Профилизащитыиполитикибезопасности

Приведемдалеенескольковыдержекизметодическогодокумента

«Профильзащитымежсетевыхэкрановтипа«Д»шестогоклассазащитыИТ.МЭ.Д6.ПЗ».

Согласно Профилю ИТ.МЭ.Д6.ПЗ МЭ типа «Д» шестого класса защи-ты — это «программное или программно-техническое средство, реализу-ющее функции контроля и фильтрации в соответствии с заданными прави-лами проходящих через него информационных потоков и используемое вцелях обеспечения защиты (некриптографическими методами) информа-ции, содержащей сведения, составляющие государственную тайну, и инойинформацииограниченногодоступа».

МЭ «должен обеспечивать нейтрализацию следующих угроз безопас-ностиинформации:

- несанкционированный доступ к информации, содержащейся в ав-томатизированнойсистемеуправления;

- отказ в обслуживании автоматизированной системы управления и(или)ееотдельныхкомпонентов;

- несанкционированная передача информации из автоматизирован-ной системы управления в информационно-телекоммуникационные сетиилииные информационные системы;

- несанкционированное воздействие на МЭ, целью которого являетсянарушение его функционирования, включая преодоление или обход егофункцийбезопасности».

Отмечается, что в МЭ не должно содержаться программ, не выполня-ющихфункций безопасности или не предназначенных дляобеспеченияфункционированияМЭ(стороннихпрограмм).Далееперечисляютсяфункциибезопасности,которые должныбытьреализованыМЭ:

- контрольифильтрация;

- идентификацияиаутентификация;

- регистрациясобытийбезопасности(аудит);

- обеспечениебесперебойногофункционированияивосстановление;

- управление(администрирование).

Приводятсятакжетребованияксреде,вкоторойфункционируетМЭ.ВнейдолжныбытьреализованыследующиефункциибезопасностиМЭ:

- исключениеканаловсвязивобходправилфильтрации;

- обеспечениедоверенногоканала;

- обеспечениедоверенногомаршрута;

- физическаязащита;

- обеспечениебезопасногофункционирования;

- обеспечениевзаимодействияссертифицированнымисредствамизащитыинформации.

Функции безопасности МЭ должны обладать функциональными воз-можностями(функциональнымитребованиямибезопасности),которыеобеспечиваютреализациюэтихтребований.

В ПЗ перечислены следующие виды требований безопасности, предъ-являемыек МЭМЭ:

- функциональныетребованиябезопасностиМЭ;

- требованиядовериякбезопасностиМЭ.

ФункциональныетребованиябезопасностиМЭ,изложенныевПЗ,включают:

- требованиякуправлениюпотокамиинформации;

- требованиякидентификациииаутентификациисубъектовмежсе-тевого взаимодействия;

- требованиякрегистрациисобытийбезопасности(аудиту);

- требованиякобеспечениюбесперебойногофункционированияМЭивосстановлению;

- требованиякуправлениюМЭ.

Составфункциональныхтребованийбезопасности,включенныхвПЗ,обеспечиваетследующиефункциональныевозможностиМЭтипа«Д»МЭ:

- возможность осуществлять фильтрацию сетевого трафика для от-правителей информации, получателей информации (в том числе исполни-тельных устройств) и всех операций передачи контролируемой МЭ ин-формациикузламавтоматизированнойсистемы управленияиотних;

- возможность обеспечения фильтрации для всех операций переме-щения через МЭ информации к узлам автоматизированной системы управ-ленияи отних;

- возможность осуществлять фильтрацию, основанную на следую-щихтипахатрибутовбезопасностисубъектов:сетевойадресузлаотправи-

теля, сетевой адрес узла получателя, сетевой протокол, который использу-етсядля взаимодействия;

- возможность явно разрешать информационный поток, базируясь наустанавливаемых администратором МЭ наборе правил фильтрации, осно-ванномна идентифицированныхатрибутах;

- возможность явно запрещать информационный поток, базируясь наустанавливаемых администратором МЭ наборе правил фильтрации, осно-ванномна идентифицированныхатрибутах;

- возможность регистрации и учета выполнения проверок информа-циисетевоготрафика;

- возможность читать информацию из записей аудита уполномочен-нымадминистраторам;

- возможностьвыборасовокупностисобытий,подвергающихсяаудиту, из совокупности событий, в отношении которых возможно осу-ществлениеаудита;

- возможность оповещения уполномоченных лиц о критичных видахсобытий безопасности, в том числе сигнализация о попытках нарушенияправилмежсетевогоэкранирования;

- возможность регистрации возникновения событий, которые в соот-ветствииснациональнымстандартомРоссийскойФедерацииГОСТРИСО/МЭК 15408-2-2013 «Информационная технология. Методы и сред-ства обеспечения безопасности. Критерии оценки безопасности информа-ционных технологий. Часть 2. Функциональные компоненты безопасно-сти» включены вминимальный уровеньаудита;

- возможность (для предусмотренных сценариев функционирования)выполнения определенных действий по управлению МЭ без прохожденияпроцедурыидентификации;

- возможность идентификации администратора МЭ до разрешениядействий (по администрированию), выполняемого при посредничестве МЭотимени этогоадминистратора;

- возможность (для предусмотренных сценариев функционирования)выполнения определенных действий по управлению МЭ без прохожденияпроцедурыаутентификации;

- возможность аутентификации администратора МЭ до разрешениядействий (по администрированию), выполняемого при посредничестве МЭотимени этогоадминистратора;

- поддержкаопределенныхролейпоуправлениюМЭ;

- возможностьсостороныадминистраторовМЭуправлятьрежимомвыполненияфункций безопасности МЭ;

- возможностьсостороныадминистраторовМЭуправлятьданнымиМЭ,используемыми функциямибезопасности МЭ;

- возможностьсостороныадминистраторовМЭуправлятьатрибу-тамибезопасности;

- возможность обеспечения перехода в режим аварийной поддержки,которыйпредоставляетвозможностьвозвратаМЭкштатномурежимуфункционирования.

Существенным отличием профилей защиты МЭ класса 6 от профилейзащиты более высоких классов является отсутствие описания угроз без-опасности, которые должен нейтрализовывать МЭ, требований к политикебезопасности и перечня предположений безопасности. Например, требова-ния к политике безопасности сформулированы в виде набора правил ипредположений.

Политика безопасности- 1. Должно обеспечиваться блокирование пе-редачи защищаемой информации, сетевых запросов и трафика, несанкцио-нированно исходящих из информационной системы и (или) входящих винформационнуюсистему,путемфильтрацииинформационныхпотоков.

Политикабезопасности- 2. Должно осуществлятьсяприсвоение ин-формациисостояниясоединениятолько допустимых значений.

Политикабезопасности- 3.Должнаобеспечиватьсяинтерпретацияуправляющих сигналов от средств защиты информации и блокированиесоответствующего трафика.

Политикабезопасности- 4.Должноосуществлятьсяразграничениедоступа к управлению МЭ и параметрами МЭ на основе ролей уполномо-ченных лиц.

Политикабезопасности- 5.Должнаобеспечиватьсявозможностьуправления работой МЭ и параметрами МЭ со стороны администраторовМЭ.

Политика безопасности- 6. Должны обеспечиваться идентификация иаутентификацияадминистраторовМЭ.

Политика безопасности- 7. Должны обеспечиваться механизмы реги-страциивозможныхнарушенийбезопасности.

Политикабезопасности- 8.Должныобеспечиватьсяустановкабез-опасногосостоянияфункцийбезопасностиобъектаилипредотвращениеих перехода в опасное состояние после сбоев, прерывания функциониро-ванияилиперезапуска.

Политика безопасности- 9. Должно осуществляться ведение отдель-ных профилей проверок для типовых мест расположения узла информаци-оннойсистемы сустановленным МЭ.

Политикабезопасности- 10.Должнаосуществлятьсявыдачапреду-преждающихсообщенийпользователюобобнаружениивозможногонарушения безопасности и предоставлять пользователю возможность осу-ществить определенные действия при обнаружении возможного наруше-ниябезопасности.

Предположение безопасности- 1. Должна обеспечиваться физическаязащитасредствавычислительнойтехники,накоторомфункционируетМЭ.

Предположение безопасности- 2. Должно обеспечиваться исключениеканалов связи защищаемой информационной системы с иными информа-ционнымисистемами вобходМЭ.

Предположение безопасности- 3. Должен обеспечиваться доверенныйканал передачи данных между защищаемой информационной системой иМЭ, а также между МЭ и терминалом, с которого выполняется его управ-ление.

Предположение безопасности- 4. Должен обеспечиваться доверенныймаршрутмеждуМЭи администраторами МЭ.

Предположение безопасности- 5. Должно обеспечиваться взаимодей-ствие МЭ с сертифицированными на соответствие требованиям безопасно-сти информации по соответствующему классу защиты средствами защитыинформации (системами обнаружения вторжений, средствами антивирус-нойзащитыидругими),откоторыхМЭполучаетуправляющиесигналы.

Предположениебезопасности- 6.Должныбытьобеспеченысовме-стимость компонентов МЭ с компонентами средств вычислительной тех-ники информационной системы, а также необходимые ресурсы для выпол-нения функций безопасности МЭ (в том числе изоляция данных и процес-сов МЭ от иных данных и процессов средства вычислительной техники, накоторомон функционирует).

Предположение безопасности- 7. Должно быть обеспечено функцио-нирование МЭ в среде сертифицированной на соответствие требованиямбезопасности информации по соответствующему классу защиты операци-онной системы или в среде, защищенной путем принятия мер защиты ин-формации, соответствующих классу защищенности информационной си-стемы (автоматизированной системы управления), для использования в ко-торойпредназначается МЭ.

Предположение безопасности- 8. Должны быть обеспечены тестиро-вание и контроль целостности аппаратных средств, а также программногообеспечения базовой системы ввода-вывода, загрузчика и операционнойсистемы МЭ или средства вычислительной техники, на котором он функ-ционирует.

Предположение безопасности- 9. Персонал, ответственный за функ-ционирование ОО, должен обеспечивать установку, настройку и эксплуа-тацию МЭ в соответствии с правилами по безопасной настройке и руко-водствомпользователя(администратора).

Сделаем некоторые замечания относительно определения типа и клас-саконкретногоМЭ.Рассмотрим,например,встроенныйвLinuxМЭNetfilter.СуществуютотдельныесертифицированныеОСспециальногоназначения,основанныенадистрибутивахОСLinux,например,AstraLinux SE, «Заря», МСВС, но входящие в их состав МЭ отдельно не серти-фицированы.ДистрибутивыОСLinux,используемыенаобычныхрабочих

местах (не используемые в ГИС, ИСПДн и так далее), не проходят серти-фикацию ФСТЭК. Соответственно, встроенный в них МЭ не является сер-тифицированным. Теоретически (согласно представленным выше требова-ниям)МЭNetfilterмогбыбытьотнесенктипуВ(есликомпьютерсОСLinuxрассматриватькак узелинформационной системы).

 

Вопросыкразделу5

1. Охарактеризуйтенормативнуюбазу,определяющуютребованиякмежсетевымэкранам вРоссийской Федерации.

2. Чтоучитывалосьвновыхтребованияхпомежсетевымэкранам?

3. Какклассызащитымежсетевыхэкрановсоотносятсясклассамизащищенностиинформационныхсистем?

4. Чтотакоепрофилизащиты?Охарактеризуйтеих.

5. Какиетребованиявыдвигаютсяксреде,вкоторойфункционируетмежсетевойэкран?

6. ПеречислитеосновныетребованияФСТЭКкмежсетевымэкранам.

7. Какиеугрозыдолженнейтрализовыватьмежсетевойэкрантипа

«Д» шестого классазащиты?

Заключение

Правильная настройка межсетевого экрана является важным шагом впостроениинадежнойибезопаснойIT-инфраструктуры. Пониманиеос-новных принципов фильтрации трафика и отслеживания соединений сете-вой подсистемой ОС позволяет специалисту по информационной безопас-ности обнаруживать потенциальные уязвимости и своевременно устранятьвозможность реализации атак. В настоящем пособии указанные принципырассмотрены на примере системы Netfilter ядра ОС Linux как наиболее по-пулярногорешения в различныхприкладных областяхвычислительныхсистеми сетей связи.

Многие вопросы, имеющие отношение к Netfilter, но требующие бо-лее глубокого погружения в предмет, не были рассмотрены в настоящемпособии. К их числу относятся, прежде всего, специфичные для IPv6 иредкоприменяемыхтранспортныхпротоколов(DCCP,SCTP)критериифильтрации пакетов, использование BPF, возможность связи правил с под-системой cgroup, особенности настройки правил для протоколов туннели-рования (таких как IPSec, GRE и других), поддержка прозрачного прокси-рования и сбора статистики соединений. Также не были рассмотрены во-просы ограничения скорости соединений, которые в большинстве систем,использующих ядро Linux, решаются с помощью системы Netfilter: осо-бенности организации шейпинга и полисинга, отличия дисциплин очере-дей пакетов и т.д. Читателю предлагается самостоятельно ознакомиться сэтимивопросами.

Система Netfilter и ядро ОС Linux постепенно развиваются и совер-шенствуются для того, чтобы адекватно решать новые проблемы и слу-житьнадежнымфундаментомобеспечениясетевойбезопасностивОСLinux. В то же время значительное внимание уделяется обеспечению об-ратной совместимости. C 2009 года ведется работа по замене значительнойчасти подсистем Netfilter более функциональными и производительнымиреализациями, которые доступны с ядра Linux 3.13 в виде пакета nftables.Есть основания полагать, что в ближайшее время эти разработки будутвключенывосновнуюветкуядра.

Списоклитературы

1. АлиевТ.И.СетиЭВМителекоммуникации.—СПб:СПбГУИТМО,2011. —400с.

2. Лапонина О.Р. Межсетевое экранирование. — М.: «Бином. Лаборато-риязнаний»,2007.—343с.—ISBN5-94774-603-4.

3. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, техноло-гии, протоколы / Римицан Н.А. — 5-е изд. — СПб: Изд-во «Питер»,2019.—992с.—ISBN978-5-4461-1343-9.

4. ШаньгинВ.Ф. Защита информациив компьютерныхсистемахисетях.

—М.: «ДМК-Пресс»,2012.—592 с.—ISBN978-5-94074-833-5.

5. ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. Ме-тодыисредстваобеспечениябезопасности.Критерииоценкибез-опасностиинформационныхтехнологий.Часть2.Функциональныекомпонентыбезопасности.

6. ГОСТ Р ИСО/МЭК 15408-3-2013. Информационная технология. Ме-тодыисредстваобеспечениябезопасности.Критерииоценкибез-опасности информационных технологий. Часть 3. Компоненты дове-рияк безопасности.

7. ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология. Мето-ды и средства обеспечения безопасности. Критерии оценки безопас-ности информационных технологий. Часть 3. Компоненты доверия кбезопасности.

8. Документы по сертификации средств защиты информации и аттеста-ции объектов информатизации по требованиям безопасности инфор-мации.—URL:https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty.

9. Информационное сообщение «Об утверждении Требований к межсе-тевымэкранам»,№240/24/1986,28.04.2016.

10. Информационное сообщение по вопросам разработки, производства,поставкииприменениямежсетевыхэкранов,сертифицированныхФСТЭКРоссиипотребованиямбезопасностиинформации,24.03.2017.

11. Информационное сообщение ФСТЭК России «Об утверждении мето-дическихдокументов,содержащихпрофилизащитымежсетевыхэкранов»,№240/24/4278,12.09.2016.

12. Методическийдокумент«Профильзащитымежсетевыхэкрановтипа

«В»четвертогоклассазащитыИТ.МЭ.Д6.ПЗ»,12.09.2016.

13. Методическийдокумент«Профильзащитымежсетевыхэкрановтипа

«д»шестогоклассазащитыИТ.МЭ.Д6.ПЗ»,12.09.2016.

14. МетодическийдокументФСТЭК«Мерызащитыинформациивгосу-дарственныхинформационныхсистемах».

15. СОИБ.Проектирование.Новыетребованиякмежсетевымэкранам.—URL:https://www.securitylab.ru/blog/personal/sborisov/294638.php.

 

 

Будько Марина БорисовнаБудько Михаил ЮрьевичГирикАлексейВалерьевич