Rambler's Top100
Все новости Новости отрасли
Николай НОСОВ 06 февраля 2017

Требования ФСТЭК: межсетевые экраны, операционные системы и облака

Профили защиты операционных систем типа «А» будут утверждены в течение двух следующих недель. 

Алексей Кубарев

Сертификаты, полученные до 1 декабря 2016 г., не утрачивают свою силу после введения новых требований ФСТЭК к межсетевым экранам. Во ФСТЭК ведутся работы над проектом требований по защите информации обрабатываемой при помощи облачных технологий.

Заместитель начальника отдела ФСТЭК России Алексей Кубарев на прошедшем Большом национальном форуме информационной безопасности «Инфофорум-2017» рассказал о проделанной работе над требованиями по защите информации к операционным системам и межсетевым экранам и о планах регулятора на этот год.

Основные требования были утверждены председате-лем Государственной технической комиссии при Президенте РФ еще в 1992 году (Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Классификация автоматизированных систем и требования по защите информации).

Через пять лет был принят документ, который регламентирует защиту информации при межсетевом взаимодействии (Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации).


В 2012 году работы были продолжены: проведены исследования современных угроз информационной безопасности, изучены зарубежные нормативные требования и принятые стандарты. Проходили консультации с разработчиками межсетевых экранов, чтобы обеспечить баланс между требованиями к защищенности и возможностью их технической реализации. Анализировался опыт организаций, развертывающих системы защиты информационных систем. В результате появились «Требования к межсетевым экранам», которые были утверждены приказом ФСТЭК России от 9 февраля 2016 г. № 9, в марте зарегистрированы Минюстом РФ (регистрационный № 41564) и вступили в силу 1 декабря 2016 года.

Утверждены методические документы, содержащие профили защиты межсетевых экранов  и проведена их типизация: межсетевой экран уровня сети (тип «А») – применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы; межсетевой экран уровня логических границ сети (тип «Б»), где логическая сегментация может обеспечиваться за счет технологий виртуализации или VLAN; межсетевой экран уровня узла (тип «В»); межсетевой экран уровня веб-сервера (тип «Г») – применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения (контроль и фильтрация информационных потоков по протоколу передачи гипертекста); межсетевой экран уровня промышленной сети (тип «Д») – применяемый в автоматизированной системе управления технологическими или производственными процессами.

Требования к операционным системам были утверждены 19 августа 2016 года и вступают в силу в 1 июне 2017 года. Выделяются три типа операционных систем: операционная система общего назначения (тип «А») – операционная система, предназначенная для функционирования на средствах вычислительной техники общего назначения (автоматизированные рабочие места, серверы, смартфоны, планшеты, телефоны); встраиваемая операционная система (тип «Б») – операционная система, встроенная (прошитая) в специализированные технические устройства (компактные узкоспециализированные устройства со сложностью модификации и отсутствием пользовательского интерфейса, например: микрочипы, ПЛИС), предназначенные для решения заранее определенного набора задач; операционная система реального времени (тип «В») – операционная система, предназначенная для обеспечения реагирования на события в рамках заданных временных ограничений при заданном уровне функциональности (имеющая повышенные требования к отказоустойчивости и надежности).

Для дифференциации требований к функциям безопасности операционных систем выделяются шесть классов защиты операционных систем. Самый низкий класс – шестой, самый высокий – первый. Проведена спецификация профилей защиты межсетевых экранов для каждого типа межсетевого экрана. Повышены требования к функциям безопасности, которые реализуют межсетевые экраны. Были добавлены новые требования к доверию, а существующие жестко усилены (отличия приведены на слайдах докладчика). Для их выполнения разработчикам межсетевых экранов придется, по сути, создавать новые продукты.

Представитель ФСТЭК сказал, что в течение двух следующих недель будут утверждены профили защиты операционных систем типа «А», и пояснил, что новые правила не требуют повторной сертификации межсетевых экранов и будут касаться только новых устройств и систем.

В ФСТЭК также ведутся работы над проектом требований по защите информации обрабатываемой при помощи облачных технологий. «Но он требует серьезной доработки. В лучшем случае к концу года его сделаем. Это очень нетривиальная задача, и над ней еще надо серьезно поработать», – отметил Алексей Кубарев. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.