Антивирус 6 класса защиты
Вопросы «Соответствуют ли ваши продукты требованиям профилей антивирусной защиты?» и «Сертифицированы ли вы по требованиям профилей. » поступают регулярно. Только через меня их проходит несколько в неделю. На самом деле, как правило, сам по себе именно сертифицированный продукт клиенту не нужен — он слышал, что в его информационной системе нужно использовать именно сертифицированный продукт и думает, что допустимо использовать только сертифицированные по требованиям Профилей программные продукты. Ну или профиль организации требует использования только сертифицированного.
Декларируется, что данные требования разработаны в соответствии с «Общими критериями». Требования применяются к ПО, используемой для защиты информации, содержащей сведения, составляющие государственную тайну или иной информации с ограниченным доступом.
Существенно, что требования включают как непосредственно требования к средствам антивирусной защиты, так и требования к функциям безопасности средств антивирусной защиты.
Установлено шесть классов защиты средств антивирусной защиты. Требования ужесточаются (на самом деле по функционалу несущественно) от шестого класса к первому. Самый низкий класс – шестой, самый высокий – первый. В открытом доступе находятся требования с 6го до 4го уровней включительно. Требования к остальным уровням в открытый доступ не выкладываются, имеют уровень секретности — ДСП. Предоставляются по запросу.
САВЗ 6го класса защиты, применяются в информационных системах персональных данных 3 и 4 классов, 5й класс защиты предназначен для ИСПДн 2 класса, а САВЗ, соответствующие 4 классу защиты, применяются в государственных информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, и в ИСПДн 1 класса, а также в информационных системах общего пользования II класса.
Средства антивирусной защиты, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
- тип «А» – предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах). САВЗ данного типа не применяются самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов «Б» и (или) «В». То есть использовать сертифицированную систему централизованного управления для работы с несертифицированными средствами защиты нельзя;
- тип «Б» – предназначенные для применения на серверах информационных систем;
- тип «В» – предназначенные для применения на автоматизированных рабочих местах информационных систем;
- тип «Г» – предназначенные для применения на автономных автоматизированных рабочих местах.
Поскольку наиболее часто требуется обеспечить централизованную защиту рабочих станций, то рассмотрим требования к САВЗ типа «В» 4го класса защиты (обозначаемого как ИТ.САВЗ.В4.ПЗ) — максимального из выложенных открыто.
Основными угрозами, для противостояния которым используются САВЗ типа «В», являются угрозы, связанные с внедрением в информационные системы из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена (сетей связи общего пользования) и(или) съемных машинных носителей информации, вредоносных компьютерных программ (вирусов) (КВ).
Забегая вперед — в документе не описано ни одной функции, позволяющей противостоять внедрению вредоносной программы при работе в локальной сети или сети Интернет.
Кстати говоря, для типа «Г» угрозы из сети интернет считаются неактуальными. И это по сути единственное отличие ИТ.САВЗ.Г4.ПЗ от ИТ.САВЗ.В4.ПЗ.
И сразу грубейшая ошибка. Система обороны не закладывается на типовую ситуацию, когда необходимо устранять вредоносные программы, уже проникшие на защищаемые компьютеры. Видимо создатели Профилей предполагают, что те же антивирусы должны знать все, пытающееся проникнуть, а это нереально.
- разграничение доступа к управлению САВЗ;
- управление установкой обновлений (актуализации) базы данных признаков вредоносных компьютерных программ (вирусов) (БД ПКВ) САВЗ;
- аудит безопасности САВЗ;
- выполнение проверок объектов воздействия;
- обработка объектов воздействия.
Судя по списку предполагается, что САВЗ состоит только из чистого антивируса. Никаких ограничений прав, контроля за исполняемыми процессами нет в принципе в качестве средства защиты не предполагается. То есть защиты от неизвестных антивирусу угроз нет. Грустно.
- обеспечение доверенной связи (маршрута) между САВЗ и пользователями;
- обеспечение доверенного канала получения обновлений САВЗ;
- обеспечение условий безопасного функционирования;
- управление атрибутами безопасности.
Достаточно важный список, требующий наличия канала обновлений и самозащиты. К сожалению возможность автоматического получения обновлений в закрытых сетях проблематична и/или не предусматривается при их создании.
Антивирусная защита – защита информации и компонентов информационной системы (ИС) от вредоносных компьютерных программ (вирусов) (обнаружение вредоносных компьютерных программ (вирусов), блокирование, изолирование «зараженных» объектов, удаление вредоносных компьютерных программ (вирусов) из «зараженных» объектов).
И еще одна грубейшая ошибка. Решив перечислить все возможные действия антивирусной программы создатели профилей загнали себя в ловушку. Список полный — не допускает расширения, но если его прочитать, то видно, что операции удаления вредоносной программы в нем нет! А значит работа антивируса с (например) троянами не предусматривается!
Средство антивирусной защиты – программное средство, реализующее функции обнаружения компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирования на обнаружение этих программ и информации.
Если антивирус сможет только посылать уведомления — это будет достаточно для того, что бы данный функционал подошел под требование «реагирование»?
- выполнение проверки с целью обнаружения зараженных КВ объектов в файловых областях носителей информации;
Что есть выполнение проверки? Файловый монитор? Антивирусный сканер? Утилита разбора файлов вручную?
Что есть файловые области? Файловая система включает не только файлы, но и скажем (для NTFS) стримы — там тоже могут прятаться вирусы. А поверка служебных областей, MBR и тд?
- возможность выполнения проверок с целью обнаружения зараженных КВ объектов по команде;
- выполнение проверки с целью обнаружения зараженных КВ объектов сигнатурными методами;
То есть только известных вирусов. Никаких полиморфных вредоносных объектов. Никаких несигнатурных методов. Без комментариев.
- получение и установка обновлений БД ПКВ без применения средств автоматизации;
Актуально для внутренней сети. Действительно нужно, но странно выглядит на фоне требования доверенного канала до серверов обновления.
- генерация записи аудита для событий, подвергаемых аудиту;
- возможность чтения информации из записей аудита;
- ограничение доступа к чтению записей аудита;
- поиск, сортировку, упорядочение данных аудита;
Лично мое мнение, что не дело это для отдельно стоящей машины. Такие вещи нужно выполнять средством централизованного управления. Ну да ладно.
- возможность уполномоченным пользователям (ролям) управлять режимом выполнения функций безопасности САВЗ;
- возможность уполномоченным пользователям (ролям) управлять параметрами настройки функций безопасности САВЗ;
- поддержку определенных ролей для САВЗ и их ассоциации с конкретными администраторами безопасности и пользователями ИС.
Для краткости не будем рассматривать требования, относящиеся к логированию, защите от изменений настроек, возможности разграничения доступа и тд. Остановимся только на функционале, непосредственно обеспечивающем защиту.
3.2. Угрозы безопасности информации
3.2.1. Угрозы, которым должен противостоять объект оценки
Угроза-1
1. Аннотация угрозы – внедрение КВ в автоматизированные рабочие места ИС при осуществлении информационного взаимодействия с внешними информационно-телекоммуникационными сетями, в том числе сетями международного информационного обмена (сетями связи общего пользования).
Угроза-2
1. Аннотация угрозы – внедрение КВ в автоматизированные рабочие места ИС со съемных машинных носителей информации.
Список угроз очень краткий. Например не рассматривается угроза атаки (распространения вирусов) по локальной сети.
3.3. Политика безопасности организации
Объект оценки должен следовать приведенным ниже правилам политики безопасности организации.
Политика безопасности-1
Должны быть обеспечены надлежащие механизмы регистрации и предупреждения о любых событиях, относящихся к возможным нарушениям безопасности. Механизмы регистрации должны предоставлять уполномоченным на это субъектам ИС возможность выборочного ознакомления с информацией о произошедших событиях.
Политика безопасности-5
Объект оценки должен обеспечивать выполнение проверок с целью обнаружения зараженных КВ объектов в заданных областях памяти и файлах.
То есть все же антивирус видимо должен выполнять только периодические проверки или проверки по запросу. Проверка различного типа служебных областей не предусмотрена.
Политика безопасности-6
Объект оценки должен обеспечивать возможность установки режимов выполнения проверок с целью обнаружения зараженных КВ объектов.
Политика безопасности-7
Объект оценки должен обеспечивать возможность удаления (если удаление технически возможно) кода КВ из зараженных объектов.
Цель безопасности-5. Выполнение проверок объектов
Объект оценки должен обеспечивать выполнение проверок с целью обнаружения зараженных КВ объектов.
Цель безопасности-6. Режимы выполнения проверок
Объект оценки должен обеспечивать возможность установки режимов выполнения проверок с целью обнаружения зараженных КВ объектов.
Цель безопасности-7. Обработка зараженных объектов
Объект оценки должен обеспечивать возможность удаления (если удаление технически возможно) кода КВ из зараженных объектов.
Дальше по документу идут описания функционала с зависимостями (если они имеются). По сути еще раз повторяется написанное ранее.
5.1.1. Функциональные требования безопасности ОО
5.1.1.3. Проверки объектов заражения (FAV_DET_EXT)
FAV_DET_EXT.1 Базовое обнаружение КВ
FAV_DET_EXT.1.1 ФБО должны выполнять проверки с целью обнаружения КВ в файловых областях носителей информации, [назначение: другие объекты].
Зависимости отсутствуют.
5.1.1.4. Методы проверок объектов заражения (FAV_MTH_EXT)
FAV_MTH_EXT.1 Методы анализа
FAV_MTH_EXT.1.1 ФБО должны выполнять проверки с целью обнаружения КВ в объектах с использованием сигнатурных методов, [назначение: другие методы].
FAV_MTH_EXT.2 Выполнение проверок
FAV_MTH_EXT.2.1 ФБО должны выполнять проверки с целью обнаружения зараженных КВ объектов по команде [назначение: уполномоченные роли] [назначение: другие режимы выполнения проверок].
5.1.1.5. Обработка объектов, подвергшихся воздействию (FAV_ACT_EXT)
FAV_ACT_EXT.1 Удаление КВ
FAV_ACT_EXT.1.1 При обнаружении КВ функции безопасности САВЗ должны выполнять удаление КВ из файлов, системных областей носителей информации [назначение: другие объекты].
5.1.1.6. Обновление БД ПКВ (FAV_UPD_EXT)
FAV_UPD_EXT.1 Обновление БД ПКВ
FAV_UPD_EXT.1.1 ФБО должны обеспечивать получение и установку обновлений БД ПКВ локально без применения средств автоматизации и [назначение: другие режимы выполнения обновлений].
Все! Как мы видим в качестве антивируса нам предлагают использовать антивирусный сканер конца прошлого века — без возможности обнаружения например полиморфных вирусов.
- Созданная в соответствии с требованиями профилей система защиты 4го класса не способна противостоять неизвестным угрозам. Скажем пока не дошедшим до аналитиков вредоносным программам;
- Созданная в соответствии с требованиями Профилей система защиты не способна противостоять заражению каким-либо способом;
- Созданная в соответствии с требованиями Профилей система защиты не способна удалить пропущенные, ранее неизвестные вредоносные программы;
- Список угроз, на которые должна реагировать система защиты, не включает многие известные угрозы;
- Система защиты не предусматривает удаления из зараженной системы вредоносных программ, не имеющих механизма заражения — например троянов.
Напомним, что 4й класс защиты это ИСПДн 1 класса. Что говорится — без комментариев. Единственный плюс в том, что если кому необходимо использовать сертифицированное средство защиты, но полная антивирусная защита на самом деле не требуется или она невозможна, то можно реализовать защиту в соответствии с этим профилем.
Если интересно, то в следующей статье можно рассмотреть, какими же требованиями заполнен типичный профиль защиты (для ИТ.САВЗ.В4.ПЗ/ ИТ.САВЗ.Г4.ПЗ размер документа составляет порядка 48 страниц).
Важно!
Информация в приведённых таблицах актуальна на дату публикации. Текущие действующие сертификаты ФСТЭК можно посмотреть в соответствующем Реестре ФСТЭК. Также по возможности актуализируется информация в Каталоге средств защиты информации.
Требования (профили защиты) к системам обнаружения вторжений (СОВ) были утверждены Приказом ФСТЭК России №638 от 6 декабря 2011 года и для четвёртого, пятого и шестого классов защиты.
Всего было введено два типа систем обнаружения вторжений (СОВ):
- СОВ уровня сети: Датчики (сенсоры) собирают информацию о пакетах данных, передаваемыхв пределах информационной системы(ИС) (сегмента ИС), в которой (котором) установлены эти датчики. Датчики СОВ уровня сети могут быть реализованы в виде программного обеспечения (ПО), устанавливаемого на стандартные программно-технические платформы, а также в виде программно-технических устройств, подключаемых к ИС (сегменту ИС);
- СОВ уровня узла: Датчики СОВ уровня узла представляют собой программные модули, устанавливаемые на защищаемые узлы информационной системы (ИС) и предназначенные для сбора информации о событиях, возникающих на этих узлах.
Помимо двух типов СОВ определены 6 классов защиты для них: чем выше класс (1 — самый высокий), тем больше к ним требований и тем в более высокого класса систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ) они могут применяться.
КЛАСС ЗАЩИТЫ | СОВ УРОВНЯ СЕТИ | СОВ УРОВНЯ УЗЛА |
---|---|---|
1 | ИТ.СОВ.С1.ПЗ | ИТ.СОВ.У1.ПЗ |
2 | ИТ.СОВ.С2.ПЗ | ИТ.СОВ.У2.ПЗ |
3 | ИТ.СОВ.С3.ПЗ | ИТ.СОВ.У3.ПЗ |
4 | ИТ.СОВ.С4.ПЗ | ИТ.СОВ.У4.ПЗ |
5 | ИТ.СОВ.С5.ПЗ | ИТ.СОВ.У5.ПЗ |
6 | ИТ.СОВ.С6.ПЗ | ИТ.СОВ.У6.ПЗ |
На момент публикации данного поста в реестре ФСТЭК присутствует 22 сертификата с упоминанием профилей защиты СОВ и 19 из них выданы на серию (3 - на ограниченную партию изделий).
Ниже приведены все доступные на сегодня сертифицированные серией по текущим требованиям ФСТЭК системы обнаружения вторжений, сгруппированные по типам.
Важно! Информация в приведённых таблицах актуальна на дату публикации. Текущие действующие сертификаты ФСТЭК можно посмотреть в соответствующем Реестре ФСТЭК. Также по возможности актуализируется информация в Каталоге средств защиты информации.
Средства антивирусной защиты типа «В»
- 3025 - программное изделие Kaspersky Endpoint Security 10 для Windows
- 3509 - Dr.Web Enterprise Security Suite
- 3907 - средство защиты информации Kaspersky Industrial CyberSecurity for Nodes
- 2485 - Программное изделие Kaspersky Endpoint Security 10 для Linux (для защиты конфиденциальной информации)
- 3243 - программное обеспечение ESET NOD32 Secure Enterprise Pack (версия 5)
- 3745 - средство защиты информации Secret Net Studio
- 3754 - программное изделие Kaspersky Endpoint Security 10 для Android
- 3883 - программное изделие Kaspersky Security для виртуальных сред 4.0 Легкий агент
- 3884 - программное изделие Kaspersky Security для виртуальных сред 4.0 Защита без агента
Системы обнаружения вторжений уровня узла
Класс защиты | № сертификата - Система обнаружения вторжений уровня узла |
ИТ.СОВ.У1.ПЗ | отсутствуют |
ИТ.СОВ.У2.ПЗ | 3856 - программный комплекс обнаружения вторжений Ребус-СОВ |
ИТ.СОВ.У3.ПЗ | отсутствуют |
ИТ.СОВ.У4.ПЗ | 2720 - Система защиты информации от несанкционированного доступа Dallas Lock 8.0-K 2945 - Система защиты информации от несанкционированного доступа Dallas Lock 8.0-С 3232 - HP TrippingPoint (скорее всего речь о TippingPoint) 3745 - cредство защиты информации Secret Net Studio 3802 - система обнаружения вторжений ViPNet IDS HS |
ИТ.СОВ.У5.ПЗ | отсутствуют |
ИТ.СОВ.У6.ПЗ | отсутствуют |
Сетевых СОВ представлено много (14 штук), есть как отчественные решения, так и зарубежные (правда, последние только 4 и 5 классов защиты). А вот СОВ уровня узла лишь 6 вариантов и все, кроме Ребус-СОВ (у него класс 2), имеют только 4 класс защиты.
Пожалуй, стоит обратить внимание ещё вот на какой момент (спасибо Алексею Лукацкому за идею) - версия продукта, на которую выдан сертификат.
В случае с отечественными решениями, которые почти все в ином, отличном от сертифицированного виде не существуют и не продаются, это не так важно, а вот для зарубежных продуктов - дело совсем другое.
Так, если верить, пресс-релизу Trend Micro от июня 2017 года, сертификат 3232 выдан на “программно-аппаратный комплекс Trend Micro TippingPoint серий N и NX с операционной системой TOS версия 3.9.0 и системой управления Security Management System версия 4.5.0”, что, согласно документу TippingPoint End of Life (EOL) dates, означает, что данное сертифицированное решение хоть и не последней версии, но, по крайней мере, является поддерживаемым.
Нужно, правда, отметить, что в тексте пресс-релиза в отношении сертификата 3232 говорится о том, что он выдан на СОВ уровня сети, но в реестре ФСТЭК указано, что сертификат 3232 выдан для СОВ уровня узла (ИТ.СОВ.У4.ПЗ), да и вообще - на некий “HP TrippingPoint”.
Сертификат уровня сети на TippingPoint в реестре ФСТЭК всё же есть - это сертификат 3481. Беда только в том, что (если верить реестру) сертификат 3481 выдан на “программно-аппаратный комплекс HP TippingPoint серий N и NX с операционной системой TOS версия 3 и системой управления SMS версия 3”, т.е. на устаревшую и неподдерживаемую с марта 2016 систему управления.
Пресс-релиз и реестр ФСТЭК противоречат друг другу и можно было бы верить реестру, но в нём тоже есть ошибки: упомянутый TrippingPoint или тот же САВ3.ИТ с цифрой 3 вместо буквы З (писал про него в июле, пока так и не исправили). Оригиналы сертификатов ФСТЭК просит не публиковать, так что “The Truth Is Out There” (с)
У другого нероссийского вендора Check Point, к сожалению, сертифицирована версия (R77.10), официально снятая с поддержки год назад.
Наконец, у Cisco сертифицирована “система обнаружения вторжений Cisco ASA FirePOWER версии 6.2”, являющаяся актуальной, что и понятно - сертификат был получен только в марте этого года.
Кстати, в отчёте NSS Labs 2017 Security Value Map (SVM) for Next Generation Intrusion Prevention Systems (NGIPS) от ноября прошлого года фигурируют такие модели и версии продуктов упомянутых производителей:
- Check Point Software Technologies 15600 R77.30
- Cisco FirePOWER 8350 v6.2.0.1
- Fortinet FortiGate 600D v5.4.5
- Trend Micro 7500NX v3.9.2.4784
Итоговая таблица по версиям неотечественных продуктов выглядит так (для Trend Micro требуется уточнение номера сертифицированной версии):
ПРОИЗВОДИТЕЛЬ | СЕРТИФИЦИРОВАНО | СТАТУС | В ОТЧЁТЕ NSS LABS | ТЕКУЩАЯ ВЕРСИЯ |
---|---|---|---|---|
Check Point | R77.10 | Снята с поддержки | R77.30 | R80.10 |
Cisco | FirePOWER 6.2 | Актуальна | FirePOWER 6.2.0.1 | FirePOWER 6.2.3 |
Fortinet | 5.4.1 | Поддерживается | 5.4.5 | 6.0 |
Trend Micro | NX 3* | Поддерживается* | NX 3.9.2.4784 | NX 3.9.3 |
Trend Micro | SMS 3* | Снята с поддержки* | - | SMS 5.1.0 |
В качестве пожелания авторам и составителям реестра ФСТЭК отмечу, что было бы здорово в реестре видеть в явном виде сертифицированную версию продукта с детализацией хотя бы до одной цифры после точки для всех средств защиты информации.
Ну, и ошибок, которых, понятно, не избежать на 100%, хотелось бы поменьше.
Важно!
Информация в приведённых таблицах актуальна на дату публикации. Текущие действующие сертификаты ФСТЭК можно посмотреть в соответствующем Реестре ФСТЭК. Также по возможности актуализируется информация в Каталоге средств защиты информации.
Данный пост является логичным продолжением предыдущего: МЭ, сертифицированные по новым требованиям, где были рассмотрены существующие на данный момент межсетевые экраны, сертифицированные по требованиям ФСТЭК от 12 сентября 2016 года.
Требования (профили защиты) к средствам антивирусной защиты (или проще - антивирусам) были утверждены уже достаточно давно - 14 июня 2012 года, вступив в силу с 01 августа того же 2012 года. Так что новыми их назвать можно, конечно, уже с очень большой натяжкой =)
Данные требования ввели четыре типа средств антивирусной защиты (САВЗ):
- САВЗ типа «А» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах);
- САВЗ типа «Б» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на серверах информационных систем;
- САВЗ типа «В» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автоматизированных рабочих местах информационных систем;
- САВЗ типа «Г» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автономных автоматизированных рабочих местах.
Примечание: Средства антивирусной защиты типа «А» не применяются в информационных системах самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов «Б» и (или) «В».
Помимо типов определены 6 классов защиты: чем выше класс (1 - самый высокий), (тем больше к ним требований и) тем в более высокого класса систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ) они могут применяться.
Класс защиты / Тип средства | 6 | 5 | 4 | 3 | 2 | 1 |
САВЗ типа «А» | ИТ.САВЗ. А6.ПЗ | ИТ.САВЗ. А5.ПЗ | ИТ.САВЗ. А4.ПЗ | ИТ.САВЗ. А3.ПЗ | ИТ.САВЗ. А2.ПЗ | ИТ.САВЗ. А1.ПЗ |
САВЗ типа «Б» | ИТ.САВЗ. Б6.ПЗ | ИТ.САВЗ. Б5.ПЗ | ИТ.САВЗ. Б4.ПЗ | ИТ.САВЗ. Б3.ПЗ | ИТ.САВЗ. Б2.ПЗ | ИТ.САВЗ. Б1.ПЗ |
САВЗ типа «В» | ИТ.САВЗ. В6.ПЗ | ИТ.САВЗ. В5.ПЗ | ИТ.САВЗ. В4.ПЗ | ИТ.САВЗ. В3.ПЗ | ИТ.САВЗ. В2.ПЗ | ИТ.САВЗ. В1.ПЗ |
САВЗ типа «Г» | ИТ.САВЗ. Г6.ПЗ | ИТ.САВЗ. Г5.ПЗ | ИТ.САВЗ. Г4.ПЗ | ИТ.САВЗ. Г3.ПЗ | ИТ.САВЗ. Г2.ПЗ | ИТ.САВЗ. Г1.ПЗ |
На момент публикации в реестре ФСТЭК присутствует 21 сертификат с упоминанием профилей защиты ИТ.САВЗ и все они выданы на серию, а не на ограниченную партию изделий.
Ниже приведены все доступные на сегодня сертифицированные по текущим требованиям антивирусы, сгруппированные по типам.
Средства антивирусной защиты типа «А»
Средства антивирусной защиты типа «Г»
- 3025 - программное изделие Kaspersky Endpoint Security 10 для Windows
- 3509 - Dr.Web Enterprise Security Suite
- 3597 - Электронный замок Витязь версия 2.2
- 2485 - Программное изделие Kaspersky Endpoint Security 10 для Linux (для защиты конфиденциальной информации)
- 3243 - программное обеспечение ESET NOD32 Secure Enterprise Pack (версия 5)
- 3745 - средство защиты информации Secret Net Studio
- 3774 - Программное обеспечение McAfee Web Gateway (версия 7.x)
Больше всего выданных сертификатов, как видно выше, у решений от Лаборатории Касперского. Почти на каждое решение - свой отдельный сертификат. Можно назвать это гибкостью, а можно излишней запутанностью - смотря как посмотреть (с). У того же Dr.Web Enterprise Security Suite сертификат один и сразу на все типы от А до Г, да и класс высокий - второй (первого, к слову, вообще нет ни у кого). Правда, решение от Доктор Веб не для всех случаев есть в сертифицированном варианте (той же поддержки Android не заявлено).
Кстати, пока изучал реестр ФСТЭК, обнаружил ошибку - в описании двух продуктов в сокращении “САВЗ.ИТ” вместо буквы “З” была использована цифра “3”, так что обнаружить их удалось практически только чудом =) Об ошибке я сообщил, надеюсь, оперативно поправят.
Нероссийских сертифицированных по текущим требованиям антивирусов в реестре только два: ESET и McAfee. А среди российских есть ещё два сертифицированных “комбайна”:
-
, являющийся и антивирусом, и межсетевым экраном, и средством контроля подключения съемных машинных носителей информации, и даже средством обнаружения вторжений; , представляющий собой довольно-таки любопытное сочетание средства доверенной загрузки и антивируса типа Г (для автономных автоматизированных рабочих мест).
В целом - есть из чего выбрать (6 производителей), если стоит задача установить сертифицированный антивирус, хотя, конечно, тех же межсетевых экранов в реестре гораздо больше. Впрочем, МЭ и в целом на (несертифицированном) рынке больше, чем антивирусов - такая уж специфика.
Требования к средствам антивирусной защиты применяются к программным средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом.
Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.
Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, организуемых ФСТЭК России в пределах своих полномочий.
Требования к средствам антивирусной защиты включают общие требования к средствам антивирусной защиты и требования к функциям безопасности средств антивирусной защиты.
Для дифференциации требований к функциям безопасности средств антивирусной защиты установлено шесть классов защиты средств антивирусной защиты. Самый низкий класс – шестой, самый высокий – первый.
Средства антивирусной защиты, соответствующие 6 классу защиты, применяются в информационных системах персональных данных 3 и 4 классов * .
Средства антивирусной защиты, соответствующие 5 классу защиты, применяются в информационных системах персональных данных 2 класса * .
Средства антивирусной защиты, соответствующие 4 классу защиты, применяются в государственных информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, в информационных системах персональных данных 1 класса * , а также в информационных системах общего пользования II класса ** .
Средства антивирусной защиты, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
Также выделяются следующие типы средств антивирусной защиты:
тип "А" – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах);
тип "Б" – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на серверах информационных систем;
тип "В" – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автоматизированных рабочих местах информационных систем;
тип "Г" – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автономных автоматизированных рабочих местах.
Средства антивирусной защиты типа "А" не применяются в информационных системах самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов "Б" и (или) "В".
Детализация требований к функциям безопасности, установленным Требованиями, а также взаимосвязи этих требований приведены для каждого класса и типа средств антивирусной защиты в профилях защиты, утвержденных 14 июня 2012 г. ФСТЭК России в качестве методических документов в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
Спецификация профилей защиты средств антивирусной защиты для каждого типа средства антивирусной защиты и класса защиты средства антивирусной защиты приведена в таблице.
Итак, произошло долгожданное событие и ФСТЭК РФ в дополнение к ранее выпущенным Профилям антивирусной защиты выпустил (точнее выложил на сайте) и требования к межсетевым экранам. В том числе программным для установки на рабочие станции. К сожалению выложены не все документы — традиционно выложены Профили четвертого, пятого и шестого класса защиты. Остальные классы защиты описываются в документах с грифом ДСП и широкой публике недоступны.
-
межсетевой экран уровня сети (тип «А») – межсетевой экран, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Межсетевые экраны типа «А» могут иметь только программно-техническое исполнение;
Межсетевые экраны, соответствующие 6 классу защиты, применяются в государственных информационных системах 3 и 4 классов защищенности*, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровней защищенности персональных данных***.
Межсетевые экраны, соответствующие 5 классу защиты, применяются в государственных информационных системах 2 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных**
Межсетевые экраны, соответствующие 4 классу защиты, применяются в государственных информационных системах 1 класса защищенности*, в авто матизированных системах управления производственными и технологическими процессами 1 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных***, в информационных системах общего пользования II класса****.
Межсетевые экраны, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
* Устанавливается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. No17.
** Устанавливается в соответствии с Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. No 31.
*** Устанавливается в соответствии Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012г., No 1119.
**** Устанавливается в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31августа 2010 г. No 416/489.
Можно предсказать, что как в случае с антивирусами сертифицированных продуктов для классов защиты ниже четвертого не будет. Поэтому рассмотрим Профиль защиты для четвертого класса защиты. Нужно сказать, что требования для всех типов достаточно похожи, поэтому для примера требований возьмем Профиль типа В (если будет интерес, можно будет добавить отличия для иных типов). Данный профиль доступен здесь
Что есть межсетевой экран согласно Профилю?
программное средство, реализующее функции контроля и фильтрации в соответствии с заданными правилами проходящих через него информационных потоков.
Согласно Профилю МЭ должен противодействовать следующим угроза безопасности информации:
-
несанкционированный доступ к информации, содержащейся в информационной системе в связи с наличием неконтролируемых сетевых подключений к информационной системе;
- контроль и фильтрация;
- идентификация и аутентификация;
- регистрация событий безопасности (аудит);
- обеспечение бесперебойного функционирования и восстановление;
- тестирование и контроль целостности;
- управление (администрирование);
- взаимодействие с другими средствами защиты информации — сертифицированными на соответствие требованиям безопасности информации по соответствующему классу защиты.
-
МЭ должен «осуществлять фильтрацию сетевого трафика для отправителей информации, получателей информации и всех операций перемещения контролируемой МЭ информации к узлам информационной системы и от них». При этом фильтрация должна распространяться «на все операции перемещения через МЭ информации к узлам информационной системы и от них». Если первая часть требований вполне логична, то вторая утопична, так как требует раскрытия файрволом всех протоколов и любых недокументированных возможностей перемещения информации (например передачи информации вредоносными программами через DNS).
Интересно, что в разделе FW_ARP_EXT.2 уточняется, что МЭ должен иметь возможность по блокированию неразрешенного информационного потока по протоколу передачи гипертекста — о иных протоколах нет указаний. Должен ли МЭ блокировать передачу информации по ним? Кстати вполне возможно, что данный пункт попал в документ из Профиля типа Г — там достаточно много внимания уделяется именно этому протоколу;
К сожалению в открытую часть не попали схемы, указывающие, где должен располагаться сертифицированный МЭ типа В. Но даже из списка функционала видно, что защита домашних машин пользователей, мобильных пользователей, а также защита мобильных устройств ФСТЭК'ом на данный момент не рассматривается.
В связи с тем, что МЭ, предназначенные для защиты рабочих станций и попадающие под тип В часто имеют функционал защиты от вторжений, интересно иметь требования и к этому функционалу. В рассмотренных Профилях таких требований нет, но они есть в Методическом документе ФСТЭК «Меры защиты информации в государственных информационных системах». Согласно данному документу МЭ:
-
антивирусная защита и защита от спама должны применяться на средствах межсетевого экранирования (требования АВЗ.1 и ОЦЛ.4);
Итого, что мы имеем? На первый взгляд базовая функциональность персонального файрвола описана. Но:
-
Несмотря на то, что данный тип МЭ должен применяться в составе информационной системы — требований по централизованному управлению нет. Требуется только обеспечить доверенный канал управления в составе среды функционирования. Напомним, что в профилях антивирусных решений есть отдельные профили для централизованно управляемых решений и для отдельно стоящих;
источник картинки
И тут потребителей ожидает засада. До выхода Профилей для защиты рабочих станций можно было использовать сертифицированный антивирус, в составе которого шел файрвол — как компонент антивируса тоже сертифицированный. Теперь так нельзя. Получается или производителям антивируса платить еще одну стоимость сертификации (и отбивать ее конечно) — а дальнейшем возможно и еще одну за СОВ или пользователям покупать три отдельных продукта — и тем самым требовать от руководства увеличения бюджета. Возможности для производителей антивирусов расширить сертификат не предусмотрено, а значит вариантов не так много:
- закладывать в бюджет средства и на сертифицированный антивирус и на сертифицированный МЭ;
- продлить ранее купленный сертифицированный антивирус на много лет вперед, так как ранее закупленные МЭ могут продолжать использоваться;
- надеяться, что ФСТЭК одумается.
До 1 декабря осталось немного, интересно, кто успеет провести сертификацию
Средства антивирусной защиты типа «Б»
- 2474 - программное изделие Антивирус Касперского для Proxy Server 5.5
- 2534 - изделие Антивирус Касперского 8.0 для Linux File Servers
- 2840 - программное изделие Kaspersky Security 8.0 для Linux Mail Server
- 3025 - программное изделие Kaspersky Endpoint Security 10 для Windows
- 3424 - программное изделие Kaspersky Endpoint Security 10 для Mac
- 3483 - Kaspersky Security 8.0 для SharePoint Server
- 3509 - Dr.Web Enterprise Security Suite
- 3676 - программное изделие Kaspersky Security 9.0 для Microsoft Exchange Servers
- 3750 - программное изделие Kaspersky Security 9.0 для SharePoint Server
- 3840 - программное изделие Kaspersky Security 10 для Windows Servers
- 3243 - программное обеспечение ESET NOD32 Secure Enterprise Pack (версия 5)
- 3745 - средство защиты информации Secret Net Studio
- 3864 - программное изделие Kaspersky Secure Mail Gateway
- 3883 - программное изделие Kaspersky Security для виртуальных сред 4.0 Легкий агент
- 3884 - программное изделие Kaspersky Security для виртуальных сред 4.0 Защита без агента
- 3554 - McAfee Advanced Threat Defence
- 3774 - Программное обеспечение McAfee Web Gateway (версия 7.x)
Системы обнаружения вторжений уровня сети
Читайте также: