SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Сертификация ФСТЭК

Сертификация ФСТЭК
08.04.2024


Руслан Рахметов, Security Vision

 

При реализации проектов по кибербезопасности следует тщательно относится к выбору средств защиты информации, особенно при защите информации ограниченного доступа, охраняемой в соответствии с требованиями законодательства РФ, включая персональные данные, данные критической информационной инфраструктуры и государственных информационных систем, а также государственную тайну. Средства технической защиты информации (сокращенно СТЗИ, СрЗИ или СЗИ) и средства обеспечения безопасности информационных технологий (сокращенно СОБИТ) предназначены для снижения уровня киберрисков организации посредством реализации технических мер и соответствующих процессов ИБ, которые обеспечивают безопасность активов и бизнес-процессов. Сами средства защиты предназначены в том числе для выполнения действия по выявлению, анализу, устранению киберугроз, а также мониторингу состояния систем, сетей и сущностей (интерфейсов, приложений, устройств, учетных записей пользователей и т.д.).

 

В российской регуляторной практике есть деление СЗИ на средства антивирусной защиты информации, системы обнаружения вторжений, межсетевые экраны, средства доверенной загрузки, средства защиты от неправомерной передачи защищаемой информации, средства контроля съемных машинных носителей, системы управления событиями ИБ и т.д. Организациям также следует учитывать требования российских нормативных правовых актов при выборе решений, которые с законодательной точки зрения будут реализовывать корректные функции безопасности для защиты информации и противодействия тем или иным угрозам. Такие СЗИ называются сертифицированными, поскольку прошли процедуры сертификации на соответствие требованиям по безопасности информации; такую сертификацию проводят государственные органы (ФСТЭК России, ФСБ РФ, МО РФ) или коммерческие структуры (например, существует система добровольной сертификации «Газпромсерт»). В данной статье расскажем про наиболее популярную систему сертификации ФСТЭК России, про классы сертифицированных решений, уровни доверия и уровни контроля.

 

Итак, основополагающим документом в системе сертификации ФСТЭК России является Положение о системе сертификации средств защиты информации, утвержденное Приказом ФСТЭК России №55 от 03.04.2018 г. В данном документе описан общий порядок проведения сертификации средств противодействия иностранным техническим разведкам, средств технической защиты информации, средств обеспечения безопасности информационных технологий, а также средств контроля эффективности данных решений. Отдельно подчеркивается, что сертификация не проводится для СЗИ иностранного производства - в реалиях 2024 года это очевидно, но и до 2022 года иностранные вендоры крайне редко решались на прохождение отечественных процедур сертификации (в основном, это было связано с необходимостью предоставлять регулятору обширную информацию о продуктах). Участниками процедуры сертификации СЗИ являются:

       

  • Непосредственный производитель решения (разрабатывает решение, предоставляет его на проверку в испытательную лабораторию, формирует сопроводительную документацию, а также устраняет выявляемые уязвимости и недекларированные возможности, выпускает обновления, актуализирует документацию);

  • Испытательная лаборатория (проводит сертификационные испытания СЗИ);

  • Орган по сертификации (проводит сертификацию и оформляет сертификат соответствия);

  • Федеральный орган по сертификации (ФСТЭК России организует и контролирует всю систему сертификации СЗИ).

 

Сертификация ФСТЭК проводится для единичного образца или партии СЗИ (если отсутствует серийное производство решения), а также для серийного производства СЗИ (проводятся испытания выборочных образцов решения, проверяется также процесс его производства и поддержки). В документе подчеркивается, что в рамках системы сертификации испытательные лаборатории и органы по сертификации должны обеспечивать защиту информации, полученной от производителя СЗИ, а также защищать сведения о методиках сертификационных испытаний.

 

Сам процесс сертификации включает в себя следующие этапы:

  • Подача заявки на сертификацию;

  • Принятие решения о проведении сертификации СЗИ;

  • Сертификационные испытания СЗИ;

  • Оформление экспертного заключения по результатам сертификации;

  • Выдача сертификата соответствия.

 

Кроме этого, могут выполняться дополнительные и сопутствующие действия, такие как переоформление сертификата, продление срока его действия, приостановление или прекращение действия (отзыв) сертификата. Действие сертификата может быть приостановлено на срок не более 90 дней по различным причинам, в том числе при выявлении уязвимостей или недекларированных возможностей в сертифицированном решении или при прекращении оказания производителем технической поддержки пользователям продукта. В случае, если вендор не устранит выявленные недостатки или не возобновит оказание технической поддержки, сертификат соответствия может быть отозван. Регулятор ведет и поддерживает государственный реестр сертифицированных средств защиты информации, размещенный на сайте https://reestr.fstec.ru/reg3.

 

Далее перейдем к описанию классов сертифицированных решений, расскажем про уровни доверия и уровни контроля - данные термины описаны в документе «Требования по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утвержденном Приказом ФСТЭК России №76 от 02.06.2020 г. В данном документе определены 6 уровней доверия к СЗИ и СОБИТ, которые характеризуют безопасность их применения для обработки и защиты информации ограниченного доступа и для обеспечения безопасности значимых объектов КИИ РФ. Самый низкий уровень доверия - шестой, самый высокий - первый, при этом они дифференцированы следующим образом:

 

  • СЗИ и СОБИТ, соответствующие 6 уровню доверия, можно использовать на ЗОКИИ с 3 категорией значимости, в ГИС с 3 классом защищенности, в АСУТП с 3 классом защищенности, в ИСПДн при необходимости обеспечения 3 и 4 уровней защищенности ПДн;

  • СЗИ и СОБИТ, соответствующие 5 уровню доверия, можно использовать на ЗОКИИ с 2 категорией значимости, в ГИС с 2 классом защищенности, в АСУТП с 2 классом защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности ПДн;

  • СЗИ и СОБИТ, соответствующие 4 уровню доверия, можно использовать на ЗОКИИ с 1 категорией значимости, в ГИС с 1 классом защищенности, в АСУТП с 1 классом защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности ПДн, в информационных системах общего пользования II класса;

  • СЗИ и СОБИТ, соответствующие 1, 2, 3 уровням доверия, применяются в информационных системах, обрабатывающих государственную тайну.

 

В документе также установлено соответствие между классами СЗИ и СВТ (средств вычислительной техники) и уровнями доверия: СЗИ 6 класса должны соответствовать 6 уровню доверия, СЗИ 5 класса - 5 уровню доверия, СЗИ 4 класса и СВТ 5 класса - 4 уровню доверия. В тексте приводится также набор требований к разработке, производству, проведению испытаний (в рамках сертификации), поддержке СЗИ и СОБИТ. Требования к разработке и производству СЗИ и СОБИТ включают в себя требования к разработке модели безопасности, проектированию решения и его архитектуры безопасности, разработке функциональной спецификации и документации (проектной, эксплуатационной, по безопасной разработке), а также к средствам разработки и к управлению конфигурацией решений. Требования к проведению испытаний включают в себя требования к тестированию решений, к испытаниям для поиска уязвимостей и недекларированных возможностей, к анализу скрытых каналов управления и передачи данных в решении. Наконец, требования к поддержке безопасности решений включают в себя требования к устранению недостатков решения (в том числе уязвимостей и недекларированных возможностей), к установке обновлений и предоставлению актуализированной документации, уведомлению пользователей об окончании поддержки или производства решения, а также к документированию процедур установки обновлений и устранения недостатков.

 

Кроме того, к работам по поиску уязвимостей и недекларированных возможностей в СЗИ и СОБИТ предъявляются дополнительные требования по уровням контроля:


  • Испытания решений, соответствующих 6 уровню доверия, должны проводиться по 6 уровню контроля, включая проверку аппаратных платформ решений на наличие микросхем, которые могут повлиять на функции безопасности или могут быть использованы для реализации угроз;

  • Испытания решений, соответствующих 5 уровню доверия, должны проводиться по 5 уровню контроля, включая дополнительную к 6 уровню проверку корректности структурной и функциональной схем аппаратной платформы, а также проверку корректности данных из формуляра на решение;

  • Испытания решений, соответствующих 4 уровню доверия, должны проводиться по 4 уровню контроля, включая дополнительную к 5 уровню проверку компонентов аппаратной платформы на соответствие структурной и функциональной схемам, а также проверку потенциально опасных аппаратных компонентов, которые могут повлиять на функции безопасности или могут быть использованы для реализации угроз.

ИБ для начинающих СЗИ ФСТЭК

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют