Как всем уже известно, с 1 декабря 2016 года действуют новые требования к межсетевым экранам от ФСТЭК. Что можно, а что нельзя делать с межсетевыми экранами, сертифицированными по старым требованиям, я уже писал ранее. Но, по мере появления МЭ, сертифицированных по новым требованиям, особенно по высоким классам защиты, многие операторы ГИС стали задаваться одним интересным вопросом.
В сертификатах ФСТЭК на такие МЭ явным образом не указывается то, что устройства (или программные комплексы) прошли проверку отсутствия НДВ в своей программной части (вот здесь пример свежего сертификата на Positive Technologies Application Firewall). И здесь встает дилемма: с одной стороны в информационном сообщении ФСТЭК сказано, что межсетевые экраны 4 класса можно использовать в ГИС до 1 класса защищенности включительно, с другой — 26-й пункт 17-го приказа ФСТЭК говорит о том, что в ГИС 1 и 2 классов защищенности должны применяться средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия НДВ.
Так можно ли применять такие МЭ, как, например, PT AF в ГИС 1 и 2 класса? Да, можно! И тут даже нет никаких проблем и противоречий. В документе «Требования к межсетевым экранам» (утв. приказом ФСТЭК России от 9 февраля 2016 г. № 9) определено, что сертификация по определенному классу подразумевает как контроль отсутствия НДВ, так и оценочный уровень доверия. Проблема тут только в одном — в том, что документ распространяется с пометкой «дсп». Для тех, у кого документ есть на руках — таблица соответствия в разделе 20, в таблице 5. Для тех у кого документа нет, просто напишу здесь, что 5 класс МЭ соответствует 4 уровню контроля отсутствия НДВ и оценочному уровню доверия ОУД2. 4 класс МЭ — 4 уровню контроля отсутствия НДВ и ОУД3. Для более высоких классов МЭ соответственно предусмотрены более высокие уровни контроля отсутствия НДВ и более высокий ОУД, эта информацию уже пусть останется закрытой.
Кому-то может показаться эта проблема высосанной из пальца, но на самом деле отсутствие такой информации в явном виде может повлечь проблемы с одной стороны в убеждении оператора ГИС высокого класса в том, что этот МЭ действительно подходит для них не только по функциональности, но и по всем требованиям законодательства, с другой стороны — не очень опытный проверяющий может сказать, что тот или иной МЭ не подходит для ГИС 1 или 2 класса, так как якобы не прошел проверку на отсутствие НДВ.
Проблему можно было бы легко и просто решить двумя способами:
- Опубликовать в открытом доступе соотношение классов МЭ с уровнями проверки на отсутствие НДВ.
- Прописывать явным образом в сертификатах соответствия факт проверки продукта на отсутствие НДВ.
UPD: Спустя сутки дискуссий и поисков, то что нужно нашлось в информационном сообщении ФСТЭК, не касающемся межсетевых экранов напрямую: «Отмечаем, что требования по безопасности информации к средствам защиты информации, утвержденные ФСТЭК России в пределах своих полномочий начиная с декабря 2011 г., включают требования по соответствующему уровню контроля отсутствия недекларированных возможностей для классов защиты этих средств»