Системи виявлення вторгнень, сертифіковані за новими вимогами
Вимоги (профілі захисту) до систем виявлення вторгнень (СОВ) були затверджені Наказом ФСТЕК Росії №638 від 6 грудня 2011 року та вступили в дію з 15 березня 2012 року . Як і для інших засобів захисту інформації, профілі захисту відкрито опубліковані тільки частково - доступні вимоги для четвертого , п'ятого і шостого класів захисту.
Див. також:
- Міжмережеві екрани, сертифіковані за новими вимогами
- Антивіруси, сертифіковані за новими вимогами
Всього було введено два типи систем виявлення вторгнень (СОВ):
- СОВ рівня мережі: Датчики (сенсори) збирають інформацію про пакети даних, що передаються в межах інформаційної системи (ІС) (сегмента ІС), в якій (якому) встановлені ці датчики. Датчики СОВ рівня мережі можуть бути реалізовані у вигляді програмного забезпечення (ПО), що встановлюється на стандартні програмно-технічні платформи, а також у вигляді програмно-технічних пристроїв, що підключаються до ІС (сегменту ІС);
- СОВ рівня вузла: Датчики СОВ рівня вузла є програмні модулі, що встановлюються на захищаються вузли інформаційної системи (ІС) і призначені для збору інформації про події, що виникають на цих вузлах.
Крім двох типів СОВ визначені 6 класів захисту для них: чим вищий клас (1 - найвищий), тим більше до них вимог і тим в більш високого класу систем (ГІС, АСУ, ІСПДн, системи значущих об'єктів КВІ) вони можуть застосовуватися.
На момент публікації даного поста в реєстрі ФСТЕК присутній 22 сертифіката зі згадуванням профілів захисту СОВ і 19 з них видані на серію (3 - на обмежену партію виробів).
Нижче наведені всі доступні на сьогодні сертифіковані серією по поточним вимогам ФСТЕК системи виявлення вторгнень, згруповані за типами.
Системи виявлення вторгнень рівня мережі
Клас захисту № сертифіката - Система виявлення вторгнень рівня мережі ІТ.СОВ.С1.ПЗ відсутні ІТ.СОВ.С2.ПЗ ІТ.СОВ.С3.ПЗ ІТ.СОВ.С4.ПЗ ІТ.СОВ.С5.ПЗ ІТ.СОВ. С6.ПЗ відсутні
Системи виявлення вторгнень рівня вузла
Мережевих СОВ представлено багато (14 штук), є як вітчизняні рішення, так і зарубіжні (правда, останні тільки 4 і 5 класів захисту). А ось СОВ рівня вузла лише 6 варіантів і все, крім Ребус-СОВ (у нього клас 2), мають тільки 4 клас захисту.
Мабуть, варто звернути увагу ще ось на який момент (спасибі Олексію Лукацькому за ідею) - версія продукту, на яку видано сертифікат.
У випадку з вітчизняними рішеннями, які майже всі в іншому, відмінному від сертифікованого вигляді не існують і не продаються, це не так важливо, а ось для зарубіжних продуктів - справа зовсім інша.
Так, якщо вірити, прес-релізу Trend Micro від червня 2017 року, сертифікат 3232 виданий на "програмно-апаратний комплекс Trend Micro TippingPoint серій N і NX з операційною системою TOS версія 3.9.0 і системою управління Security Management System версія 4.5.0", що, згідно з документом TippingPoint End of Life (EOL) dates , Означає, що дане сертифіковане рішення хоч і не останньою версією, але, по крайней мере, є підтримуваним.
Потрібно, правда, зазначити, що в тексті прес-релізу щодо сертифіката 3232 говориться про те, що він виданий на СОВ рівня мережі, але в реєстрі ФСТЕК зазначено, що сертифікат 3232 виданий для СОВ рівня вузла (ІТ.СОВ.У4.ПЗ ), та й взагалі - на якийсь "HP TrippingPoint".
Сертифікат рівня мережі на TippingPoint в реєстрі ФСТЕК все ж є - це сертифікат 3481. Біда тільки в тому, що (якщо вірити реєстру) сертифікат 3481 виданий на "програмно-апаратний комплекс HP TippingPoint серій N і NX з операційною системою TOS версія 3 і системою управління SMS версія 3 ", тобто на застарілу і не підтримуються з березня 2016 систему управління.
Trend Micro NX і SMS - зняття з підтримки
Прес-реліз і реєстр ФСТЕК суперечать один одному і можна було б вірити реєстру, але в ньому теж є помилки: згаданий TrippingPoint або той же САВ3.ІТ з цифрою 3 замість літери З ( писав про нього в липні , Поки так і не виправили). Оригінали сертифікатів ФСТЕК просить не публікувати, так що "The Truth Is Out There" (с)
У іншого неросійського вендора Check Point, на жаль, сертифікована версія (R77.10), офіційно знята з підтримки рік тому .
Check Point R77.10 - зняття з підтримки
У ще одного закордонного виробника Fortinet сертифікований "програмно-апаратний комплекс« FortiGate », що функціонує під управлінням операційної системи FortiOS 5.4.1". Дана версія буде знята з інженерної підтримки в грудні 2018 року, а остаточно - тільки в 2020 році (інформація з розділу Служби підтримки: Fortinet Life Cycle Information , Для доступу потрібно мати зареєстрований аакаунт).
FortiOS 5.4 - зняття з підтримки
Нарешті, у Cisco сертифікована "система виявлення вторгнень Cisco ASA FirePOWER версії 6.2", є актуальною , Що й зрозуміло - сертифікат був отриманий тільки в березні цього року.
ASA and ASA FirePOWER Compatibility
До речі, в звіті NSS Labs 2017 Security Value Map (SVM) for Next Generation Intrusion Prevention Systems (NGIPS) від листопада минулого року фігурують такі моделі і версії продуктів згаданих виробників:
- Check Point Software Technologies 15600 R77.30
- Cisco FirePOWER 8350 v6.2.0.1
- Fortinet FortiGate 600D v5.4.5
- Trend Micro 7500NX v3.9.2.4784
NSS Labs 2017 Security Value Map (SVM) for Next Generation Intrusion Prevention Systems (NGIPS)
Підсумкова таблиця за версіями невітчизняного продуктів виглядає так (для Trend Micro потрібне уточнення номера сертифікованої версії):
Виробником сертифікованого СТАТУС У звіті NSS LABS ТЕКУЩАЯ ВЕРСІЯ Check Point R77.10 Знято з підтримки R77.30 R80.10 Cisco FirePOWER 6.2 Актуальна FirePOWER 6.2.0.1 FirePOWER 6.2.3 Fortinet 5.4.1 Підтримується 5.4.5 6.0 Trend Micro NX 3 * Підтримується * NX 3.9.2.4784 NX 3.9.3 Trend Micro SMS 3 * Знято з підтримки * - SMS 5.1.0
Як побажання авторам і укладачам реєстру ФСТЕК зазначу, що було б здорово в реєстрі бачити в явному вигляді сертифіковану версію продукту з деталізацією хоча б до однієї цифри після крапки для всіх засобів захисту інформації.
Ну, і помилок, яких, зрозуміло, не уникнути на 100%, хотілося б поменше.
