8 (3462) 70-02-80 Время работы: Пн-Пт 09-18

Применение сертифицированного ФСТЭК межсетевого экрана для защиты сети

При построении системы защиты информации в организации специалисты часто сталкиваются с непростым выбором подходящего средства защиты сетевого периметра.

Сегодня на рынке представлено большое количество межсетевых экранов (МЭ) с различными техническими особенностями и в различных ценовых категориях.

Ситуация с выбором осложняется ещё и тем, что в сентябре 2016 года ФСТЭК России утвердил новые требования к межсетевым экранам, которые делятся на 30 профилей защиты (5 типов и 6 классов защиты).

Как же может помочь законодательство о защите информации и персональных данных разобраться в этом вопросе?

В двух февральских приказах ФСТЭК 2013-го года (17-м и 21-м) описаны базовые наборы мер защиты информации, обязательных для разных классов защищенности государственных информационных систем (ГИС) и уровней защищенности персональных данных.

Все меры разделены на соответственно 13 и 15 категорий, таких как идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ), обнаружение (предотвращение) вторжений (СОВ), обеспечение доступности информации (ОДТ) и другие.

Каждая мера имеет своё условное обозначение, например, ИАФ.1 – «Идентификация и аутентификация пользователей, являющихся работниками оператора», СОВ.1 – «Обнаружение вторжений», а ОДТ.1 – «Использование отказоустойчивых технических средств».

В приказах отмечены меры, обязательные для конкретных классов ГИС и УЗ.

Специалист, предварительно определив класс (УЗ) информационной системы, по этим мерам может понять, какие примерно функции должно иметь то или иное средство защиты.

Меры по обеспечению безопасности, реализуемые межсетевым экраном Ideco ICS

Межсетевой экран Ideco ICS является многофункциональным программным и программно-аппаратным UTM-решением для организации защищенного доступа в сеть Интернет.

7-ая версия Ideco ICS находится в процессе получения сертификата по классу А5/Б5 (соответствие профилям защиты ИТ.МЭ.А5.ПЗ и ИТ.МЭ.Б5.ПЗ). Сертификационные испытания будут закончены к 4-му кварталу 2018 года.

МЭ Ideco ICS обеспечивает выполнение следующих мер защиты информации применительно к защите периметра сети и межсетевого взаимодействия:

Таблица 1
№ п/п Условное обозначение в 17-м и 21-м приказах ФСТЭК Мера
Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
1 ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
2 ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
3 ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
4 ИАФ.5 Защита обратной связи при вводе аутентификационной информации
5 ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
Управление доступом субъектов доступа к объектам доступа (УПД)
6 УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
7 УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
8 УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
9 УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
10 УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
11 УПД.8 Оповещение пользователя после успешного входа в информационную систему о его предыдущем входе в информационную систему
12 УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы
13 УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
14 УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
15 УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
Регистрация событий безопасности (РСБ)
16 РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения
17 РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
18 РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
19 РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти
20 РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
21 РСБ.7 Защита информации о событиях безопасности
22 РСБ.8 Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе
Обеспечение доступности информации (ОДТ)
23 ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы
24 ЗИС.2 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом
25 ЗИС.10 Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам
26 ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
27 ЗИС.16 Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов
28 ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
29 ЗИС.22 Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы
30 ЗИС.23 Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями
31 ЗИС.24 Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения
32 ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов
33 ИНЦ.3 Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

Ключевые возможности Ideco ICS 7 ФСТЭК

Контроль доступа
  • Персональный полноценный доступ в Интернет для каждого сотрудника. Различные возможности авторизации.
  • Интеграция с Active Directory для прозрачной авторизации пользователей.
  • Фильтрация веб-контента по 144 категориям сайтов.
  • Модуль категоризированной отчетности по веб-трафику.
  • Защита и безопасность, межсетевой экран:
  • Защита компьютеров от атак из Интернет с использованием технологии NAT и встроенного фаервола
  • Блокирование приложений на уровне Layer-7 (DPI). Включая Skype, TOR, TeamView и множество других.
  • Блокирование ip адресов и протоколов по заданным условиям.
  • Защита от сканеров сети, DoS-атак и блокирование чрезмерной активности пользователей.
  • Многоуровневая фильтрация нежелательной почты (спама).
  • Разграничение доступа к корпоративным ресурсам, создание общих и закрытых серверов сети.
  • Шейпер. Ограничение скорости Интернет-трафика для отдельных пользователей, групп, компьютеров или протоколов.
  • Ограничение трафика
  • Планирование и ограничение расходов (лимитирование) по пользователям и группам.
  • Удобные отчёты в графическом виде.
  • При авторизации через VPN и PPPoE – защита от прослушивания трафика и подстановки IP-адреса.
  • Удаленное подключение, виртуальные частные сети VPN.
  • Доступ сотрудников к сети предприятия из дома или командировки по защищенному каналу VPN. В том числе с использованием мобильных устройств на базе ОС Android и iOS.
  • Возможность объединить все удаленные подразделения в общую сеть на единой платформе по шифрованным протоколам VPN PPTP или OpenVPN.
  • Возможность создать закрытые корпоративные серверы для ограниченного круга сотрудников.
  • Полноценный маршрутизатор, поддерживающий множество интерфейсов (как локальных, так и внешних). Поддерживаются виртуальные 802.1q VLAN интерфейсы, PPTP, L2TP, PPPoE и OpenVPN интерфейсы. Возможность указать маршруты по источнику.

    Подключение к провайдерам, резервирование каналов
  • Поддержка нескольких каналов провайдеров и нескольких внешних сетей.
  • Создание разных тарифных планов. Перенаправление трафика в разные подсети.
  • Возможность полного разделения пользователей для выхода в Интернет через разных провайдеров.
  • Автоматическая проверка связи с провайдером и переключение на альтернативного провайдера, в случае необходимости.
  • Подключение к провайдеру по протоколам PPTP ( VPN ), L2TP и PPPoE.
  • Балансировка трафика между каналами.
  • Купить Ideco ICS ФСТЭК 7

    Акция: покупай Ideco ICS 7 редакции Enterprise, и переходи на сертифицированную версию на специальных условиях

    С 10 апреля вы можете приобрести не сертифицированную версию шлюза безопасности Ideco ICS, а после получения сертификата (4-ый квартал 2018 года), получить комплект сертификационных документов или аппаратную платформу по минимальной цене. Подробности у наших менеджеров: 8 800 555 33 40

    Ссылка на источник: https://ideco.ru/company/blog/fstek-article
    16 Мая 2018
    |
    Рейтинг ()

    Возврат к списку