SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Сертификация ФСТЭК

Сертификация ФСТЭК
08.04.2024


Руслан Рахметов, Security Vision

 

При реализации проектов по кибербезопасности следует тщательно относится к выбору средств защиты информации, особенно при защите информации ограниченного доступа, охраняемой в соответствии с требованиями законодательства РФ, включая персональные данные, данные критической информационной инфраструктуры и государственных информационных систем, а также государственную тайну. Средства технической защиты информации (сокращенно СТЗИ, СрЗИ или СЗИ) и средства обеспечения безопасности информационных технологий (сокращенно СОБИТ) предназначены для снижения уровня киберрисков организации посредством реализации технических мер и соответствующих процессов ИБ, которые обеспечивают безопасность активов и бизнес-процессов. Сами средства защиты предназначены в том числе для выполнения действия по выявлению, анализу, устранению киберугроз, а также мониторингу состояния систем, сетей и сущностей (интерфейсов, приложений, устройств, учетных записей пользователей и т.д.).

 

В российской регуляторной практике есть деление СЗИ на средства антивирусной защиты информации, системы обнаружения вторжений, межсетевые экраны, средства доверенной загрузки, средства защиты от неправомерной передачи защищаемой информации, средства контроля съемных машинных носителей, системы управления событиями ИБ и т.д. Организациям также следует учитывать требования российских нормативных правовых актов при выборе решений, которые с законодательной точки зрения будут реализовывать корректные функции безопасности для защиты информации и противодействия тем или иным угрозам. Такие СЗИ называются сертифицированными, поскольку прошли процедуры сертификации на соответствие требованиям по безопасности информации; такую сертификацию проводят государственные органы (ФСТЭК России, ФСБ РФ, МО РФ) или коммерческие структуры (например, существует система добровольной сертификации «Газпромсерт»). В данной статье расскажем про наиболее популярную систему сертификации ФСТЭК России, про классы сертифицированных решений, уровни доверия и уровни контроля.

 

Итак, основополагающим документом в системе сертификации ФСТЭК России является Положение о системе сертификации средств защиты информации, утвержденное Приказом ФСТЭК России №55 от 03.04.2018 г. В данном документе описан общий порядок проведения сертификации средств противодействия иностранным техническим разведкам, средств технической защиты информации, средств обеспечения безопасности информационных технологий, а также средств контроля эффективности данных решений. Отдельно подчеркивается, что сертификация не проводится для СЗИ иностранного производства - в реалиях 2024 года это очевидно, но и до 2022 года иностранные вендоры крайне редко решались на прохождение отечественных процедур сертификации (в основном, это было связано с необходимостью предоставлять регулятору обширную информацию о продуктах). Участниками процедуры сертификации СЗИ являются:

       

  • Непосредственный производитель решения (разрабатывает решение, предоставляет его на проверку в испытательную лабораторию, формирует сопроводительную документацию, а также устраняет выявляемые уязвимости и недекларированные возможности, выпускает обновления, актуализирует документацию);

  • Испытательная лаборатория (проводит сертификационные испытания СЗИ);

  • Орган по сертификации (проводит сертификацию и оформляет сертификат соответствия);

  • Федеральный орган по сертификации (ФСТЭК России организует и контролирует всю систему сертификации СЗИ).

 

Сертификация ФСТЭК проводится для единичного образца или партии СЗИ (если отсутствует серийное производство решения), а также для серийного производства СЗИ (проводятся испытания выборочных образцов решения, проверяется также процесс его производства и поддержки). В документе подчеркивается, что в рамках системы сертификации испытательные лаборатории и органы по сертификации должны обеспечивать защиту информации, полученной от производителя СЗИ, а также защищать сведения о методиках сертификационных испытаний.

 

Сам процесс сертификации включает в себя следующие этапы:

  • Подача заявки на сертификацию;

  • Принятие решения о проведении сертификации СЗИ;

  • Сертификационные испытания СЗИ;

  • Оформление экспертного заключения по результатам сертификации;

  • Выдача сертификата соответствия.

 

Кроме этого, могут выполняться дополнительные и сопутствующие действия, такие как переоформление сертификата, продление срока его действия, приостановление или прекращение действия (отзыв) сертификата. Действие сертификата может быть приостановлено на срок не более 90 дней по различным причинам, в том числе при выявлении уязвимостей или недекларированных возможностей в сертифицированном решении или при прекращении оказания производителем технической поддержки пользователям продукта. В случае, если вендор не устранит выявленные недостатки или не возобновит оказание технической поддержки, сертификат соответствия может быть отозван. Регулятор ведет и поддерживает государственный реестр сертифицированных средств защиты информации, размещенный на сайте https://reestr.fstec.ru/reg3.

 

Далее перейдем к описанию классов сертифицированных решений, расскажем про уровни доверия и уровни контроля - данные термины описаны в документе «Требования по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утвержденном Приказом ФСТЭК России №76 от 02.06.2020 г. В данном документе определены 6 уровней доверия к СЗИ и СОБИТ, которые характеризуют безопасность их применения для обработки и защиты информации ограниченного доступа и для обеспечения безопасности значимых объектов КИИ РФ. Самый низкий уровень доверия - шестой, самый высокий - первый, при этом они дифференцированы следующим образом:

 

  • СЗИ и СОБИТ, соответствующие 6 уровню доверия, можно использовать на ЗОКИИ с 3 категорией значимости, в ГИС с 3 классом защищенности, в АСУТП с 3 классом защищенности, в ИСПДн при необходимости обеспечения 3 и 4 уровней защищенности ПДн;

  • СЗИ и СОБИТ, соответствующие 5 уровню доверия, можно использовать на ЗОКИИ с 2 категорией значимости, в ГИС с 2 классом защищенности, в АСУТП с 2 классом защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности ПДн;

  • СЗИ и СОБИТ, соответствующие 4 уровню доверия, можно использовать на ЗОКИИ с 1 категорией значимости, в ГИС с 1 классом защищенности, в АСУТП с 1 классом защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности ПДн, в информационных системах общего пользования II класса;

  • СЗИ и СОБИТ, соответствующие 1, 2, 3 уровням доверия, применяются в информационных системах, обрабатывающих государственную тайну.

 

В документе также установлено соответствие между классами СЗИ и СВТ (средств вычислительной техники) и уровнями доверия: СЗИ 6 класса должны соответствовать 6 уровню доверия, СЗИ 5 класса - 5 уровню доверия, СЗИ 4 класса и СВТ 5 класса - 4 уровню доверия. В тексте приводится также набор требований к разработке, производству, проведению испытаний (в рамках сертификации), поддержке СЗИ и СОБИТ. Требования к разработке и производству СЗИ и СОБИТ включают в себя требования к разработке модели безопасности, проектированию решения и его архитектуры безопасности, разработке функциональной спецификации и документации (проектной, эксплуатационной, по безопасной разработке), а также к средствам разработки и к управлению конфигурацией решений. Требования к проведению испытаний включают в себя требования к тестированию решений, к испытаниям для поиска уязвимостей и недекларированных возможностей, к анализу скрытых каналов управления и передачи данных в решении. Наконец, требования к поддержке безопасности решений включают в себя требования к устранению недостатков решения (в том числе уязвимостей и недекларированных возможностей), к установке обновлений и предоставлению актуализированной документации, уведомлению пользователей об окончании поддержки или производства решения, а также к документированию процедур установки обновлений и устранения недостатков.

 

Кроме того, к работам по поиску уязвимостей и недекларированных возможностей в СЗИ и СОБИТ предъявляются дополнительные требования по уровням контроля:


  • Испытания решений, соответствующих 6 уровню доверия, должны проводиться по 6 уровню контроля, включая проверку аппаратных платформ решений на наличие микросхем, которые могут повлиять на функции безопасности или могут быть использованы для реализации угроз;

  • Испытания решений, соответствующих 5 уровню доверия, должны проводиться по 5 уровню контроля, включая дополнительную к 6 уровню проверку корректности структурной и функциональной схем аппаратной платформы, а также проверку корректности данных из формуляра на решение;

  • Испытания решений, соответствующих 4 уровню доверия, должны проводиться по 4 уровню контроля, включая дополнительную к 5 уровню проверку компонентов аппаратной платформы на соответствие структурной и функциональной схемам, а также проверку потенциально опасных аппаратных компонентов, которые могут повлиять на функции безопасности или могут быть использованы для реализации угроз.

ИБ для начинающих СЗИ ФСТЭК

Рекомендуем

Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Конфиденциальная информация
Конфиденциальная информация
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust

Рекомендуем

Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
Конфиденциальная информация
Конфиденциальная информация
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust

Похожие статьи

Управление мобильными устройствами
Управление мобильными устройствами
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Динамические плейбуки
Динамические плейбуки
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM

Похожие статьи

Управление мобильными устройствами
Управление мобильными устройствами
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Динамические плейбуки
Динамические плейбуки
Справочник законодательства Российской Федерации в области информационной безопасности
Справочник законодательства Российской Федерации в области информационной безопасности
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM