[таблицы] МЭ, сертифицированные по новым требованиям
Навигация
Ссылки на обновляемые таблицы:
Данный пост перенесён с предыдущего варианта сайта. Возможны ошибки.
См. также:
Свежие (текущие) требования к межсетевым экранам были утверждены ФСТЭК России 12 сентября 2016 г. Именно тогда официально появились методические документы, содержащие профили защиты межсетевых экранов для 5 типов и 6 классов межсетевых экранов.
Кратко напомню (и сам для себя ещё раз зафиксирую, чтобы потом знать, где искать), какие типы межсетевых экранов c точки зрения ФСТЭК бывают:
- МЭ типа «А» – это МЭ, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы.
- МЭ типа «Б» – это МЭ, применяемый на логической границе (периметре) информационной системы или между логическими границами сегментов информационной системы.
- МЭ типа «В» – это МЭ, применяемый на узле (хосте) информационной системы.
- МЭ типа «Г» – это МЭ, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера.
- МЭ уровня промышленной сети (тип «Д») – это МЭ, применяемый в автоматизированной системе управления технологическими или производственными процессами. МЭ типа «Д» может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).
C классами защиты ещё проще - чем выше класс (1 - самый высокий), (тем больше к ним требований и) тем в более высокого класса систем (ГИС, АСУ, ИСПДн, системы значимых объектов КИИ) они могут применяться.
Для удобства были введены идентификаторы профилей защиты в формате ИТ.МЭ.«тип»«класс».ПЗ Вот полная их таблица:
| Класс защиты / Тип межсетевого экрана | 6 | 5 | 4 | 3 | 2 | 1 |
|---|---|---|---|---|---|---|
| Межсетевой экран типа «А» | ИТ.МЭ.А6.ПЗ | ИТ.МЭ.А5.ПЗ | ИТ.МЭ.А4.ПЗ | ИТ.МЭ.А3.ПЗ | ИТ.МЭ.А2.ПЗ | ИТ.МЭ.А1.ПЗ |
| Межсетевой экран типа «Б» | ИТ.МЭ.Б6.ПЗ | ИТ.МЭ.Б5.ПЗ | ИТ.МЭ.Б4.ПЗ | ИТ.МЭ.Б3.ПЗ | ИТ.МЭ.Б2.ПЗ | ИТ.МЭ.Б1.ПЗ |
| Межсетевой экран типа «В» | ИТ.МЭ.В6.ПЗ | ИТ.МЭ.В5.ПЗ | ИТ.МЭ.В4.ПЗ | ИТ.МЭ.В3.ПЗ | ИТ.МЭ.В2.ПЗ | ИТ.МЭ.В1.ПЗ |
| Межсетевой экран типа «Г» | ИТ.МЭ.Г6.ПЗ | ИТ.МЭ.Г5.ПЗ | ИТ.МЭ.Г4.ПЗ | - | - | - |
| Межсетевой экран типа «Д» | ИТ.МЭ.Д6.ПЗ | ИТ.МЭ.Д5.ПЗ | ИТ.МЭ.Д4.ПЗ | - | - | - |
С момента утверждения новых требований прошло более полутора лет, но в реестре ФСТЭК присутствуют (на момент публикации) только 43 сертификата с упоминанием профилей защиты ИТ.МЭ и только 22 из них выданы на серию, а не на ограниченную партию изделий.
Ниже приведены все доступные на сегодня сертифицированные по новым требованиям (и при этом серией) межсетевые экраны, сгруппированные по типам.
Важно!
Информация в приведённых таблицах актуальна на дату публикации. Текущие действующие сертификаты ФСТЭК можно посмотреть в соответствующем Реестре ФСТЭК. Также по возможности актуализируется информация в Каталоге средств защиты информации.
Межсетевые экраны типа «А»
Межсетевые экраны типа «Б»
| Класс защиты | № сертификата - Межсетевые экраны |
|---|---|
| ИТ.МЭ.Б1.ПЗ | пока нет |
| ИТ.МЭ.Б2.ПЗ | пока нет |
| ИТ.МЭ.Б3.ПЗ | пока нет |
| ИТ.МЭ.Б4.ПЗ | • 3462 - Kaspersky Security для виртуальных сред 3.0 Защита без агента • 3634 - шлюз безопасности Check Point Security Gateway версии R77.10 • 3720 - FortiGate (функционирующий под управлением операционной системы FortiOS 5.4.1) • 3834 - программно-аппаратный комплекс Traffic Inspector Next Generation • 3871 - программный комплекс РУСТЭК версия 1.0 • 3905 - изделие Универсальный шлюз безопасности UserGate UTM |
| ИТ.МЭ.Б5.ПЗ | • 2407 - Traffic Inspector 3.0 |
| ИТ.МЭ.Б6.ПЗ | • 3844 - программный комплекс VMware NSX for vSphere 6 • 3892 - межсетевой экран Cisco ASA-SM1 с установленным программным обеспечением Cisco ASA версии 9.x • 3909 - межсетевой экран Huawei Eudemon (модель Eudemon 8000E-X3) версии V500 • 3935 - маршрутизаторы серии Huawei AR (модели: AR2220E, AR2240, AR161FG-L) версии V200 |
Межсетевые экраны типа «В»
| Класс защиты | № сертификата - Межсетевые экраны |
|---|---|
| ИТ.МЭ.В1.ПЗ | пока нет |
| ИТ.МЭ.В2.ПЗ | • 3675 - средство защиты информации Secret Net Studio — C |
| ИТ.МЭ.В3.ПЗ | пока нет |
| ИТ.МЭ.В4.ПЗ | • 3745 - cредство защиты информации Secret Net Studio |
| ИТ.МЭ.В5.ПЗ | пока нет |
| ИТ.МЭ.В6.ПЗ | пока нет |
Межсетевые экраны типа «Г»
| Класс защиты | № сертификата - Межсетевые экраны |
|---|---|
| ИТ.МЭ.Г1.ПЗ | не предусмотрен |
| ИТ.МЭ.Г2.ПЗ | не предусмотрен |
| ИТ.МЭ.Г3.ПЗ | не предусмотрен |
| ИТ.МЭ.Г4.ПЗ | • 3455 - cистема защиты приложений от несанкционированного доступа Positive Technologies Application Firewall |
| ИТ.МЭ.Г5.ПЗ | пока нет |
| ИТ.МЭ.Г6.ПЗ | пока нет |
Межсетевые экраны типа «Д»
| Класс защиты | № сертификата - Межсетевые экраны |
|---|---|
| ИТ.МЭ.Д1.ПЗ | не предусмотрен |
| ИТ.МЭ.Д2.ПЗ | не предусмотрен |
| ИТ.МЭ.Д3.ПЗ | не предусмотрен |
| ИТ.МЭ.Д4.ПЗ | пока нет |
| ИТ.МЭ.Д5.ПЗ | пока нет |
| ИТ.МЭ.Д6.ПЗ | пока нет |
Как видно, некоторые типы сертифицированных межсетевых экранов представлены в крайне ограниченном количестве, а например, МЭ типа Д и вовсе пока отсутствуют.
Для полноты картины стоит отметить, что, судя по уже выданным сертификатам, есть возможность сертифицировать как МЭ типа А шестого класса защиты (ИТ.МЭ.А6.ПЗ) партии устройств Cisco:
- коммутатор Cisco 6504 VS-S720-10G с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10
- коммутатор Cisco Catalyst WS-C3560V2-24TS с установленным программным обеспечением Cisco IOS версии 12.2(55)SE12
- коммутатор Cisco Catalyst WS-C3560X-24T с установленным программным обеспечением Cisco IOS версии 15.0(2)SE11
- коммутатор Cisco Catalyst WS-C3650-24TD-E с установленным программным обеспечением Cisco IOS-XE версии 03.06.07.E
- коммутатор Cisco Nexus 5596 с установленным программным обеспечением Cisco NX-OS версии 7.1(2)N1(1)
- коммутатор Cisco Nexus 7000 с установленным программным обеспечением Cisco NX-OS версии 7.2(1)D1(1)
- коммутатор Cisco WS-C6506-E с установленным программным обеспечением Cisco IOS версии 15.1(2)SY10
- маршрутизатор Cisco 2901/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
- маршрутизатор Cisco 2911/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
- маршрутизатор Cisco C3900-SPE200/K9 с установленным программным обеспечением Cisco IOS версии 15.4(3)М9
- межсетевой экран Cisco ASA 5512-X с установленным программным обеспечением Cisco Adaptive Security Appliance Software v. 9.6.3
- межсетевой экран Cisco ASA 5525-X с установленным программным обеспечением Cisco Adaptive Security Appliance Software v. 9.6.3
- межсетевой экран Cisco ASA5508-K8 с установленным программным обеспечением Cisco ASA версии 9.6(4)3
- межсетевой экран Cisco ASA5510-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)19
- межсетевой экран Cisco ASA5512-X-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
- межсетевой экран Cisco ASA5515-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
- межсетевой экран Cisco ASA5520-K8 с установленным программным обеспечением Cisco ASA версии 9.1(7)23
- межсетевой экран Cisco ASA5525-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
- межсетевой экран Cisco ASA5550-K8 c установленным программным обеспечением Cisco ASA версии 9.1(7)23
- межсетевой экран Cisco ASA5555-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27
- межсетевой экран Cisco ASA5585-K8 с установленным программным обеспечением Cisco ASA версии 9.2(4)27