1.19Требования к системе информационной безопасности
В состав системы информационной безопасности (далее – СИБ) должны входить следующие подсистемы:
подсистема защиты от НСД;
подсистема антивирусной защиты;
подсистема межсетевого экранирования и криптографической защиты информации каналов связи;
подсистема предотвращения компьютерных атак;
подсистема анализа защищенности;
1.19.1Подсистема защиты от НСД
Подсистема защиты от НСД должна обеспечивать противодействие преднамеренным и случайным процессам, приводящим к несанкционированному доступу к АРМ, серверам, общесистемному и прикладному программному обеспечению.
Подсистема защиты от НСД предназначена для:
защиты серверов и рабочих станций от НСД;
идентификации и аутентификации пользователей;
доверенной загрузки;
разграничения доступа пользователей к устройствам и контроль аппаратной конфигурации;
разграничения доступа пользователей к информации;
контроля утечек информации;
-
регистрации событий безопасности.
Компоненты подсистемы защиты от НСД должны реализовываться:
программными средствами защиты от НСД к информации на АРМ и серверах ИС под управление операционной системы семейства Microsoft Windows;
средствами двухфакторной аутентификации – программно-аппаратными идентификаторами администраторов и пользователей ИС;
аппаратно-программными модулями доверенной загрузки на АРМ и серверах ИС под управление операционной системы семейства Microsoft Windows.
Программные средства защиты от НСД на АРМ и серверах ИС должны обеспечивать возможность реализации следующих функциональных возможностей:
возможность функционирования совместно с аппаратными и программно-аппаратными средствами доверенной загрузки для обеспечения защиты компьютера от несанкционированной загрузки автоматизированной системы с внешних носителей;
функционирование совместно с персональными идентификаторами (для обеспечения усиленной аутентификации пользователей);
поддерживать персональные идентификаторы iButton (при совместном использовании со средствами доверенной загрузки), eToken PRO, eToken PRO Java (в форм-факторах USB и смарт карт), Rutoken;
должно обеспечивать автоматическую блокировку автоматизированной системы при изъятии персонального идентификатора пользователя;
контроль устройств ввода/вывода;
контроль устройств подключаемых/отключаемых в процессе работы АРМ;
контроль неизменности аппаратной конфигурации компьютера;
управление подключениями (IrDA, WiFi, FireWire, Ethernet, Bluetooth);
контроль вывода информации на отчуждаемые носители;
возможность теневого копирования отчуждаемой информации;
возможность разграничения доступа к принтерам;
контроль буфера обмена Windows;
возможность выбора уровня конфиденциальности сессии для пользователя;
разграничение доступа пользователей к конфиденциальным данным и приложениям;
мандатное управление доступом, включая – к устройствам;
контроль вывода конфиденциальных данных на печать, управление грифами конфиденциальности при печати конфиденциальных и секретных документов;
возможность контроля целостности файлов, каталогов, элементов системного реестра;
возможность контроля целостности до загрузки операционной системы (при совместном применении со средствами доверенной загрузки);
функциональный контроль ключевых компонентов системы;
автоматическое затирание данных на диске при удалении конфиденциальных файлов пользователем;
регистрация событий безопасности в журнале безопасности;
-
реакции СЗИ при нарушении целостности:
регистрацию события в журнале;
блокировку компьютера;
восстановление повреждённой/модифицированной информации;
отклонение или принятие изменений.
Требования по сертификации программного средства защиты от НСД на АРМ и серверах ИС:
должно быть сертифицировано на соответствие требованиям ФСТЭК России для применения в информационных системах персональных данных (ИСПДн) до класса К1 включительно;
показатель защищенности от НСД (Гостехкомиссия России, 1999) не ниже 3-го класса защищенности. Классификация по уровню отсутствия НДВ (Гостехкомиссия России, 1999) – не ниже 2-го уровня контроля;
может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно.
Программно-аппаратные идентификаторы должны обеспечивать возможность реализации следующих функциональных возможностей:
обеспечивать ограничение числа попыток ввода PIN-кода;
обеспечивать уровни доступа к токену: Пользователь, Администратор;
иметь подтверждение совместимости с ViPNet CSP и КриптоПРО CSP, удостоверяющее корректность работы носителей.
Требования по сертификации программно-аппаратных идентификаторов:
должны иметь сертификат соответствия ФСТЭК России подтверждающие соответствие уровню контроля отсутствия недекларированных возможностей – не ниже 4 уровня контроля и возможность использования при создании автоматизированных систем до класса защищенности 1Г включительно и при создании информационных систем персональных данных до 1 класса включительно.
1.19.2Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для автоматического выявления вредоносного программного обеспечения, блокирования его распространения на АРМ и серверах под управлением операционной системы семейства Microsoft Windows.
В состав подсистемы антивирусной защиты должны входить:
программные средства антивирусной защиты информации на АРМ ИС;
программные средства антивирусной защиты на серверах ИС по управление операционной системы семейства Microsoft Windows;
программное средство централизованного управления компонентами подсистемы антивирусной защиты (размещается на проектируемом сервере безопасности ИС).
Подсистема антивирусной защиты должна обеспечивать обнаружение, предотвращение и нейтрализацию последствий проникновения вредоносного программного обеспечения, которое может осуществлять несанкционированные программно-математические воздействия на компоненты ИС.
Программные средства антивирусной защиты АРМ ИС должны обеспечивать возможность реализации следующих функциональных возможностей:
резидентный антивирусный мониторинг;
защита от сетевых атак;
эвристический анализ, позволяющий распознавать и блокировать ранее неизвестные вредоносные программы;
обнаружение скрытых процессов;
антивирусное сканирование по команде пользователя или администратора и по расписанию;
антивирусная проверка и лечение файлов, упакованных программами типа PKLITE, LZEXE, DIET, EXEPACK;
антивирусная проверка и лечение файлов в архивах форматов RAR, ARJ, ZIP, CAB, LHA, JAR, ICE, в том числе и защищенных паролем;
облачная защита от новых угроз, позволяющая приложению в режиме реального времени обращаться к специальным сайтам производителя, для получения вердикта по запускаемой программе или файлу;
-
защита электронной корреспонденции, как от вредоносных программ, так и от спама. Проверка трафика на следующих протоколах:
IMAP, SMTP, POP3, независимо от используемого почтового клиента;
независимо от типа протокола (в том числе MAPI, HTTP) в рамках работы плагинов, встроенных в почтовые программы Microsoft Office Outlook и The Bat!.
защита HTTP-трафика - проверка всех объектов, поступающих на компьютер пользователя по протоколу HTTP, FTP;
проверка скриптов (проверка всех скриптов, обрабатываемых в Microsoft Internet Explorer, а также любых WSH-скриптов (Java Script, Visual Basic Script и др.), запускаемых при работе пользователя на компьютере, в том числе и в Интернете);
запуск задач по расписанию и/или сразу после загрузки операционной системы;
защиту от еще не известных вредоносных программ на основе анализа их поведения и контроле изменений системного реестра, с возможностью автоматического восстановления изменённых вредоносной программой значений системного реестра;
автоматический контроль программ, запускаемых на компьютере пользователя, осуществляющий контроль активности программ и ограничивающий выполнение опасных действий;
защита от программ-маскировщиков, программ автодозвона на платные сайты, блокировка баннеров, всплывающих окон, вредоносных сценариев, загружаемых с Web-страниц и распознавание фишинг-сайтов;
ускорения процесса сканирования за счет пропуска объектов, состояние которых со времени прошлой проверки не изменилось;
интеграция с системой обновления Windows Update, для установки патчей, закрывающих обнаруженные уязвимости;
настройка проверки критических областей компьютера в качестве отдельной задачи;
реализация технологии самозащиты приложения, защиты от удаленного несанкционированного управления сервисом приложения, а также защиты доступа к параметрам приложения с помощью пароля, позволяющих избежать отключения защиты со стороны вредоносных программ, злоумышленников или неквалифицированных пользователей;
централизованное управление с помощью единой системы управления.
Требования по сертификации программных средств антивирусной защиты АРМ ИС:
должны иметь сертификат соответствия ФСТЭК России, подтверждающий соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 2 уровню контроля и ТУ, а так же может использоваться для защиты информации в информационных системах персональных данных до 1 класса включительно.
Программные средства антивирусной защиты серверов ИС должны обеспечивать возможность реализации следующих функциональных возможностей:
резидентный антивирусный мониторинг;
эвристический анализ, позволяющий эффективно распознавать и блокировать ранее неизвестные вредоносные программы;
защита от сетевых атак;
облачная защита от новых угроз, позволяющая приложению в режиме реального времени обращаться к специальным сайтам производителя для получения вердикта по запускаемой программе или файлу;
обнаружение скрытых процессов;
антивирусное сканирование по команде пользователя или администратора и по расписанию;
антивирусная проверка и лечение файлов, упакованных программами типа PKLITE, LZEXE, DIET, EXEPACK и пр.;
антивирусная проверка и лечение файлов в архивах форматов RAR, ARJ, ZIP, CAB, LHA, JAR, ICE, в том числе и защищенных паролем;
запуск задач по расписанию и/или сразу после загрузки операционной системы;
защита от еще не известных вредоносных программ, принадлежащих зарегистрированным семействам, на основе эвристического анализа;
ускорение процесса сканирования за счет пропуска объектов, состояние которых со времени прошлой проверки не изменилось;
настройка проверки критических областей сервера в качестве отдельной задачи;
регулировка распределения ресурсов сервера между антивирусом и другими приложениями в зависимости от приоритетности задач: возможность продолжать антивирусное сканирование в фоновом режиме;
наличием множественных путей уведомления администраторов о важных произошедших событиях (почтовое сообщение, звуковое оповещение, всплывающее окно, запись в журнал событий);
реализация технологии самозащиты приложения, защиты от удаленного несанкционированного управления сервисом приложения, защита файлов приложения от несанкционированного доступа и изменения, а также защиты доступа к параметрам приложения с помощью пароля, позволяющими избежать отключения защиты со стороны вредоносных программ, злоумышленников или неквалифицированных пользователей;
централизованное управление с помощью единой системы управления (размещается на проектируемом сервере безопасности ИС).
Требования по сертификации программных средств антивирусной защиты серверов ИС:
должны иметь сертификат соответствия ФСТЭК России, подтверждающий соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 2 уровню контроля и ТУ, а так же может использоваться для защиты информации в информационных системах персональных данных до 1 класса включительно.
Программное средство централизованного управления компонентами подсистемы антивирусной защиты должно обеспечивать возможность реализации следующих функциональных возможностей:
централизованная установка/обновление/удаление программных средств антивирусной защиты, настройку, администрирование, просмотр отчетов и статистической информации по их работе;
наличие различных методов установки антивирусных приложений: удаленный - RPC, GPO, агент администрирования, локальный - автономный пакет установки;
централизованное удаление несовместимых приложений;
централизованное управление установкой/запуском программ на компьютерах пользователей с возможностью контроля программ по пути нахождения программы, метаданным, MD5 контрольной сумме и возможностью присвоения привилегий определенным пользователям;
централизованное управление доступом к веб-ресурсам с компьютеров пользователей, с возможностью фильтрации по категориям и типу данных загружаемого контента, заданию параметров времени действия правил и возможностью присвоения привилегий определенным пользователям;
автоматизированное обновление программных средств антивирусной защиты и антивирусных баз;
автоматизированный поиск уязвимостей в установленных приложения и операционной системе на компьютерах пользователей с возможностью предоставления отчета по обнаруженным уязвимостям и интеграцией с системой обновления Windows Update для установки патчей, закрывающих обнаруженные уязвимости;
построение многоуровневой системы управления с возможностью настройки ролей администраторов и операторов, а также форм предоставляемой отчетности на каждом уровне;
автоматическое распространение лицензии на клиентские компьютеры;
централизованный сбор информации и создание отчетов о состоянии антивирусной защиты;
инвентаризация установленного ПО и оборудования на компьютерах пользователей;
наличие механизма оповещения о событиях в работе установленных приложений антивирусной защиты и настройку рассылки почтовых уведомлений о них;
централизованная установка приложений сторонних производителей на все или выбранные компьютеры;
экспорт отчетов в файлы форматов PDF и XML;
централизованное управление объектами резервных хранилищ и карантинов, на которых установлено антивирусное программное обеспечение;
создание внутренних учетных записей для аутентификации на сервере управления;
создание резервной копии системы управления;
наличие веб-консоли управления приложением;
наличие системы контроля возникновения вирусных эпидемий.
Требования по сертификации средства централизованного управления компонентами подсистемы антивирусной защиты:
должен иметь сертификат соответствия ФСТЭК России, подтверждающий соответствие требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 2 уровню контроля и ТУ, а так же может использоваться для защиты информации в информационных системах персональных данных до 1 класса включительно.
Средства централизованного управления компонентами антивирусной защиты должны функционировать сервере безопасности под управление операционной системы семейства Microsoft Windows Server.
1.19.3Подсистема межсетевого экранирования и криптографической защиты каналов связи
Подсистема межсетевого экранирования и криптографической защиты каналов связи должна обеспечивать разграничение доступа, фильтрацию сетевого трафика и криптографическую защиту информации, передаваемой по неконтролируемым каналам связи, в целях обеспечения ее конфиденциальности и целостности.
Подсистема межсетевого экранирования и криптографической защиты каналов связи предназначена для защиты компонентов ИС при взаимодействии со смежными и внешними сетями.
В состав подсистемы межсетевого экранирования и криптографической защиты каналов связи должны входить:
программно-аппаратные средства устанавливаемые на границе с внешними сетями (два устройства в режиме отказоустойчивого активно-пассивного кластера);
центр управления сетью (единый для подсистем межсетевого экранирования и криптографической защиты каналов связи, и подсистемы предотвращения компьютерных атак).
Программно-аппаратные средства межсетевого экранирования должны обеспечивать возможность реализации следующих функциональных возможностей:
организация нескольких зон безопасности (DMZ) без привязки к физическим интерфейсам (на любом из интерфейсов может быть настроена любая зона);
статическая и динамическая трансляция адресов с возможностью одновременной трансляции как адреса отправителя, так и получателя;
контроль сетевых соединений с учетом их состояния, возможность индивидуальной настройки правил отслеживания соединений на уровне отдельных записей политики;
защита от SYN-атак типа «отказ в обслуживании», включая защиту от переполнения журналов событий;
автоматический антиспуфинг на всех интерфейсах с возможностью гибкой настройки правил, возможность индивидуальной настройки правил антиспуфинга для каждого из интерфейсов;
удаленное обновление ПО и ОС, в которой работает межсетевой экран, через систему централизованного управления и мониторинга. При этом должна обеспечиваться возможность автоматического восстановления конфигураций и программного обеспечения межсетевого экрана в случае сбоя при удаленном обновлении или в случае ошибки администратора, возникшей при применении политики или обновлении ОС МЭ, при которой теряется управление устройством;
автоматическое создание и ведение резервных копий конфигурации межсетевого экрана с возможностью наглядного сравнения изменений в графическом виде;
кластер из устройств не менее двух с целью обеспечения масштабируемости, непрерывности работы и резервирования. При этом должен поддерживаться режим работы, когда все устройства активны и балансируют нагрузку между собой автоматически, перераспределяя ее, без обрыва установленных сессий в случае выхода из строя одного или нескольких из них без вмешательства администратора;
наличие встроенных механизмов (без необходимости установки дополнительных модулей расширения) глубокой инспекции пакетов (DPI) и антивирусного анализа;
возможность подключать несколько интернет-провайдеров (не менее 3) для обеспечения балансировки соединений по каналам передачи данных с автоматическим распределением трафика и балансировкой нагрузки между ними;
поддержка QoS, в том числе внутри VPN туннелей (разным потокам давать разные приоритеты), а также policing для потоков, а не только маркирование трафика, возможность оперирования «раскраской» трафика (определение маркированного трафика, перераскраска);
возможность перенаправление трафика в зависимости от его типа для инспекции (для HTTP, FTP, MAIL);
все устройства должны поддерживать централизованное управление с возможностью мониторинга состояния межсетевых экранов (в работе, не работоспособен, загружена политика и др.) в режиме реального времени;
должно обеспечиваться полное управление экранами из центра, не требующее вмешательства на местах или обеспечивающее его минимальное участие, в том числе и при начальной инициализации;
создание централизованных политик безопасности для всех межсетевых экранов из единой точки сети, при этом должна обеспечиваться возможность применения как одной единой политики безопасности ко всем устройствам, так и отдельные для каждого устройства;
при создании централизованных политик безопасности на МЭ (в том числе и правилами «глубокой инспекции» трафика) должна обеспечиваться иерархическая структура политик (они могут быть вложенными) и соответственно возможность назначения разных администраторов для управления нужной частью политик безопасности;
возможность индивидуального назначения полномочий к устройствам администраторов разного уровня доступа;
межсетевые экраны должны интегрироваться со встроенной в систему управления подсистемой построения VPN, а подсистема управления должна иметь встроенный центр сертификации с возможностями автоматического обновления сертификатов подчиненных устройств и интеграции с внешними удостоверяющими центрами;
также межсетевые экраны должны иметь возможность аутентификации пользователей в случае необходимости доступа к защищенному ресурсу по комбинации логин/пароль, а также сертификату. Должна быть возможность определить – должен ли запрос на аутентификацию исходить от самого пользователя (сам пользователь инициирует дополнительное соединение для аутентификации) или от межсетевого экрана (у пользователя при необходимости автоматически всплывает окно с предложением ввести данные аутентификации). Подобная прозрачная аутентификация должна поддерживаться для произвольных сетевых протоколов (не только FTP/HTTP/Telnet, например, RDP или RPC).
С точки зрения технических характеристик система должна быть не хуже:
форм-фактор - Rackmount, 1U монтируемый в 19’’ стойку;
поддержка количества VLAN – без ограничений;
кластер, состоящий из двух устройств;
не менее 8 интерфейсов GigabitEthernet;
число IPSec VPN-туннелей - не менее 2000;
не менее 6 млн. одновременно поддерживаемых сессий;
производительность межсетевого экрана – не менее 10 Гбит/с;
отсутствие ограничения на количество защищаемых IP адресов;
поддержка как зарубежных (DES), так и российских алгоритмов шифрования (ГОСТ 28147-89) для VPN без установки дополнительного аппаратного обеспечения, при этом для аутентификации VPN соединений должны поддерживаться не только «парольные фразы – pre-sharedkey», но и сертификаты, выданные с помощью ЭЦП по ГОСТ.
Программно-аппаратные средства межсетевого экранирования должны функционировать в режиме отказоустойчивого активно-пассивного кластера.
Управление устройствами подсистемы, а также устройствами подсистемы предотвращения компьютерных атак, должны осуществляться с единой консоли (центр управления подсистемы). На эту же консоль должны собираться данные статистики о работе устройства и журналы событий. У администратора должен быть единый интерфейс.
Центр управления подсистемы предназначен для предоставления администратору безопасности удобного графического интерфейса на основе тонкого клиента для мониторинга и конфигурирования устройств реализации сетевой политики безопасности.
Центр управления подсистемы должна позволять решать следующие задачи:
сбор событий с межсетевых экранов, устройств предотвращения компьютерных атак, а также сторонних устройств, например, сетевых по протоколу syslog;
возможность мониторинга состояния и сбора статистики о подчиненных устройствах;
составлять и разбирать инциденты;
вести полный аудит действий администраторов;
доступ администраторов к системе управления и мониторинга должен разграничиваться и полностью настраиваться с возможностью деления их по ролям и полномочиям;
исполнительные устройства должны поддерживать удаленные безопасные обновления с единой консоли управления (включая плановые через планировщик задач – как для ОС сенсора, так и для набора правил инспекции трафика);
контроль политик безопасности на непротиворечивость при их установке на исполнительные устройства;
автоматическое создание и ведение резервных копий конфигурации межсетевого экрана с возможностью наглядного сравнения изменений в графическом виде;
должна поддерживать отказоустойчивость на уровне системы управления двумя способами: резервирование сервера управления с полной репликацией всей конфигурации и возможностью переключения на резервный в случае сбоя основного, а также возможность полного резервного копирования и последующего восстановления всей конфигурации из резервной копии штатными средствами (должна сохраняться полная копия состояния системы, а не только сама конфигурация);
централизованное управление и мониторинг должен обеспечиваться представлением данных об инцидентах безопасности, сортированные по любому типу данных для быстрой обработки информации;
иметь возможность визуализации данных об инцидентах на карте мира с привязкой к местоположению (geolocation);
возможность составления произвольных отчетов (предопределенных, а также задаваемых «с нуля» администратором) по любому набору полей, помещаемых в БД журнала событий, при этом должна иметься возможность ребрендинга подложки отчета (внешний вид отчета для соответствия корпоративному стилю организации);
система отчетов должна быть интегрирована с планировщиком с целью автоматизации процесса их подготовки и создания, а готовый отчет должен быть сохранен в системе для анализа (с возможностью автоматической публикации на Web-портале сервера управления) и опционально направлен администратору по электронной почте;
должна быть интегрирована развитая система оповещения администраторов о происходящих событиях, в том числе сложные, иерархические варианты оповещения;
встроенный центр сертификации с поддержкой автоматической выдачи сертификатов для управляемых устройств, а также возможность интеграции с другими центрами сертификации;
автоматизированное построение карты сети с отображением как логических связей между компонентами, так и топологии;
гибкая фильтрация по любому полю журнала событий и возможность просмотра «живого» журнала (просмотр журнала в режиме реального времени с динамическим отображением новых событий, которые в него попадают на экране администратора в режиме реального времени, без необходимости «обновления» экрана и др. манипуляций).
Компоненты подсистемы должны удовлетворять требованиям:
РД Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по классу защищенности не ниже второго;
ФСБ России к шифровальным СКЗИ класса КС2 и может использоваться для криптографической защиты информации (шифрование и имитозащита IP-трафика, криптографическая аутентификация абонентов при установлении соединения), не содержащей сведений, составляющих государственную тайну.
1.19.4Подсистема предотвращения компьютерных атак
Подсистема предотвращения компьютерных атак предназначена для обнаружения и предотвращения компьютерных и сетевых атак, направленных на компоненты ИС.
Подсистема предотвращения компьютерных атак предназначена для выявления/блокирования сетевых атак в режиме реального времени со стороны внешних сетей.
В состав подсистемы должны входить:
программно-аппаратное устройство на границе периметра сети с внешними сетями, работающее в прозрачном режиме;
центр управления подсистемы (единый для подсистем межсетевого экранирования и криптографической защиты каналов связи, и подсистемы предотвращения компьютерных атак).
Подсистема предотвращения компьютерных атак должна обеспечивать возможность реализации следующих функциональных возможностей:
мониторинг трафика, циркулирующего на канальном, сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем с возможностью блокирования соответственно фреймов, пакетов, сегментов или датаграмм на каждом из уровней анализа;
возможность блокировки трафика по принципу межсетевого экрана;
блокирование пакетов данных, нарушающих заданную политику безопасности, включая разбор и анализ протоколов, применяемых для туннелирования трафика (GRE, IPinIP);
обеспечивать возможность обнаружения работы несанкционированного ПО (spyware, программ удаленного управления, троянов и т.п.) и возможность его блокирования;
работа в пассивном режиме как при копировании части трафика на устройство (span, tap, IDS), так и при установке в разрыв канала связи (inline, IPS), а также возможность комбинировать режимы работы в рамках одного исполнительного устройства;
анализ информации в заданных VLAN при инспекции трафика на транковых портах – например, возможность выделения из набора данных только тех VLAN, которые должны подвергаться анализу, или наоборот, активацию инспекции для всего транка, без учета номеров VLAN. Также должна быть возможность анализа «прямого» и «возвратного» трафика одной и той же сессии, передаваемой в рамках транка по двум разным VLAN, одним устройством;
возможность создания отказоустойчивой конфигурации средствами самого устройства, без привлечения сторонних устройств маршрутизации трафика, с функциями наращивания производительности под будущие задачи – clustering (не менее 3-х устройств в отказоустойчивой конфигурации);
возможность беспрепятственного прохождения трафика в случае выхода устройства из строя или сбоя питания без вмешательства администратора (hardware bypass);
возможность пропуска части трафика без инспекции при перегрузке устройства в процессе инспекции трафика без вмешательства администратора (software bypass – функция должна быть настраиваемой, отключаемой);
возможность инспекции зашифрованного HTTP трафика (осуществлять разбор SSL);
при обнаружении нарушения политики безопасности система должна иметь возможность как заблокировать соединение, так и отправить в ответ пользователю HTTP-уведомление;
выявление аномалий протоколов (включая прикладные протоколы);
контроль соответствия трафика приложений стандартам RFC;
анализ трафика должен выполняться с учетом состояния контекста соединения (аналог stateful inspection);
возможность детектирования по заданным сигнатурам для разных контекстов прикладных протоколов;
оповещение администратора об обнаруженных атаках должно осуществляться как уведомлением на консоль, так и настраиваемыми сообщениями по эл.почте, уведомлениями SNMP-trap с индивидуальным конфигурированием под каждое из событий;
возможность корреляции группы или индивидуальных событий встроенными механизмами по порядку следования с целью создания сложных правил политики безопасности;
отсутствие необходимости выполнения регламентных операций на исполнительном устройстве, используя локальный интерфейс – все операции должны выполняться централизованно, через единую графическую консоль управления и мониторинга;
исполнительные устройства должны поддерживать удаленные безопасные обновления с единой консоли управления (включая плановые через планировщик задач – как для ОС сенсора, так и для набора правил инспекции трафика);
система централизованного управления сенсором должна обеспечивать возможность централизованного управления политиками безопасности, а также возможность создания правил, которые осуществляют поиск конкретного контента в специализированном трафике, таком как HTTP, FTP, SNMP, SMTP и др. (включая протоколы туннелирования – GRE, IPinIP, IPv6).
С точки зрения технических характеристик устройство предотвращения компьютерных атак должен обладать характеристиками не хуже:
форм-фактор - Rackmount, 1U монтируемый в 19’’ стойку;
не менее 6 интерфейсов GigEthenet, из них не менее 4-х должны поддерживать функцию hardwarebypass (2 inline пары);
скорость инспекции UDP трафика не менее 2 Гб/с;
скорость инспекции HTTP трафика не менее 1 Гб/с;
скорость инспекции HTTPS трафика не менее 500 Мб/с;
поддержка одновременных соединений не менее 1,3 млн.;
количество поддерживаемых VLAN – без ограничений.
Требования по сертификации средства предотвращения компьютерных атак:
должно иметь сертификат соответствия ФСТЭК России, подтверждающий, что данное СЗИ является программно-техническим средством защиты информации, обрабатываемой в локальных вычислительных сетях с TCP/IP протоколом, от несанкционированного доступа из внешних вычислительных сетей, и соответствует требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программные обеспечение средств защиты информации. Классификация по уровню отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 4 уровню контроля и может использоваться для создания автоматизированных систем до класса защищенности 1Г включительно, а так же для защиты информации в информационных системах персональных данных до 1 класса включительно.
1.19.5Подсистема анализа защищенности
Подсистема анализа защищенности должна обеспечивать выявление уязвимостей компонентов ИС, а также контроль соответствия компонентов ИС и подсистем информационной безопасности требованиям политик безопасности.
Подсистема анализа защищенности предназначена для:
идентификации узлов, инвентаризация аппаратного и программного обеспечения;
выявления уязвимостей и ошибок конфигурирования;
планирование и автоматизация сканирования
формирования отчетов;
имитация внешних атак и попыток несанкционированного доступа (НСД);
управление доступом.
Подсистема анализа защищенности должна реализовывать концепцию сканирования узлов без применения заранее установленных агентов.
Средства подсистемы анализа защищенности должны обеспечивать возможность реализации следующих функциональных возможностей:
должно выполнять сканирование узлов сети в заданной пользователем области поиска по IP-адресам, NetBIOS и DNS-именам (FQDN);
-
в пользовательском интерфейсе должна быть реализована возможность задания пользователем области поиска следующими способами:
указанием IP-адресов (диапазонов IP – адресов);
указанием DNS имен (NetBIOS имен);
комбинацией первых двух способов;
обеспечивать сканирование узлов сети, реализующих сетевые сервисы, доступные по протоколу TCP, с номерами портов в диапазоне 1…65535;
обеспечивать идентификацию операционных систем (ОС) семейства Windows;
производить сканирования сетевых принтеров;
обеспечивать сканирование и идентификацию узлов сети, реализующих сетевые сервисы, доступные по протоколам UDP: Echo, Date, Quota, Charden, DNS, TFTP, PortMapper, NTP, Microsoft RPC, NetBIOS Name, SNMP, MsSQL, UPNP, pcAnyWhere, Internet Key Exchange (IKE), XDMCP, SIP;
поддерживать подбор паролей для следующих групп сетевых служб и протоколов:
протоколы электронной почты:
протоколы удаленного управления:
Telnet;
SNMP;
Microsoft RDP;
SSH;
-
идентифицировать следующее программное обеспечение, установленное на узлах сети:
Microsoft Updates;
Microsoft SQL Server;
Microsoft Internet Explorer;
Microsoft Windows MDAC;
Microsoft Internet Information Services;
Microsoft WINS Server;
Microsoft DNS Server;
Microsoft Windows Media;
производить идентификацию аппаратных платформ сканируемых узлов сети, сведения об аппаратных платформах должны содержать:
производитель;
наименование модели;
тактовая частота.
-
информацию об оперативной памяти:
информацию о BIOS:
производитель;
версия;
дата выпуска.
информацию о материнской плате:
информацию о сетевых картах:
модель;
производитель;
тип интерфейса;
MAC – адрес.
производить оценку уровня критичности для выявленных уязвимостей и ошибок в конфигурации;
предоставить пользователю краткое описание уязвимости или ошибки конфигурации, методов ее устранения;
обеспечивать автоматический запуск задач на сканирование в соответствии с задаваемым пользователем расписанием. В пользовательском интерфейсе должна быть реализована возможность задания пользователем следующих параметров автоматического запуска задач:
название задачи;
периодичность запуска задачи (однократно, ежедневно, еженедельно, ежемесячно, периодически через заданный промежуток времени);
начальная и конечная даты действия расписания;
формировать отчеты следующих типов:
отчет по скану;
отчет по задаче или группе задач;
в пользовательском интерфейсе должна быть реализована возможность задания пользователем следующих параметров для выгрузки отчета в общий каталог:
имя каталога;
имя и пароль пользователя, от имени которого выполняется обращение к общему каталогу.
в пользовательском интерфейсе Изделия должна быть реализована возможность указания пользователем параметров отчетов и создания шаблонов отчетов с предопределенными параметрами.
отчет должен содержать:
информацию о сканируемом узле;
перечень выявленных уязвимостей и ошибок конфигурации;
для уязвимостей – дополнительную информацию об уязвимости (если в параметрах отчета пользователем включена данная опция):
индекс в каталоге CVE;
описание, оценку угрозы;
рекомендации по устранению;
ссылки на внешние источники информации;
проводить анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные средства;
проводить имитацию попыток НСД к узлам сети с помощью тест-программ;
при запуске программы должно обеспечивать аутентификацию пользователей по паролю;
обеспечивать возможность смены пароля пользователя;
должно производить регистрацию следующих событий:
процедура запуска сканера;
процедуры входа пользователя в систему;
регистрации попыток неудачного входа;
сеансов сканирования;
генерации отчетов;
изменения пароля.
Компоненты средств анализа защищенности должны быть установлены на АРМ Администратора ИБ, операционная система Microsoft Windows 7 SP1.
Требования по сертификации средств анализа защищенности:
должны обладать сертификатом ФСТЭК России, подтверждающим что они являются средством автоматизированного анализа защищенности и обнаружения уязвимостей автоматизированных систем, обрабатывающих информацию, не содержащую сведений, составляющих государственную тайну, соответствует требования руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 4 уровню контроля и может применяться для анализа защищенности автоматизированных систем до класса 1Г включительно и информационных систем персональных данных до 1 класса включительно.
|
