Фстэк информационное сообщение межсетевые экраны

Обновлено: 28.06.2024

Требования применяются к программным и программно-техническим средствам, реализующим функции контроля и фильтрации в соответствии с заданными правилами проходящих через них информационных потоков и используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации ограниченного доступа.

Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление обязательной сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.

Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, организуемых ФСТЭК России в пределах своих полномочий.

В Требованиях выделены следующие типы межсетевых экранов:

межсетевой экран уровня сети (тип "А") – межсетевой экран, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Межсетевые экраны типа "А" могут иметь только программно-техническое исполнение;

межсетевой экран уровня логических границ сети (тип "Б") – межсетевой экран, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы. Межсетевые экраны типа "Б" могут иметь программное или программно-техническое исполнение;

межсетевой экран уровня узла (тип "В") – межсетевой экран, применяемый на узле (хосте) информационной системы. Межсетевые экраны типа "В" могут иметь только программное исполнение и устанавливаются на мобильных или стационарных технических средствах конкретного узла информационной системы;

межсетевой экран уровня веб-сервера (тип "Г") – межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Межсетевые экраны типа "Г" могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;

межсетевой экран уровня промышленной сети (тип "Д") – межсетевой экран, применяемый в автоматизированной системе управления технологическими или производственными процессами. Межсетевые экраны типа "Д" могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, IndustrialEthernet и (или) иные протоколы).

Для дифференциации требований к функциям безопасности межсетевых экранов выделяются шесть классов защиты межсетевых экранов. Самый низкий класс – шестой, самый высокий – первый.

Межсетевые экраны, соответствующие 6 классу защиты, применяются в государственных информационных системах 3 и 4 классов защищенности*, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровней защищенности персональных данных***.

Межсетевые экраны, соответствующие 5 классу защиты, применяются в государственных информационных системах 2 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных**.

Межсетевые экраны, соответствующие 4 классу защиты, применяются в государственных информационных системах 1 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных***, в информационных системах общего пользования II класса****.

Межсетевые экраны, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Таким образом, с 1 декабря 2016 г. разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать Требованиям.

С 1 декабря 2016 г. сертификация, а также инспекционный контроль серийного производства межсетевых экранов будут осуществляться только на соответствие Требованиям. В связи с этим с 1 июля 2016 г. ФСТЭК России не принимаются к рассмотрению заявки на сертификацию межсетевых экранов на соответствие иным требованиям.

Межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие Требованиям.

*** Устанавливается в соответствии Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г., N 1119.

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Обзор документа

Приказом ФСТЭК России от 9 февраля 2016 г. № 9 установлено, что Требования к межсетевым экранам применяются с 1 декабря 2016 г. В этой связи в адрес ФСТЭК России поступают вопросы об особенностях разработки, производства, поставки и применения сертифицированных по требованиям безопасности информации межсетевых экранов. Кроме того, данные вопросы обсуждаются специалистами в области защиты информации на различных форумах и электронных площадках в сети Интернет.

Учитывая характер наиболее часто обсуждаемых вопросов и в целях разъяснения позиции ФСТЭК России в связи с утверждением Требований к межсетевым экранам, считаем целесообразным сообщить следующее.

1. По вопросу разработки и производства межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации.

С 1 декабря 2016 г. в системе сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 сертификация разработанных и (или) производимых межсетевых экранов осуществляется на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.

Серийное производство сертифицированных межсетевых экранов осуществляется в соответствии с выданными на них сертификатами соответствия требованиям по безопасности информации.

Таким образом, допускается производство и поставка межсетевых экранов, сертифицированных на соответствие требованиям руководящего документа "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (далее - РД МЭ), при наличии на них действующих сертификатов соответствия требованиям по безопасности информации.

2. По вопросу применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации.

Применение средств защиты информации, включая межсетевые экраны, в информационных (автоматизированных) системах регламентируется Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. № 31, а также Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. № 21.

Возможность применения конкретной модели межсетевого экрана в информационной (автоматизированной) системе определяется действующим на него сертификатом соответствия требованиям по безопасности информации.

В настоящее время в соответствии с указанными выше нормативными правовыми актами в информационных (автоматизированных) системах могут применяться межсетевые экраны, сертифицированные на соответствие требованиям РД МЭ.

Кроме того, подготовлены соответствующие изменения в Требования к обеспечению защиты информации, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31, и в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21, предусматривающие также необходимость применения в автоматизированных системах управления и информационных системах персональных данных межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.

В соответствии Указом Президента Российской Федерации от 23 мая 1996 г. № 763 "О порядке опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти" нормативные правовые акты федеральных органов исполнительной власти вступают в силу по истечении 10 дней после дня их официального опубликования.

Исходя из общих принципов норм права по действию во времени, изданные в установленном порядке нормативные правовые акты не имеют обратной силы и применяются к отношениям, возникшим после вступления актов в силу.

Таким образом, в информационных (автоматизированных) системах, созданных до вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17, Требования к обеспечению защиты информации, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21, допускается применение межсетевых экранов, сертифицированных на соответствие РД МЭ (при условии наличия действующих сертификатов соответствия требованиям по безопасности информации).

В ходе эксплуатации информационных (автоматизированных) систем у операторов в рамках работ по поддержанию функционирования инфраструктуры может возникнуть потребность в устранении уязвимостей, ошибок и неисправностей в применяемых межсетевых экранах, которые сертифицированы на соответствие РД МЭ, в том числе приводящих к необходимости замены межсетевых экранов на аналогичные сертифицированные модели.

В этих целях допускается применение аналогичных моделей межсетевых экранов, которые сертифицированы на соответствие РД МЭ, при условии наличия на них действующих сертификатов соответствия, а также при условии отсутствия технической возможности их замены на межсетевые экраны, сертифицированные на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.

3. По вопросу аттестации информационных (автоматизированных) систем на соответствие требованиям по безопасности информации, в которых применяются сертифицированные межсетевые экраны.

Аттестация информационных (автоматизированных) систем (в зависимости от их типа) проводится на соответствие Требованиям о защите информации, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17, Требованиям к обеспечению защиты информации, утвержденным приказом ФСТЭК России от 14 марта 2014 г. № 31, Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных, утвержденным приказом ФСТЭК России от 18 февраля 2013 г. № 21.

При проведении аттестации в информационных (автоматизированных) системах должны применяться средства защиты информации, в том числе межсетевые экраны, сертифицированные по соответствующим классам защиты, предусмотренным указанными выше нормативными правовыми актами.

Таким образом, аттестация информационных (автоматизированных) систем после вступления в силу соответствующих изменений в Требования о защите информации, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17, Требования к обеспечению защиты информации, утвержденные приказом ФСТЭК России от 14 марта 2014 г. № 31, Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. № 21, возможна только в случае применения в них межсетевых экранов, сертифицированных на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. № 9.

Допускается проведение повторной аттестации (после окончания срока действия аттестата соответствия) информационной (автоматизированной) системы, в которой применяются межсетевые экраны, сертифицированные на соответствие требованиям РД МЭ, при условии наличия на них действующих сертификатов соответствия.

Заместитель директора
ФСТЭК России

В. Лютиков

Обзор документа

С 1 декабря 2016 г. в системе сертификации средств защиты информации по требованиям безопасности N РОСС RU.0001.01БИ00 сертификация разработанных и (или) производимых межсетевых экранов осуществляется на соответствие специальным требованиям, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9.

При этом допускается производство и поставка межсетевых экранов, сертифицированных на соответствие требованиям руководящего документа "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации". Необходимо наличие действующих сертификатов.

Также допускается применение экранов, которые сертифицированы на соответствие РД МЭ, при условии наличия на них действующих сертификатов соответствия, а также при условии отсутствия технической возможности их замены на межсетевые экраны, сертифицированные по новым требованиям.

Аттестация новых рабочих мест возможна только с межсетевым экраном, сертифицированным по новым требованиям.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Обычно у компании есть внутренняя сеть: серверы, компьютеры сотрудников, маршрутизаторы. В этой сети хранится конфиденциальная информация: корпоративная тайна, персональные данные, данные сотрудников. Внутренняя сеть соединяется с глобальным интернетом, и это опасно — злоумышленники могут использовать такое соединение, чтобы похитить данные.

Для защиты устанавливают межсетевые экраны — программы или устройства, которые охраняют границы корпоративной сети. Расскажем, как они работают и зачем выбирать экраны, сертифицированные ФСТЭК.

Что такое межсетевой экран

У межсетевых экранов бывают стандартные настройки — например, он может блокировать все входящие подключения или исходящие пакеты от определенных приложений. Для корпоративных целей экраны, как правило, настраивают дополнительно — задают протоколы, порты, разрешения для приложений. Обычно этим занимается системный администратор или специалист по информационной безопасности.

Классический межсетевой экран не изучает передаваемые данные, не ищет вредоносный код, ничего не шифрует и не расшифровывает. Он работает только с сетевыми параметрами соединения, а точнее — с признаками отдельных IP-пакетов, из которых состоит это соединение, такими как IP-адреса соединяющихся компьютеров и некоторые другие параметры.

Межсетевой экран выступает в качестве барьера между двумя сетями, например, внутренней сетью компании и интернетом. Он защищает от:

Чаще всего межсетевой экран устанавливают на границе корпоративной сети и интернета. Но можно поставить его и внутри корпоративной сети, чтобы создать отдельную, особо защищенную сеть. Например, дополнительно фильтровать трафик к серверам с самыми секретными данными. Кроме того, экран может стоять на отдельном компьютере и защищать только его. В этом случае его иногда называют сетевым (а не межсетевым), однако по классификации ФСТЭК он также будет относиться к межсетевым экранам.

Ниже мы рассматриваем варианты МЭ, которые отражены в документации ФСТЭК — это классические серверные и десктопные экраны. Поэтому мы не рассматриваем все современные варианты МЭ: брандмауэры для смартфонов, средства фильтрации трафика для беспроводных соединений, а также современные устройства для более сложной фильтрации, чем по признакам сетевых соединений (IP-пакетов), такие как DPI.

Итак, переходим к вариантам межсетевых экранов, описанным в документации ФСТЭК.

Какие бывают межсетевые экраны по документации ФСТЭК

Межсетевые экраны бывают двух видов: аппаратные и программные. Они выполняют одинаковые функции, но работают немного по-разному:

Программно-аппаратные комплексы (ПАК), или аппаратные МЭ — специальные устройства или компоненты роутеров, на которых установлено фильтрующее программное обеспечение. Все железо и ПО внутри этого устройства специализировано на фильтрации трафика и нескольких смежных задачах, дополнительные программы на аппаратный МЭ поставить нельзя. Это снижает уязвимость такого устройства к атакам и позволяет обеспечивать защищенность более высокого класса.
Программные МЭ — программное обеспечение на сервере, которое занимается фильтрацией трафика. По сути, это то же ПО, что установлено в аппаратном МЭ, но оно устанавливается на сам сервер.

Аппаратные МЭ обычно стоят на границе сети, например, там, где внутренняя сеть подключается к интернету. Программные стоят на узлах самой внутренней сети, то есть защищают непосредственно компьютеры и серверы.

Аппаратные МЭ дороже, но надежнее, обеспечивают более серьезную защиту. Программные дешевле, но менее надежны — есть риск, что трафик от злоумышленника успеет навредить сети. Кроме того, программные межсетевые экраны часто настолько нагружают компьютер, на который установлены, что там ничего больше нельзя установить. Из-за этого для них иногда выделяют отдельный сервер — и этот сервер фактически играет роль аппаратного межсетевого экрана.

Межсетевой экран можно развернуть и на облачном сервере. Его можно расположить на границе логической локальной сети в облаке точно так же, как физический МЭ можно расположить на границе физической корпоративной сети. Такой МЭ будет фильтровать соединения на границе виртуальной частной сети.

Кому и зачем нужен межсетевой экран, сертифицированный ФСТЭК

Если компания хранит персональные данные, то, согласно 152-ФЗ, она обязана обеспечить им защиту. Чтобы защищать данные в соответствии с требованиями закона, компании нужно использовать средства защиты, сертифицированные ФСТЭК. Такой сертификат подтверждает, что программа или устройство действительно надежно защищает данные. ФСТЭК сертифицирует в том числе межсетевые экраны — как программные, так и аппаратные.

То есть, если вы храните в базах данных информацию о своих сотрудниках или клиентах, вы работаете с персональными данными, а значит, обязаны обеспечить им защиту. Иногда это подразумевает, что нужно задействовать сертифицированный ФСТЭК межсетевой экран.

Сертификат ФСТЭК также может подтвердить, что МЭ подходит для защиты государственной тайны. Так что компании, которые хранят такие сведения, тоже обязаны использовать только сертифицированные межсетевые экраны.

Если вы не храните гостайну или персональные данные, необязательно устанавливать именно сертифицированный ФСТЭК межсетевой экран. Но если вы заботитесь о секретности ваших данных, при выборе экрана имеет смысл обратить внимание на сертификат — он подтвердит, что выбранный МЭ действительно надежный.

Виды межсетевых экранов по классификации ФСТЭК

Для сертификации межсетевого экрана ФСТЭК определяет его профиль защиты. Профиль нужно знать, чтобы понять, в какой конкретно системе, с какими целями и для защиты каких данных можно использовать этот экран.

К каждому профилю есть конкретные технические требования, а сам профиль зависит от двух параметров: типа МЭ и его класса защиты.

Типы межсетевых экранов по ФСТЭК:

Классы защиты межсетевых экранов по ФСТЭК:

6 класс — самый низший, подходит для работы с персональными данными 3 и 4 уровня защищенности. Про уровни защищенности персональных данных мы рассказывали в статье об ИСПДн.
5 класс — подходит для работы с данными 2 уровня защищенности.
4 класс — подходит для работы с данными 1 уровня защищенности.
1, 2 и 3 класс — необходим для работы с гостайной.

Комбинация типа и класса защиты определяет профиль защиты каждого конкретного межсетевого экрана. И именно от профиля зависят технические требования к МЭ.

Получается, что профилей защиты всего 24. На сайте ФСТЭК выложены требования к 15 профилям — ко всем, кроме тех, что требуют 1, 2 и 3 уровня защиты. Эти профили — закрытая информация, так как они используются для хранения гостайны.

В Требованиях выделены следующие типы межсетевых экранов:

Читайте также: