Сертифицированный межсетевой экран: на что обратить внимание при выборе и какие требования предъявляет ФСТЭК

Прежде чем купить межсетевой экран, любая государственная организация должна помнить о том, что он обязан быть сертифицирован ФСТЭК.

Каким организациям необходим межсетевой экран?

В соответствии с законами №436-ФЗ («О защите детей от информации, причиняющей вред их здоровью и развитию»), №149-ФЗ («Об информации, информационных технологиях и о защите информации», в том числе его дополнением «О защите детей»), №152-ФЗ («О защите персональных данных») и №187-ФЗ («О безопасности критической информационной инфраструктуры Российской Федерации») следующим организациям предписано использование технологий межсетевого экранирования:

• учебные заведения;
• медицинские учреждения;
• музеи, библиотеки и другие публичные места;
• МФЦ;
• министерства;
• госорганы;
• предприятия и другие государственные организации.

Согласно законам РФ такие IT-решения, как межсетевые экраны и шлюзы безопасности, применяющиеся в государственных учреждениях, должны быть отечественного производства и сертифицированы ФСТЭК России (Федеральная служба по техническому и экспортному контролю).

КОД ПРОВЕРЯЛИ БУКВАЛЬНО ПО СТРОЧКАМ:
КАК TRAFFIC INSPECTOR NEXT GENERATION ПРОХОДИЛ СЕРТИФИКАЦИЮ ФСТЭК

Требования ФСТЭК к межсетевым экранам

Межсетевой экран (сокращенно МЭ, другое название — файрвол, от английского firewall) согласно ФСТЭК — это «программное или программно-техническое средство, реализующее функции контроля и фильтрации в соответствии с заданными правилами проходящих через него информационных потоков».

Согласно определению, МЭ должен противодействовать следующим угрозам:

1. несанкционированному доступу к цифровой информации организации;
2. отказу в обслуживании информационной системы по причине неконтролируемых сетевых подключений (в том числе DDoS-атакам), уязвимостей, недостатков настроек;
3. несанкционированной передаче информации из внутренней системы организации во внешнюю среду, в том числе вследствие работы вредоносного программного обеспечения;
4. воздействию на МЭ с целью нарушения его функционирования.

Руководящий документ. Средства вычислительной техники. Межсетевые экраны.

Ссылка на документ на сайте ФСТЭК

Согласно документу на сайте ФСТЭК, межсетевой экран должен уметь:

• контролировать и фильтровать трафик;
• аутентифицировать пользователей;
• собирать и хранить статистику событий;
• взаимодействовать с другими средствами защиты информации и др.

Типы межсетевых экранов согласно классификации ФСТЭК:

• тип «А»: межсетевой экран, применяемый на физической границе или между физическими границами сегментов локальной инфраструктуры организации;
• тип «Б»: межсетевой экран, применяемый на логической границе или между логическими границами сегментов локальной инфраструктуры организации;
• тип «В»: межсетевой экран, применяемый на узле (хосте) информационной системы;
• тип «Г»: межсетевой экран, применяемый на сервере или на физической границе сегмента серверов;
• тип «Д»: межсетевой экран, применяемый в автоматизированной системе управления технологическими или производственными процессами.

Классы защиты межсетевых экранов:

• 6-й класс защиты: применяется в информационных системах 3-го и 4-го классов защищенности, в автоматизированных системах управления производственными и технологическими процессами 3-го класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3-го и 4-го уровней защищенности персональных данных;
• 5-й класс защиты: применяется в информационных системах 2-го класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2-го класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2-го уровня защищенности персональных данных;
• 4-й класс защиты: применяется в информационных системах 1-го класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1-го класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1-го уровня защищенности персональных данных, в информационных системах общего пользования II класса;
• межсетевые экраны, соответствующие 3-му, 2-му и 1-му классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая государственную тайну.

Выбор межсетевого экрана. Обзор основных причин приобретения

Вначале нужно определиться с классом защиты. Это важно, поскольку иные интеграторы практикуют установку своим клиентам более дорогих решений, в том числе сертифицированных ФСБ, объясняя чрезмерную стоимость высоким уровнем защиты. На практике подавляющему большинству государственных организаций достаточно межсетевого экрана 4-го и 5-го классов защиты с сертификатом ФСТЭК (если, конечно, это не Администрация Президента, органы ФСБ или МВД).

Далее, следует определиться с типом. Наиболее подходящий для большинства государственных заведений — типы «А» и «Б», то есть межсетевые экраны, применяемые на физической и, соответственно, логической границе локальной сети. Межсетевые экраны типа «Б» могут иметь как программную, так и программно-аппаратную реализацию, в отличие от них тип тип «А» может быть только программно-аппаратным.

1. ПРОФИЛЬ ЗАЩИТЫ МЕЖСЕТЕВЫХ ЭКРАНОВ ТИПА «Б» ПЯТОГО КЛАССА ЗАЩИТЫ. ИТ.МЭ.Б5.ПЗ МЕТОДИЧЕСКИЙ ДОКУМЕНТ
2. ПРОФИЛЬ ЗАЩИТЫ МЕЖСЕТЕВЫХ ЭКРАНОВ ТИПА «А» ЧЕТВЕРТОГО КЛАССА ЗАЩИТЫ. ИТ.МЭ.А4.ПЗ МЕТОДИЧЕСКИЙ ДОКУМЕНТ

При сравнении межсетевых экранов помимо цены и наличия сертификата ФСТЭК необходимо обратить внимание на функциональную составляющую. Большую популярность в последнее время получили так называемые UTM-решения. Они представляют собой не просто межсетевые экраны, а полноценные сетевые шлюзы безопасности, включающие:

• шлюзовый антивирус для борьбы с вредоносным ПО;
• блокировку сайтов по их содержимому, категории или конкретному адресу;
• VPN (возможность создания виртуальных частных сетей);
• мониторинг сетевой активности и отчетность;
• управление пропускной способностью интернет-доступа и приоритизацией трафика;
• прокси-сервер.

Как выбрать UTM-решение для защиты локальной компьютерной сети >>

Российский сертифицированный межсетевой экран от компании «Смарт-Софт»

Сертифицированный универсальный шлюз безопасности (UTM) Traffic Inspector Next Generation FSTEC получил сертификат соответствия № 3834 от 04.12.2017, который действителен до 04.12.2020. Сертификат подтверждает, что решение соответствует требованиям документов "Требования к межсетевым экранам" (ФСТЭК России, 2016), "Профиль защиты межсетевых экранов типа А четвертого класса защиты. ИТ.МЭ.А4.ПЗ", "Профиль защиты межсетевых экранов типа Б четвертого класса защиты. ИТ.МЭ.Б4.ПЗ".

Сертификат на универсальный шлюз безопасности Traffic Inspector Next Generation можно найти на сайте ФСТЭК.

Протестируйте межсетевой экран, высокую скорость работы и полную функциональность сетевого шлюза безопасности в своей сети. 

Бесплатно в течение 30 дней.