Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Методические рекомендации Р 104-2024 "Обеспечение информационной безопасности пультов централизованного наблюдения и защиты локальных вычислительных сетей пунктов централизованной охраны при организации централизованной охраны объектов и мест проживания и хранения имущества граждан" (утв. ФКУ "Научно-исследовательский центр "Охрана" Росгвардии, 2024 г.)
- Приложение Б. Основные положения "Требований по безопасности к многофункциональным межсетевым экранам уровня сети", согласно приказу ФСТЭК России от 7 марта 2023 г. N 44
Приложение Б. Основные положения "Требований по безопасности к многофункциональным межсетевым экранам уровня сети", согласно приказу ФСТЭК России от 7 марта 2023 г. N 44
Приложение Б
(справочное)
Основные положения
"Требований по безопасности к многофункциональным межсетевым экранам уровня сети", согласно приказу ФСТЭК России от 7 марта 2023 г. N 44
Многофункциональные МЭ экраны уровня сети, соответствующие шестому классу защиты, применяются в значимых объектах критической информационной инфраструктуры третьей категории значимости 1, в государственных информационных системах третьего класса защищенности 2, в автоматизированных системах управления производственными и технологическими процессами третьего класса защищенности 3, в информационных системах персональных данных при необходимости обеспечения третьего и четвертого уровней защищенности персональных данных 4.
Требования по безопасности информации предъявляются к:
- уровню доверия многофункционального МЭ уровня сети; управлению доступом в многофункциональном МЭ уровня сети;
- индентификации и аутентификации пользователей многофункционального МЭ уровня сети;
- фильтрации сетевого трафика;
- обнаружению и блокированию КА;
- обнаружению и блокированию вредоносного ПО;
- доверенной загрузке многофункционального МЭ уровня сети;
- тестированию и контролю целостности многофункционального МЭ уровня сети;
- производительности многофункционального МЭ уровня сети;
- аппаратной платформе многофункционального МЭ уровня сети;
- режимам работы многофункционального МЭ уровня сети; -регистрации событий безопасности в многофункциональном МЭ уровня сети;
- обеспечению бесперебойного функционирования и восстановления многофункционального МЭ уровня сети;
- взаимодействию с иными СЗИ;
- централизованному и удаленному управлению многофункциональным МЭ уровня сети.
Многофункциональный МЭ уровня сети должен соответствовать Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 2 июня 2020 г. N 76 (зарегистрирован Минюстом России 11 сентября 2020 г., регистрационный N 59772) (с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 г. N 68 зарегистрирован Минюстом России 20 июля 2022 г., регистрационный N 69318).
Устанавливается следующее соответствие классов защиты многофункциональных МЭ уровня сети уровням доверия:
- многофункциональные МЭ уровня сети шестого класса защиты должны соответствовать 6 уровню доверия;
- многофункциональный МЭ уровня сети должен реализовывать возможность определения полномочий для пользователей многофункционального МЭ уровня сети в пределах назначенных им ролей.
К идентификации и аутентификации пользователей многофункционального МЭ уровня сети предъявляются следующие требования.
Первичная идентификация пользователей многофункционального МЭ уровня сети 6 класса защиты должна осуществляться администратором многофункционального МЭ уровня сети.
Идентификация и аутентификация пользователей многофункционального МЭ уровня сети осуществляется в соответствии с требованиями раздела 3 ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения" 5.
В случае неуспешной идентификации и аутентификации пользователя многофункционального МЭ уровня сети ему должно быть отказано в доступе в многофункциональный МЭ уровня сети.
Многофункциональный МЭ уровня сети должен осуществлять аутентификацию пользователей многофункционального МЭ уровня сети при предъявлении идентификатора и пароля пользователя многофункционального МЭ уровня сети.
Пароль пользователя многофункционального МЭ уровня сети для первичной аутентификации должен устанавливаться администратором многофункционального МЭ уровня сети.
Многофункциональный МЭ уровня сети должен реализовывать возможность изменения пользователем многофункционального МЭ уровня сети установленного пароля после его первичной аутентификации.
Многофункциональный МЭ уровня сети не должен реализовывать возможность установления одинаковых идентификаторов для разных пользователей многофункционального МЭ уровня сети.
При попытке ввода неправильного значения идентификатора или пароля пользователя многофункционального МЭ уровня сети должно выводиться сообщение на экран средства вычислительной техники пользователя с приглашением ввести правильный идентификатор и пароль еще раз.
При исчерпании установленного максимального количества неуспешных попыток ввода неправильного пароля учетная запись пользователя многофункционального МЭ уровня сети должна быть заблокирована многофункциональным МЭ уровня сети с возможностью ее разблокировки администратором многофункционального МЭ уровня сети или автоматически по истечении временного интервала, устанавливаемого администратором многофункционального МЭ уровня сети.
Защита пароля пользователя многофункционального МЭ уровня сети должна обеспечиваться при его вводе за счет исключения отображения символов вводимого пароля или за счет отображения вводимых символов условными знаками.
Пароль пользователя многофункционального МЭ уровня сети шестого класса защиты должен содержать не менее шести символов при алфавите пароля не менее 60 символов. Максимальное количество попыток ввода неправильного пароля до блокировки - 10.
Многофункциональный МЭ уровня сети должен реализовывать возможность хранения аутентификационной информации пользователя многофункционального МЭ уровня сети в защищенном от несанкционированного доступа виде.
К фильтрации сетевого трафика многофункциональным МЭ уровня сети предъявляются следующие требования.
Многофункциональный МЭ уровня сети шестого класса защиты должен реализовывать возможность:
- формирования правил фильтрации сетевого трафика;
- фильтрации сетевого трафика, проходящего через многофункциональный МЭ уровня сети, на основе сформированных правил фильтрации сетевого трафика.
Многофункциональный МЭ уровня сети должен предоставлять возможность создания правил фильтрации для определения разрешения или запрета (блокировки) прохождения сетевого трафика или сетевых пакетов на основе следующих атрибутов:
- идентификаторы сетевых интерфейсов (идентификаторы физических сетевых интерфейсов и идентификаторы логических сетевых интерфейсов, которые присваиваются физическим интерфейсам или группам физических сетевых интерфейсов многофункционального МЭ уровня сети);
- сетевые адреса отправителей и (или) получателей сетевого трафика, определяемые из заголовков протокола сетевого уровня;
- доменные имена отправителей и (или) получателей сетевого трафика, определяемые из заголовков протокола получения информации о доменах или на основании данных от серверов доменных имен информационной (автоматизированной) системы;
- данные о географической принадлежности отправителей и (или) получателей сетевого трафика, определяемые на основе сопоставления используемого им сетевого адреса с базой геоданных многофункционального МЭ уровня сети, обеспечиваемой производителем (изготовителем) и содержащей сетевые адреса (диапазоны сетевых адресов), которые распределены организациями, занимающимися вопросами адресации и маршрутизации в сетях связи общего пользования и международного информационного обмена, и как минимум, соответствующие им названия и (или) коды стран, а также регионов и/(или) городов, которые определяют месторасположение владельцев сетевых адресов;
- протокол, используемый для передачи сетевого трафика на сетевом, транспортном и прикладном уровнях взаимодействия сетевых устройств, ОС и сетевого ПО (приложений) информационной (автоматизированной) системы;
- двоичные флаги (кодовые биты) управления сетевым соединением и размером отправляемых (получаемых) порций данных из заголовков протокола управления передачей информации на транспортном уровне;
- приложение или категория приложения (группа приложений, обладающих общими свойствами, признаками, связями, атрибутами), определяемое (определяемая) на прикладном уровне методом, который основан на поиске в анализируемом сетевом трафике конкретных наборов данных, символов (сигнатур), которые связаны с идентифицируемым приложением;
- унифицированный (единообразный) идентификатор информационного ресурса, определяемый из заголовков протоколов прикладного уровня;
- информационный ресурс, с которым связано сетевое взаимодействие, определяемый с использованием базы унифицированных (единообразных) идентификаторов информационных ресурсов и (или) методом, который основан на поиске в анализируемом сетевом трафике конкретных наборов данных, символов (сигнатур), связанных с идентифицируемым ресурсом;
- тип передаваемого (загружаемого) файла, содержащегося в сетевом трафике;
- тип передаваемого (загружаемого) от веб-страниц информационного объекта, содержащего нежелательную информацию;
- тип контента, содержащийся в информационном ресурсе.
Категории приложений, категории информационных ресурсов, типы передаваемых (загружаемых) файлов, типы передаваемых (загружаемых) от веб-страниц информационных объектов, а также типы контента, на основании которых многофункциональный МЭ уровня сети может обеспечивать фильтрацию сетевого трафика, должны быть определены производителем (изготовителем) в руководстве администратора многофункционального МЭ уровня сети и в технических условиях.
Многофункциональный МЭ уровня сети должен предоставлять возможность включения, отключения, редактирования и удаления созданных правил фильтрации.
Многофункциональный МЭ уровня сети должен предоставлять возможность задания, как минимум, следующих режимов выполнения правил фильтрации:
- включение (отключение) правил фильтрации администратором многофункционального МЭ уровня сети;
- включение (отключение) правил фильтрации по расписанию и (или) фильтрации на ограниченный период времени.
Многофункциональный МЭ уровня сети должен предоставлять возможность фильтрации по атрибутам, характеризующим отправителей и получателей сетевого трафика, отслеживаемого на основании сетевых адресов, номеров портов, флагов (признаков) фрагментации, состава двоичных флагов (кодовых битов), позволяющего контролировать входящие и исходящие пакеты на аномалии сетевого соединения.
Многофункциональный МЭ уровня сети должен реализовывать возможность извлекать из сетевых пакетов данные, инкапсулированные в преобразованном (кодированном) виде. Перечень протоколов (алгоритмов) преобразования (кодирования) данных, для которых многофункциональным МЭ уровня сети обеспечивается возможность извлечения преобразованных (закодированных) данных из сетевых пакетов, должен быть приведен в руководстве администратора многофункционального МЭ уровня сети и технических условиях. По отношению к извлеченным данным должны применяться правила фильтрации, настроенные на многофункциональном МЭ уровня сети.
Многофункциональный МЭ уровня сети должен предоставлять возможность блокирования сетевых пакетов, в которые инкапсулированы данные в преобразованном (закодированном) виде с использованием протоколов (алгоритмов), для которых многофункциональным МЭ уровня сети не обеспечивается возможность извлечения преобразованных (закодированных) данных из сетевых пакетов.
К обнаружению и блокированию КА в многофункциональном МЭ уровня сети предъявляются следующие требования.
Многофункциональный МЭ уровня сети шестого и пятого классов защиты самостоятельно или с применением включенной в его состав сертифицированной системы обнаружения вторжений должен:
- обнаруживать признаки КА в проходящем через многофункциональный МЭ уровня сети сетевом трафике на основе базы решающих правил;
- блокировать сетевой трафик, в котором обнаружены признаки КА;
- обеспечивать обновление базы решающих правил.
Многофункциональный МЭ уровня сети шестого и пятого классов защиты должен реализовывать возможность обнаружения:
- атак сетевого сканирования;
- атак проникновения, связанных с эксплуатацией уязвимостей информационной (автоматизированной) системы;
- атак, направленных на отказ в обслуживании;
- атак подбора аутентификационной информации.
К обнаружению и блокированию вредоносного программного обеспечения в многофункциональном МЭ уровня сети предъявляются следующие требования.
Многофункциональный МЭ уровня сети шестого и пятого классов защиты должен:
- обнаруживать признаки вредоносного ПО в проходящем через многофункциональный МЭ уровня сети сетевом трафике на основе базы данных признаков вредоносного ПО;
- блокировать сетевой трафик, в котором обнаружены признаки вредоносного ПО на основе базы данных признаков вредоносного ПО;
- обеспечивать обновление базы данных признаков вредоносного ПО.
К доверенной загрузке многофункционального МЭ уровня сети предъявляются следующие требования.
В составе многофункционального МЭ уровня сети шестого класса защиты должно применяться средство доверенной загрузки шестого класса защиты, соответствующее Требованиям к средствам доверенной загрузки, утвержденным приказом ФСТЭК России от 27 сентября 2013 г. N 119 (зарегистрирован Минюстом России 16 декабря 2013 г., регистрационный N 30604).
К тестированию и контролю целостности в многофункциональном МЭ уровня сети предъявляются следующие требования.
Многофункциональный МЭ уровня сети шестого и пятого классов защиты должен:
- обеспечить по запросу администратора многофункционального МЭ уровня сети тестирование правильности выполнения функции фильтрации сетевого трафика;
- обеспечивать возможность блокировки проходящего через него сетевого трафика, если по результатам тестирования функций фильтрации сетевого трафика будет выявлено нарушение их функционирования;
- информировать администратора многофункционального МЭ уровня сети о выявленных нарушениях функционирования функций фильтрации сетевого трафика.
К производительности многофункционального МЭ уровня сети предъявляются следующие требования.
В формуляре многофункционального МЭ уровня сети шестого, пятого и четвертого классов защиты должны быть указаны подтверждаемые в соответствии с методикой производителя (изготовителя) сведения:
- о пропускной способности многофункционального МЭ уровня сети и задержках сетевых пакетов (кадров) в режиме пакетной фильтрации трафика, содержащего сетевые кадры размером 1518 байт и отдельно 64 байта;
- о пропускной способности многофункционального МЭ уровня сети и задержках сетевых пакетов (кадров) веб-трафика в определенных производителем (изготовителем) комбинациях включенных функций безопасности;
- о количестве экземпляров многофункционального МЭ уровня сети, которые могут совместно работать в режиме балансировки нагрузки, и их общей пропускной способности.
Производитель (изготовитель) должен определить в формуляре максимальное количество устанавливаемых сетевых соединений в секунду и максимальное количество включенных правил фильтрации, при которых достигаются определенные показатели.
В формуляре многофункционального МЭ уровня сети должны быть указаны сведения о способе балансировки нагрузки и (или) используемом средстве (используемых средствах) балансировки нагрузки.
К аппаратной платформе многофункционального МЭ уровня сети предъявляются следующие требования.
Аппаратная платформа многофункционального МЭ уровня сети шестого класса защиты должна ограничивать доступ через сетевые интерфейсы к оперативной памяти только в разрешенном диапазоне адресов и исключать возможность доступа (как на чтение, так и на запись) к остальной части оперативной памяти аппаратной платформы со стороны сетевого интерфейса.
При разработке многофункционального МЭ уровня сети интерфейс, через который осуществляется управление многофункциональным МЭ уровня сети, должен рассматриваться разработчиком многофункционального МЭ уровня сети как интерфейс функций безопасности.
В рамках испытаний многофункционального МЭ уровня сети изготовителем многофункционального МЭ уровня сети должно быть доказано, что субъектам доступа, пользователям информационной (автоматизированной) системы и устройствам, осуществляющим передачу информационных потоков через многофункциональный МЭ уровня сети, не может быть доступен интерфейс функций управления многофункциональным МЭ уровня сети и сетевой трафик, поступающий в многофункциональный МЭ уровня сети от пользователей многофункционального МЭ уровня сети, осуществляющих управление многофункциональным МЭ уровня сети.
К режимам работы многофункционального МЭ уровня сети предъявляются следующие требования:
Многофункциональный МЭ уровня сети шестого и пятого классов защиты должен реализовывать возможность работы в следующих режимах:
- режим, при котором блокируется весь входящий, исходящий сетевой трафик, проходящий через многофункциональный МЭ уровня сети;
- режим, при котором разрешены сетевые потоки, не запрещенные включенными запрещающими (блокирующими) правилами фильтрации (в данном режиме среди множества неразрешенных сетевых потоков отдельные потоки могут разрешаться);
- режим, при котором разрешены только разрешенные включенными ра