21 Июня, 2018

[таблицы] МЭ, сертифицированные по новым требованиям

Алексей Комаров

Свежие (текущие) требования к межсетевым экранам были утверждены ФСТЭК России 12 сентября 2016 г. Именно тогда официально появились методические документы, содержащие профили защиты межсетевых экранов для 5 типов и 6 классов межсетевых экранов .

Кратко напомню (и сам для себя ещё раз зафиксирую, чтобы потом знать, где искать), какие типы межсетевых экранов c точки зрения ФСТЭК бывают:

  • МЭ типа «А» – это МЭ, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы.
  • МЭ типа «Б» – это МЭ, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы.
  • МЭ типа «В» – это МЭ, применяемый на узле (хосте) информационной системы.
  • МЭ типа «Г» – это МЭ, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера.
  • МЭ уровня промышленной сети (тип «Д») – это МЭ, применяемый в автоматизированной системе управления технологическими или производственными процессами. МЭ типа «Д» может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).

C классами защиты ещё проще — чем выше класс (1 — самый высокий), (тем больше к ним требований и) тем в более высокого класса систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ) они могут применяться.

Для удобства были введены идентификаторы профилей защиты в формате ИТ.МЭ.«тип»«класс».ПЗ Вот полная их таблица:

Класс защиты /
Тип межсетевого экрана
6 5 4 3 2 1
Межсетевой экран типа «А» ИТ.МЭ.А6.ПЗ ИТ.МЭ.А5.ПЗ ИТ.МЭ.А4.ПЗ ИТ.МЭ.А3.ПЗ ИТ.МЭ.А2.ПЗ ИТ.МЭ.А1.ПЗ
Межсетевой экран типа «Б» ИТ.МЭ.Б6.ПЗ ИТ.МЭ.Б5.ПЗ ИТ.МЭ.Б4.ПЗ ИТ.МЭ.Б3.ПЗ ИТ.МЭ.Б2.ПЗ ИТ.МЭ.Б1.ПЗ
Межсетевой экран типа «В» ИТ.МЭ.В6.ПЗ ИТ.МЭ.В5.ПЗ ИТ.МЭ.В4.ПЗ ИТ.МЭ.В3.ПЗ ИТ.МЭ.В2.ПЗ ИТ.МЭ.В1.ПЗ
Межсетевой экран типа «Г» ИТ.МЭ.Г6.ПЗ ИТ.МЭ.Г5.ПЗ ИТ.МЭ.Г4.ПЗ
Межсетевой экран типа «Д» ИТ.МЭ.Д6.ПЗ ИТ.МЭ.Д5.ПЗ ИТ.МЭ.Д4.ПЗ

С момента утверждения новых требований прошло более полутора лет, но в реестре ФСТЭК  присутствуют (на момент публикации) только 45 сертификатов с упоминанием профилей защиты ИТ.МЭ и только 23 из них выданы на серию, а не на ограниченную партию изделий.

Ниже приведены все доступные на сегодня сертифицированные по новым требованиям (и при этом серией) межсетевые экраны, сгруппированные по типам.

Межсетевые экраны типа «А»

Класс защиты № сертификата — Межсетевые экраны
ИТ.МЭ.А1.ПЗ пока нет
ИТ.МЭ.А2.ПЗ
ИТ.МЭ.А3.ПЗ
ИТ.МЭ.А4.ПЗ
ИТ.МЭ.А5.ПЗ
  • 3778 — маршрутизатор ESR-1000 с программным обеспечением esr-1000-1.0.7-ST
  • 3788 — маршрутизатор ESR-100 с программным обеспечением esr-100-1.0.7-ST
  • 3789 — маршрутизатор ESR-200 с программным обеспечением esr-200-1.0.7-ST
ИТ.МЭ.А6.ПЗ
  • 3892 — межсетевой экран Cisco ASA-SM1 с установленным программным обеспечением Cisco ASA версии 9.x
  • 3909 — межсетевой экран Huawei Eudemon (модель Eudemon 8000E-X3) версии V500
  • 3935 — маршрутизаторы серии Huawei AR (модели: AR2220E, AR2240, AR161FG-L) версии V200

Межсетевые экраны типа «Б»

Класс защиты № сертификата — Межсетевые экраны
ИТ.МЭ.Б1.ПЗ пока нет
ИТ.МЭ.Б2.ПЗ пока нет
ИТ.МЭ.Б3.ПЗ пока нет
ИТ.МЭ.Б4.ПЗ
  • 3462 — Kaspersky Security для виртуальных сред 3.0 Защита без агента
  • 3634 — шлюз безопасности Check Point Security Gateway версии R77.10
  • 3720FortiGate
  • 3834 — программно-аппаратный комплекс Traffic Inspector Next Generation
  • 3871 — программный комплекс РУСТЭК версия 1.0
  • 3905изделие Универсальный шлюз безопасности UserGate UTM
ИТ.МЭ.Б5.ПЗ
ИТ.МЭ.Б6.ПЗ
  • 3844 — программный комплекс VMware NSX for vSphere 6
  • 3892 — межсетевой экран Cisco ASA-SM1 с установленным программным обеспечением Cisco ASA версии 9.x
  • 3909 — межсетевой экран Huawei Eudemon (модель Eudemon 8000E-X3) версии V500
  • 3935 — маршрутизаторы серии Huawei AR (модели: AR2220E, AR2240, AR161FG-L) версии V200

Межсетевые экраны типа «В»

Класс защиты № сертификата — Межсетевые экраны
ИТ.МЭ.В1.ПЗ пока нет
ИТ.МЭ.В2.ПЗ
ИТ.МЭ.В3.ПЗ пока нет
ИТ.МЭ.В4.ПЗ
ИТ.МЭ.В5.ПЗ пока нет
ИТ.МЭ.В6.ПЗ пока нет

Межсетевые экраны типа «Г»

Класс защиты № сертификата — Межсетевые экраны
ИТ.МЭ.Г1.ПЗ не предусмотрен
ИТ.МЭ.Г2.ПЗ не предусмотрен
ИТ.МЭ.Г3.ПЗ не предусмотрен
ИТ.МЭ.Г4.ПЗ
ИТ.МЭ.Г5.ПЗ пока нет
ИТ.МЭ.Г6.ПЗ пока нет

Межсетевые экраны типа «Д»

Класс защиты № сертификата — Межсетевые экраны
ИТ.МЭ.Д1.ПЗ не предусмотрен
ИТ.МЭ.Д2.ПЗ не предусмотрен
ИТ.МЭ.Д3.ПЗ не предусмотрен
ИТ.МЭ.Д4.ПЗ пока нет
ИТ.МЭ.Д5.ПЗ пока нет
ИТ.МЭ.Д6.ПЗ пока нет

Как видно, некоторые типы сертифицированных межсетевых экранов представлены в крайне ограниченном количестве, а например, МЭ типа Д и вовсе пока отсутствуют.

Для полноты картины стоит отметить, что, судя по уже выданным сертификатам, есть возможность сертифицировать как МЭ типа А шестого класса защиты (ИТ.МЭ.А6.ПЗ) партии устройств Cisco:

  • коммутатор Cisco 6504 VS-S720-10G с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10
  • коммутатор Cisco Catalyst WS-C3560V2-24TS с установленным программным обеспечением Cisco IOS версии 12.2(55)SE12
  • коммутатор Cisco Catalyst WS-C3560X-24T с установленным программным обеспечением Cisco IOS версии 15.0(2)SE11
  • коммутатор Cisco Catalyst WS-C3650-24TD-E с установленным программным обеспечением Cisco IOS-XE версии 03.06.07.E
  • коммутатор Cisco Nexus 5596 с установленным программным обеспечением Cisco NX-OS версии 7.1(2)N1(1)
  • коммутатор Cisco Nexus 7000 с установленным программным обеспечением Cisco NX-OS версии 7.2(1)D1(1)
  • коммутатор Cisco WS-C6506-E с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10
  • маршрутизатор Cisco 2901/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
  • маршрутизатор Cisco 2911/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
  • маршрутизатор Cisco C3900-SPE200/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
  • межсетевой экран Cisco ASA 5512-X с установленным программным обеспечением Cisco Adaptive Security Appliance Software v. 9.6.3
  • межсетевой экран Cisco ASA5508-K8 с установленным программным обеспечением Cisco ASA версии 9.6(4)3
  • межсетевой экран Cisco ASA5510-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)19
  • межсетевой экран Cisco ASA5512-X-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
  • межсетевой экран Cisco ASA5515-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
  • межсетевой экран Cisco ASA5520-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)23
  • межсетевой экран Cisco ASA5525-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
  • межсетевой экран Cisco ASA5550-K8 c установленным программным обеспечением Cisco ASA версии 9.1(7)23
  • межсетевой экран Cisco ASA5555-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
  • межсетевой экран Cisco ASA5585-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27

 

comments powered by Disqus