 и до конца документа (размером в 78 страниц) идут повтор ранее написанного и требования к процедурам по выпуску, документированию и поддержке ПО.

    В профиле указывается, что функциональные требования безопасности для МЭ составлены на основе требований ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» и достаточно сильно напоминают требования Профилей антивирусной защиты.

    К сожалению в открытую часть не попали схемы, указывающие, где должен располагаться сертифицированный МЭ типа В. Но даже из списка функционала видно, что защита домашних машин пользователей, мобильных пользователей, а также защита мобильных устройств ФСТЭК'ом на данный момент не рассматривается.

    В связи с тем, что МЭ, предназначенные для защиты рабочих станций и попадающие под тип В часто имеют функционал защиты от вторжений, интересно иметь требования и к этому функционалу. В рассмотренных Профилях таких требований нет, но они есть в Методическом документе ФСТЭК «Меры защиты информации в государственных информационных системах». Согласно данному документу МЭ:

    • антивирусная защита и защита от спама должны применяться на средствах межсетевого экранирования (требования АВЗ.1 и ОЦЛ.4);

    • в информационной системе должна осуществляться кластеризация средств защиты информации (в случаях, когда это технически возможно), включая средства межсетевого экранирования;

    • обнаружение (предотвращение) вторжений должно осуществляться на внешней границе информационной системы (системы обнаружения вторжений уровня сети) и (или) на внутренних узлах (системы обнаружения вторжений уровня узла) сегментов информационной системы (автоматизированных рабочих местах, серверах и иных узлах), определяемых оператором

    Указывается, что средства защиты от вторжений должны иметь возможность анализа трафика, обновления правил и централизованного управления. Правила должны иметь возможность редактирования.

    Итого, что мы имеем? На первый взгляд базовая функциональность персонального файрвола описана. Но:

    • Несмотря на то, что данный тип МЭ должен применяться в составе информационной системы — требований по централизованному управлению нет. Требуется только обеспечить доверенный канал управления в составе среды функционирования. Напомним, что в профилях антивирусных решений есть отдельные профили для централизованно управляемых решений и для отдельно стоящих;

    • Несмотря на требование по фильтрации соединений от конкретных приложений — нет требований по наличию баз профилей приложений. Без таких баз правил администратору придется настраивать каждое новое соединение. Не есть хорошо и удобно;

    • Нет требований по режимам работы — все запрещено/разрешено/режим обучения. Предполагается настраивать каждое соединение по одному?;

    • Нет списка контролируемых протоколов. Упоминается только один — HTTP. Скажем как контролировать соединения по разрешенным протоколам (типа DNS), нужно ли фильтровать соединения, инкапсулирующиеся в разрешенные протоколы — вопросов много;


      источник картинки

    • Нет требований по функционалу защиты от сетевых атак. Естественно ожидать внутри сети DDoS не стоит, но уведомления от скажем перебора портов вещь не слишком ненужная. По сути сейчас большинство персональных файрволов имеют такой функционал. Вопрос не праздный. За любую сертификацию берут деньги — и достаточно большие. Но об этом чуть ниже;

    • Несмотря на требование наличия процедур обновления — в функционале нет требований по наличию функций обновлений. Не будем говорить об уязвимостях, но те же вредоносные программы не стоят на месте и список используемых ими протоколов изменяется;

    • Совершенно непонятное требование по взаимодействию с иными средствами защиты. Единого протокола для средств защиты нет — хотя производители тех же SIEM от него не отказались бы. Возможно это требование под конкретный продукт? Возможно это требование под МЭ с антивирусным плагином. Но такие продукты не составляют большинство на рынке. Как правило дело обстоит наоборот — для защиты станций ставятся антивирусы с модулем файрвола;

    • Сообщения должны отправляться пользователям. Зачем они им в корпоративной сети? Обычно такие уведомления идут администраторам, а для пользователей скрываются. Нет требований по типам уведомлений администраторам — или они должны по мнению ФСТЭК круглосуточно сидеть за мониторами рабочих станций, ожидая уведомлений?

    По требованиям ФСТЭК с 1 декабря 2016 г. разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать описанным в Профилях требованиям. Межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие требованиям.

    И тут потребителей ожидает засада. До выхода Профилей для защиты рабочих станций можно было использовать сертифицированный антивирус, в составе которого шел файрвол — как компонент антивируса тоже сертифицированный. Теперь так нельзя. Получается или производителям антивируса платить еще одну стоимость сертификации (и отбивать ее конечно) — а дальнейшем возможно и еще одну за СОВ или пользователям покупать три отдельных продукта — и тем самым требовать от руководства увеличения бюджета. Возможности для производителей антивирусов расширить сертификат не предусмотрено, а значит вариантов не так много:

    • закладывать в бюджет средства и на сертифицированный антивирус и на сертифицированный МЭ;
    • продлить ранее купленный сертифицированный антивирус на много лет вперед, так как ранее закупленные МЭ могут продолжать использоваться;
    • надеяться, что ФСТЭК одумается.

    Пячаль в любых вариантах.

    До 1 декабря осталось немного, интересно, кто успеет провести сертификацию
    Поделиться публикацией

    Похожие публикации

    Комментарии 57
      0
      программно-техническое исполнение

      там, кстати, не написано, что означает это словосочетание? может они имели в виду «программно-аппаратное»?

      При этом фильтрация должна распространяться «на все операции перемещения через МЭ информации к узлам информационной системы и от них». Если первая часть требований вполне логична, то вторая утопична, так как требует раскрытия файрволом всех протоколов и любых недокументированных возможностей перемещения информации (например передачи информации вредоносными программами через DNS).


      что в этом утопичного? вполне себе вменяемое требование для продукта подобного рода. другое дело, как это реализовать технически.

      Ну а вообще, с такими требованиями, производительность сети… гхм… о какой производительности тут вообще можно говорить? Странные они)
        +1
        Разработчики документов ориентировались на DPI и next-gen firewall, что в принципе оправданно для защиты серьёзной инфраструктуры. Вообще никто не не требует чтобы между сегментами были именно сертифицированные продукты — как модель угроз будет составлена.
        Производительность кажется решалась требованием для периметровых фаерволов уметь разделять нагрузку, емнип.
          0
          Между сегментами — это тип Б. В статье рассмотрен тип В — для установки на рабочие станции. Тут разделение нагрузки не пройдет
            0
            Производительность кажется решалась требованием для периметровых фаерволов уметь разделять нагрузку, емнип

            Возможно. Но вешать все только на программное исполнение — вот это утопичное требование.
            • НЛО прилетело и опубликовало эту надпись здесь
            0
            До выхода Профилей для защиты рабочих станций можно было использовать сертифицированный антивирус, в составе которого шел файрвол — как компонент антивируса тоже сертифицированный.

            — Каким это образом было можно так делать? Это явно не запрещалось большими буквами для тупых, но никак вы не могли в модели угроз указать что у вас антивирусную защиту осуществляет компонент МЭ, не имеющий сертификацию на САВЗ.
            Но видимо многие талантливые люди так делали, потому что Лютиков особенно негодовал и настаивал на включении этого пункта в докуемнты. В итоге теперь разработчики попали на необходимость физического разделения модулей и вырезания вспомогательных модулей из сертифицируемого продукта…

            Возможности для производителей антивирусов расширить сертификат не предусмотрено
            — опять же кто это сказал.
              0
              Именно так, поскольку требований по персональным файрволам не было, то молча разрешалось использование компонента сертифицированного антивируса. На самом делен все было не так страшно. Дело в том, что сертификация по Профилям включает проверку на НДВ. Соответственно файрвол был как минимум сертифицирован по НДВ

              Расширить сертификат можно в процессе ИК, но расширить по функционалу. Включить соответствии иным парофилям — такой процедуры насколько мне известно нет
                0
                Вы не правы по всем пунктам.
                  0
                  Процедура сертификация по профилям антивирусной защиты включает тестирование на отсутствие недекларируемых возможностей. Это как бы прописано в требованиях. Тех же Профилях
                  Если продукт сертифицирован на соответствие одному типу Профилей, то в ходе ИК можно добавить иной класс или уровень защиты этого типа Профилей, но не соответствие иному Профилю, так как сертификация производится на соответствие конкретному Профилю
                  В чем я не прав?
                    0
                    Ну вот практически это не так. НДВ не равно «не сертифицированный функционал»
                      0
                      НДВ вообще не функционал, вы абсолютно правы. Даже наоборот. Это отсутствие недокументированного функционала, если очень грубо
              0
              Естественно сделать можно все. Вопрос сколько будет это стоить. Теоретически можно разобрать любые протоколы и собрать любую информацию. По факту же, если скажем злоумышленники найдут возможность передачи информации через использование стандартного протокола (на уровне пакетов или инкапсуляцией) — сможет используемый файрвол без обновлений отфильтровать ранее неизвестный путь выхода или входа?
                0
                p.s. Схемы были в презентации на зимнем ТБФоруме.
                  0
                  Это не те схемы. В ДСПшной части хорошие схемы, где расписаны где и что по типам нужно ставить. Не понимаю, что там страшного в открытии таких схем.
                  0
                  Остальные классы защиты описываются в документах с грифом ДСП и широкой публике недоступны.

                  МЭ 1-3 классы для защиты государевой тайны, а следовательно и не должны публиковать в открытом доступе, так как данные сведения в соответствии с законом о гос. тайне — должны являться гос. тайной.

                  Можно предсказать, что как в случае с антивирусами сертифицированных продуктов для классов защиты ниже четвертого не будет.


                  Далеко не факт. Различия между классами есть достаточно существенные, а с учетом что подавляющие большинство информационных систем персональных данных (ИСПДн) имеет 3-й уровень защищенности, то МЭ 6 класса вполне хватит для защиты перс. данных в общем случае.

                  Поэтому рассмотрим Профиль защиты для четвертого класса защиты. Нужно сказать, что требования для всех типов достаточно похожи, поэтому для примера требований возьмем Профиль типа В

                  Различия в требованиях есть и они довольно существенны, например в МЭ А4 требуется маскирование сетевых адресов, да и само описание требований, если читать имеет различия.

                  К сожалению в открытую часть не попали схемы, указывающие, где должен располагаться сертифицированный МЭ типа В.

                  А как вы хотели чтоб они попали? У всех сети разные. Требования о наличии МЭ указаны в нормативных документах, например приказы ФСТЭК 17 и 21, во исполнении этих приказов разрабатывается Тех. задание на систему защиты, в котором и указывается размещение МЭ

                  Получается, что МЭ должен иметь средства защиты от DDoS?

                  Кроме DDoS разве нет атак на отказ в обслуживании? А TCP Syn flood?

                  Касательно настроек
                  Нет требований по режимам работы — все запрещено/разрешено/режим обучения. Предполагается настраивать каждое соединение по одному?;

                  Сертифицированные СЗИ настраиваются в соответствии с ТЗ, в котором прописаны все разрешенные информационные потоки. Предпроектная стадия в профилях защиты не рассматривается, да и в общем не должна рассматриваться для данного уровня доверия (ОУД3).

                  И тут потребителей ожидает засада. До выхода Профилей для защиты рабочих станций можно было использовать сертифицированный антивирус, в составе которого шел файрвол — как компонент антивируса тоже сертифицированный.

                  Такого не было и раньше. Если по вашему проекту защиты требовалось применение МЭ, то вы должны были использовать средство защиты информации (СЗИ), на которое есть формуляр в котором указан номер сертификата, в кортом в свою очередь указано что это сертифицированный МЭ. Хочу отметить что раньше были сертифицированные СЗИ имеющие сертификат как антивирус, как МЭ и как СОВ. Но это ни в коем случае не обозначает что можно использовать сертифицированный антивирус как МЭ

                  Пячаль в любых вариантах.

                  Странный вывод, Сертифицированные СЗИ могут использоваться до окончания сроков действия сертификатов, так есть и было всегда. Постулат об использование одного типа СЗИ как другого (антивирус как МЭ) вообще не выдерживает критики.

                  А вообще ФСТЭК молодцы. Да в документах есть баги, да и в общей системе классификации экранов тоже есть нюансы, например почему выделили МЭ типа «Г» для веб-серверов, но не сделали отдельный тип для SQL-серверов. Есть мнение что, планировалось описать МЭ уровня приложений, но по каким-то причинам сделать это не удалось. Но! Данные требования к МЭ являются существенным шагом вперед по сравнению с документами 1995 г.

                    0
                    например в МЭ А4

                    Вот что зря попало в ДСП, так это таблицы по функционалу по классам и уровням защиты. Я не против помещения части информации под ДСП — закон есть закон. Но на мой взгляд часть информации можно было вынести для наглядности.

                    Сертифицированные СЗИ настраиваются в соответствии с ТЗ, в котором прописаны все разрешенные информационные потоки

                    Это утопия:
                    — специалисты на местах не знают как скажем сейчас шифровальщики выходят в интернет. Я бы бы очень за, если бы ФСТЭК поддерживал актуальную модель угроз, по которой можно было бы создавать и поддерживать такое ТЗ. ПО факту же такое ТЗ с учетом не только информационных потоков организации, но и методов работы злоумышленников сейчас отсуствует
                    — на местах квалификация администраторов недостаточна, чтобы провести полноценный аудит. Увы

                    Хочу отметить что раньше были сертифицированные СЗИ имеющие сертификат как антивирус, как МЭ и как СОВ

                    Возможно я что-то пропустил. Какие сертифицированные МЭ были для рабочих станций?

                    Сертифицированные СЗИ могут использоваться до окончания сроков действия сертификатов

                    Я собственно против этого ничего не имею. Я говорю про то, что необходимость иметь два сертифицированных продукта вместо одного — это рост размера бюджета, тогда как по регионам он на этот год срезан процентов на 20
                      0
                      Какие сертифицированные МЭ были для рабочих станций?
                      Office Scan, сертиификат заканчивается в ноябре.
                        0
                        Trend Micro. Не встречал на практике. Спасибо за информацию, изучу
                    0
                    Это утопия:
                    — специалисты на местах не знают…
                    — на местах квалификация администраторов недостаточна ...

                    Это не утопия, это нормальная работа. Другое дело, что за квалификацию нужно платить. Специалисты на местах, администраторы должны имееть соответвующее образование. Просто админ не имеет права заниматься обеспечением ИБ (у госиков),

                    Возможно я что-то пропустил. Какие сертифицированные МЭ были для рабочих станций?

                    Как минимум VIPNET, Континент-АП
                    Сам пользовался http://www.securitycode.ru/products/security_studio_endpoint_protection/ но тут тру печаль, Outpost купил Яндекс, данный продукт походу свернули. На этот софт были самые лучшие сертификаты — как АВ, СОВ и МЭ

                    Я говорю про то, что необходимость иметь два сертифицированных продукта вместо одного — это рост размера бюджета
                    ,
                    Еще раз повторюсь, так было всегда.
                      0
                      Полностью согласен, что за квалификацию нужно платить — с чем сейчас на рынке проблемы. Я не спорю с тем, что должно быть. Я говорю, что по факту.
                      Но даже если есть бюджет — этого мало — нужны знания. Те же методики, курсы, типовые модели угроз. А их сейчас на рынке в области ИБ по сути нет. Теоретически они конечно есть, но я лично не видел ни одной нормальной модели угроз в части вредоносных файлов. Если у вас есть — готов проверить — скидывайте в личку. По моей статистике 19 из 20 организаций не знают вообще о неизвестных угрозах и назначении антивируса

                      Аутпост действительно был. С удовольствием пользовался. Жаль.
                      0
                      Курсы нормальные есть, надо просто понять что вам нужно.
                      Если нужны знания нормативки и методик: УЦ МАСКОМ, Информзащита, АИС, Сюретль — welcome получите корочки которые подойдут для регуляторов.
                      Если нужно качнуть практическую безопасность — PentestIT, кстати они есть на Хабре или буржуйские CEH и др.
                      Главное понимать что за один курс невозможно стать и специалистом по методикам и практическим безопасником.

                      По моей статистике 19 из 20 организаций не знают вообще о неизвестных угрозах и назначении антивируса

                      Очень хотелось бы работать в организации которая знает о неизвестных угрозах, пока что все живем в мире известного :)

                      но я лично не видел ни одной нормальной модели угроз в части вредоносных файлов.

                      И не уведите, так как предметом для моделей является вредоносный код, а не вредоносный файл. Для понимания разницы можно ознакомиться с описанием вируса slammer — это первое.
                      Второе, а что в этой модели вы хотите увидеть? Перечисление всех зловредов? Классификацию зловредов?
                      Это делать бесполезно — даказано историей. Все классификации вирусов, которые когда либо пытались сделать на практике рушатся, поскольку вирусмейкерам глубоко плевать, что их творение не вписываеться в те рамки, которые им придумали «умные дяди».

                      На практике, вредоносный код рассматривается как абстракция, которая имеет функционал нарушающий свойства безопасности информации (целостность, доступность и т.д.).

                      Детализироваться внутрь особого практического смысла не имеет, поскольку по сути нет разницы зашифрует ли ваши данные вирус, или же уничтожит или перешлет куда либо, главное что будут нарушены свойства безопасности информации, для поддержания которых и строится система защиты.

                      Современная практика обеспечения защиты от вредоносного кода базируются на борьбе с проникновением и выполнением вредоносного кода на защищаемом объекте, в вот это достигается уже большим числом способов. Начиная с антивирусов, организацией замкнутой программной среды, блокирование каналов проникновения вредоносного кода (Интернет, флешки) и др.

                      В заключение хочу ответить что модель угроз, сама в себе большого смысла не имеет, она нужна для формирования технического задания на построение системы защиты.
                        0
                        Да не вопрос. Если все известно и есть все курсы — просьба ответить на простой вопрос — зачем нужен антивирус (именно антивирус, а не антивирусная система защиты. Разница есть и существенная) на:
                        — рабочей станции
                        — почтовом сервере
                        — шлюзе
                        Кстати вы уже ошиблись в описании назначения в предпоследнем абзаце. Антивирус не может обеспечить нормального уровня защиты от проникновения
                        0
                        Простой вопрос: зачем нужен антивирус. Ответ на него каждый делает сам.
                        Для меня как потребителя, антивирус является частью комплексной системы защиты от вредоносного кода.

                        Антивирусная защита не является темой статьи.
                          0
                          Ответ на него каждый делает сам.

                          Я бы не сказал. Защита от вредоносного кода — часть должностных обязанностей и в информационной системе и антивирус и МЭ имеют строго определенные роли
                        • НЛО прилетело и опубликовало эту надпись здесь
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • НЛО прилетело и опубликовало эту надпись здесь
                              • НЛО прилетело и опубликовало эту надпись здесь
                                • НЛО прилетело и опубликовало эту надпись здесь
                                    0
                                    Не. Не мы. Мы точно не подавали
                                    0
                                    Остальные классы защиты описываются в документах с грифом ДСП и широкой публике недоступны.

                                    Мне одному это режет глаз? Как бы ДСП — не гриф. Или эта информация тоже теперь «недоступна широкой публике»? ))
                                      0
                                      ДСП — не гриф, это все знают :), это пометка конфиденциальности не имеющая под собой юридической силы.
                                      На текущий момент есть грифы: коммерческая тайна, секретно, сов. секретно, особой важности.

                                      Все это прописано в действующих Федеральных законах и Постановлениях Правительства.
                                        –1
                                        Конечно не гриф. Информация ограниченного распространения. Но огрести за ее утечку можно не меньше, чем за секретную
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                          0
                                          выглядит как документ 199* года, а на дворе 2016.
                                            0
                                            На самом деле документ не плохой. По сравнению с требованиями к антивирусам — даже отличный. Хорошо проработан в частях по документации и аудиту. Но вот в части функционала… Да, тут явно определили только направления
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                      0
                                                      На самом деле то, что вы описали — последствия, а не проблема. Проблема в другом. Посмотрите сопроводительные документы к нашим законам. Да хоть к пакету Яровой. Что там написано? Не требует затрат из бюджета. И рядом в законе прописывается ведомство, которое будет регулятором. Мы вот ругаемся на Роскомнадзор, ФСТЭК и тд. Но предположим вы начальник какой Восьмерки. Вам сверху спустилось требование проверять все организации страны на соблюдение требований к защите согласно закону… + вы должны разработать приказы и иные акты по данной тематике. А бюджета на новые задачи нет. Без затрат из бюджета же. И как? По сути и Роскомнадзор и ФСТЭК вертятся как на сковородке исполняя неисполнимые при числе их сотрудников и их зарплатах задачи. Ни в коем разе не защищаю эти организации, но как бы вы действовали на их месте без бюджета и нужного штата? Проблема увы системная. Почитайте решение о введении проектного управления в правительстве — смех и слезы
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                      0
                                                      До 1 декабря осталось немного, интересно, кто успеет провести сертификацию

                                                      Ну, например компания Эшелон успела с АПК Рубикон )
                                                        0
                                                        Ну А это не спортивно. Это корпоративный межсетевой экран. Такое и по старым требованиям было. Вот бы посмотреть на файрвол для десктопов или веб-серверов

                                                        Таки ждем, что после 1го декабря будут делать с закупками тех же файрволов для десктопов
                                                          0
                                                          Не то, чтобы я хочу заниматься некропостингом, но у ГК Конфидент появился новый сертификат на СЗИ от НСД Dallas Lock 8.0 с функциями МЭ и СОВ.
                                                            0
                                                            Я лично предсказывал, что сертифицироваться будут компоненты типа файрвола, входящие в антивирус. Вопрос цены. Посмотрим
                                                              0
                                                              Цена за 1 лицензию в районе 10.000 рублей.
                                                                0
                                                                Он и раньше не дешевый был
                                                                  0
                                                                  Тут веселье в том, что сейчас все обязаны закупить сертифицированное решение, но мало того, что выбора особо нет, так и денег в бюджет не заложено скорее всего
                                                                    0
                                                                    Не все. Эксплуатируемые на объектах СЗИ, которые были установлены до 1.12.2016 продолжают своё функционирование и не требуют замены. До окончания срока действия их сертификата. А дальше уже — замена.
                                                                  0
                                                                  Пока нет такого желания — очень серьёзные требования.
                                                                    0
                                                                    Согласен, но не удивлюсь, если заказчики будут просить все сертификаты в одном флаконе

                                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                          Самое читаемое