🤞🏾 🛴 🚯 FSTEC：ファイアウォール要件 🛬 ✒️ 🧖🏿

そのため、待望のイベントが発生し、以前にリリースされたウイルス対策保護プロファイル（より正確にWebサイトに掲載）およびファイアウォールの要件に加えて、ロシア連邦のFSTECが発行されました。ワークステーションにインストールするためのソフトウェアを含む。残念ながら、すべてのドキュメントがレイアウトされているわけではありません-4番目、5番目、および6番目の保護クラスのプロファイルは従来からレイアウトされています。保護の残りのクラスは、チップボードの署名付きのドキュメントに記載されており、一般には公開されていません。

FSTECに従ってファイアウォールは何ができますか？

2016年9月12日N 240/24/4278日付の情報メッセージ「ファイアウォール保護プロファイルを含む方法論文書の承認について」によると、次のタイプの保護プロファイルが開発されました。

ネットワークレベルファイアウォール（タイプ「A」）-情報システムの物理的境界（境界）または情報システムのセグメントの物理的境界の間に使用されるファイアウォール。タイプ「A」のファイアウォールには、ハードウェアとソフトウェアの設計しかありません。
ネットワークの論理境界のレベルのファイアウォール（タイプ「B」）-情報システムの論理境界（境界）で、または情報システムのセグメントの論理境界の間に使用されるファイアウォール。タイプBファイアウォールには、ソフトウェアまたはハードウェアとソフトウェアが含まれる場合があります。
ホストレベルのファイアウォール（タイプ「B」）-情報システムのホスト（ホスト）で使用されるファイアウォール。タイプ「B」ファイアウォールはソフトウェア実行のみが可能で、情報システムの特定のノードのモバイルまたは固定技術手段にインストールされます。
Webサーバーレベルのファイアウォール（タイプ「G」）-サイト、Webサービス、Webアプリケーションを提供するサーバー、またはそのようなサーバーサーバーのセグメントの物理的境界で使用されるファイアウォール）。タイプ「G」ファイアウォールは、ソフトウェアまたはハードウェアおよびソフトウェア設計を持つことができ、WebサーバーおよびWebサーバーから渡されるハイパーテキスト転送プロトコルに従って情報フローの制御とフィルタリングを提供する必要があります。
産業用ネットワークレベルのファイアウォール（タイプ「D」）-技術プロセスまたは生産プロセスの自動制御システムで使用されるファイアウォール。タイプ「D」ファイアウォールには、ソフトウェアまたはハードウェアおよびソフトウェア設計があり、産業用データ転送プロトコル（Modbus、Profibus、CAN、HART、産業用イーサネットおよび（または）その他のプロトコル）の制御とフィルタリングを提供する必要があります。

タイプA、B、およびCには、第1から第6の保護クラスまで、タイプGおよびDには-第6から第4のみまでのファイアウォールの要件があります

まず、セキュリティのレベルについて。 2016年4月28日付けの「ファイアウォールの要件の承認について」の情報メッセージによると、No。240/24/1986です。

保護クラス6に対応するファイアウォールは、セキュリティクラス3および4の状態情報システム*、セキュリティクラス3 **の生産および技術プロセスの自動制御システム**、個人データ情報システムで使用され、必要に応じて、3および4レベルの個人データセキュリティを確保* **。

5番目の保護クラスに対応するファイアウォールは、2番目のセキュリティクラスの状態情報システム*、2番目のセキュリティクラスの生産および技術プロセスの自動制御システム***、必要に応じて2番目のレベルの個人データセキュリティ**を提供するために使用されます

4番目のセキュリティクラスに対応するファイアウォールは、1番目のセキュリティクラスの状態情報システム*、1番目のセキュリティクラス**の生産および技術プロセスの自動制御システム**、1レベルの個人データセキュリティを提供する必要がある場合、個人データ情報システム***で使用されます。公共情報システムでは、クラスII ****。

保護クラス3、2、および1に対応するファイアウォールは、状態シークレットを構成する情報を含む情報を処理する情報システムで使用されます。

* 2013年2月11日付ロシアのFSTECの命令により承認された、国家情報システムに含まれる国家秘密を構成しない情報の保護の要件に従ってインストールされています。

**ロシアのFSTECの命令により承認された、重要な施設、潜在的に危険な施設、および人間の生命と健康と環境に対するリスクを増大させる施設の生産および技術プロセスの自動制御システムの情報セキュリティの要件に従って設置2014年3月14日付31号。

*** 2012年11月1日にロシア連邦政府によって承認された個人データ情報システムでの個人データの処理中の個人データ保護の要件、No。1119に従って設定されます。

****ロシアのFSBおよび2010年8月31日のロシアのFSTEC No. 416/489の命令により承認された、公共情報システムに含まれる情報の保護のための要件に従ってインストールされます。

アンチウイルスの場合のように、4番目以下の保護クラスの認定製品はそうではないと予測できます。したがって、4番目の保護クラスの保護プロファイルを検討してください。すべてのタイプの要件は非常に類似しているため、要件の例として、タイプBプロファイルを使用します（関心がある場合は、他のタイプの違いを追加できます）。このプロファイルはこちらから入手できます。

プロファイルによると、ファイアウォールは何ですか？

通過する情報フローの特定のルールに従って、制御およびフィルタリング機能を実装するソフトウェア。

プロファイルによると、情報セキュリティに対する次の脅威に対処する必要があります。

情報システムへの制御されていないネットワーク接続の存在による、情報システムに含まれる情報への不正アクセス。
制御されていないネットワーク接続の存在、ネットワークプロトコルの脆弱性、保護メカニズムのセットアップの不備、およびIPハードウェアとソフトウェアの脆弱性による情報システムおよび（または）個々のコンポーネントのサービス拒否。脅威を実装する興味深い方法は興味深いものです。「情報システムおよび（または）情報システムの情報処理技術によって提供されない個々のコンポーネントとのネットワーク接続を確立して、データ伝送チャネルのネットワーク帯域幅を埋めるか、特別に形成された異常を送信するまで、複数のネットワークパケット（要求）を送信します大きなネットワークパケット（要求）または非標準構造。 MEにはDDoSに対する保護手段が必要であることがわかりました。不正な接続を確立する脅威を認識する他の可能性がないことは奇妙です。
情報システムのユーザーによる保護された情報の違反者のコンピューターテクノロジーの手段への不正な送信、または保護された情報の違反者のコンピューターテクノロジーの手段への送信のための悪意のあるソフトウェアの導入に関連する情報システムから情報および通信ネットワークまたは他の情報システムへの情報の不正な転送;
MEへの不正な影響。その目的は、MEインターフェイスへの特別に形成されたネットワークパケットの送信に関連してセキュリティ機能を克服またはバイパスすることを含む、機能を妨害することです。

特に、次の安全機能をMEに実装する必要があります。

制御とフィルタリング。
識別と認証。
セキュリティイベントの登録（監査）;
ビジネスの継続性と回復。
テストと整合性制御。
管理（管理）;
情報セキュリティの他の手段との相互作用-対応する保護クラスの情報セキュリティ要件への準拠が認定されています。

これらの要件をさらに詳しく明らかにします。

DOは、「情報送信者、情報の受信者、およびDO制御情報を情報システムのノードとの間で移動するすべての操作のネットワークトラフィックをフィルタリングする」必要があります。同時に、フィルタリングは「情報システムのノード間でMEを介して情報を移動するすべての操作」に適用する必要があります。要件の最初の部分が非常に論理的である場合、2番目はファイアウォールによるすべてのプロトコルの開示および情報を移動するための文書化されていない可能性（たとえば、DNSを介した悪意のあるプログラムによる情報転送）を必要とするため、ユートピアです。

興味深いのは、セクションFW_ARP_EXT.2が、MEがハイパーテキスト転送プロトコルを使用して不正な情報フローをブロックできることを指定していることです。他のプロトコルはありません。 MEはそれらに関する情報の送信をブロックする必要がありますか？ところで、このアイテムがType Gプロファイルからドキュメントになった可能性は十分にあります。この特定のプロトコルには多くの注意が払われています。
MEは、送信ノードのネットワークアドレス、受信ノードのネットワークアドレス、ネットワークプロトコル、トランスポートプロトコル、セッション内の送信元ポートと受信ポート、許可された（禁止された）コマンド、許可された（禁止された）モバイルコード、許可された（禁止）アプリケーション層プロトコル。 MEは、「MEと対話する他の種類の情報保護ツールの制御チームを考慮に入れたパケットフィルタリングポリシーを実装する」こともできる必要があります。また、MEは、接続を行うソフトウェアを決定し、その後のフィルタリングの目的で、許可および（または）禁止のセキュリティ属性を割り当てることができる必要があります。
MEには、「状態テーブルに従って各パケットをチェックし、パケットの状態（ステータス、タイプ）が予想される状態と矛盾するかどうかを判断する機能」が必要です。
MEには、「ME管理者によって許可または禁止のセキュリティ属性が設定されているモバイルコードを含むネットワークリソースの使用を検証する機能」が必要です。これは、MEが「特定の種類のモバイルコードを含む」ネットワークリソースをリモートでチェックできることを意味しますか？アンチウイルスにさらに適用される奇妙な要件。ほとんどの場合、要求に応じて実行される別個の操作をhowう必要があります。監査の結果に基づいて、MEはそのようなリソースへのアクセスを許可および禁止できる必要があります。
MEには、「検査の結果に基づいて情報フローを有効/無効にする機能」が必要です。どのチェックが情報フローを禁止または許可するかに基づいて指定されていません。禁止または許可が事前定義されたルールのレベルにある場合、それは論理的です。
MEには、ネットワークトラフィック情報のチェックを登録および記録する機能と、そのようなレコードを読み取る機能（検索とフィルタリングを使用する機能を含む）の両方が必要です。プロファイルに従って、イベントは「ロシア連邦GOST R ISO / IEC 15408-2-2013の国家標準に準拠しています」情報技術を記録するものとします。セキュリティ方法とツール。情報技術のセキュリティを評価するための基準。基本監査レベルに含まれる ";
MEは、管理者の役割と、この管理者に許可されたアクションを実行するために管理者を識別および認証する機能をサポートする必要があります。
MEは、さまざまなプロファイル（設定）を作成して割り当てることができるはずです。
MEは、各接続の状態テーブルとその状態の表示を維持できる必要があります。
MEには、「MEを通常の動作モードに戻す機会を提供する緊急サポートモードに切り替える機能」と「MEセキュリティ機能をテスト（セルフテスト）する機能（ME実行可能コードの整合性を監視）」が必要です。
MEには、「MEユーザーに警告メッセージを発行する機能」が必要です。これにより、「コンピューター機能へのアクセスをブロックする」可能性があります。

一般的に、すべて。機能の要件は28ページで終了し、ドキュメントの最後（78ページのサイズ）が繰り返されるまで、以前に書かれたものと、ソフトウェアのリリース、ドキュメント、およびサポートの手順の要件が繰り返されます。

このプロファイルは、MEの機能安全要件がGOST R ISO / IEC 15408-2-2013「情報技術の要件に基づいていることを示しています。セキュリティ方法とツール。情報技術のセキュリティを評価するための基準。パート2.機能的セキュリティコンポーネント」と、アンチウイルス保護プロファイルの要件に非常によく似ています。

残念ながら、オープン部分には認定タイプB MEの場所を示すスキームは含まれていませんでしたが、機能リストからも、FSTECによるホームユーザーのマシン、モバイルユーザー、モバイルデバイスの保護は現在考慮されていないことが明らかです。

ワークステーションを保護し、タイプBに分類されるように設計されたMEには侵入保護機能があることが多いため、この機能の要件があることは興味深いことです。レビューされたプロファイルにはそのような要件はありませんが、FSTEC方法論文書「国家情報システムにおける情報保護対策」にあります。このMEドキュメントによると：

ファイアウォールでアンチウイルスおよびアンチスパム保護を使用する必要があります（AVZ.1およびOTsL.4の要件）。
情報システムでは、ファイアウォールを含む情報保護施設のクラスタリングを実行する必要があります（技術的に可能な場合）。
侵入検知（防止）は、情報システムの外部境界（ネットワークレベルの侵入検知システム）および（または）オペレータが決定した情報システム（ワークステーション、サーバー、その他のノード）の内部ノード（ノードレベルの侵入検知システム）セグメントで実行する必要があります

侵入防御装置は、トラフィックを分析し、ルールを更新し、集中管理できる必要があることが指摘されています。ルールは編集可能でなければなりません。

合計、何がありますか？一見、パーソナルファイアウォールの基本的な機能について説明します。しかし：

このタイプのMEは情報システムの一部として使用されるべきであるという事実にもかかわらず、集中管理の要件はありません。運用環境の一部として信頼できる制御チャネルを提供することのみが必要です。ウイルス対策ソリューションのプロファイルには、集中管理ソリューションとスタンドアロンソリューションのプロファイルが個別に存在することを思い出してください。
特定のアプリケーションからの接続をフィルタリングする要件にもかかわらず、アプリケーションプロファイルデータベースの可用性に関する要件はありません。このようなルールベースがないと、管理者は新しい接続をそれぞれ構成する必要があります。食べにくい
動作モードに要件はありません-すべてが禁止/許可/トレーニングモードです。各接続を1つずつ構成することになっていますか？;
監視対象プロトコルのリストはありません。言及されているのはHTTPのみです。許可されたプロトコル（カプセル化されたプロトコルなど）で接続を制御する方法、許可されたプロトコルでカプセル化された接続をフィルターする必要があるかどうかなどを考えてみましょう-多くの質問があります。

画像ソース
ネットワーク攻撃に対する保護機能の要件はありません。当然、ネットワーク内でDDoSを期待するべきではありませんが、ポートの枯渇などからの通知はあまり必要ではありません。実際、ほとんどのパーソナルファイアウォールにはこの機能があります。質問は怠idleではありません。彼らはどんな認証にもお金を取ります-そしてかなり大きいです。しかし、これについては以下で詳しく説明します。
更新手順の要件にもかかわらず、更新機能の可用性に関する機能上の要件はありません。脆弱性については説明しませんが、同じ悪意のあるプログラムが停止することはなく、それらによって使用されるプロトコルのリストは変更されています。
他の保護手段との相互作用に関する完全に理解できない要件。セキュリティ機能用の単一のプロトコルはありません-同じSIEMのメーカーはそれを拒否しませんが。おそらくこれは特定の製品の要件ですか？おそらく、これはアンチウイルスプラグインを使用するMEの要件です。しかし、そのような製品は市場の大半を占めていません。原則として、逆のことが当てはまります。ファイアウォールモジュールを備えたウイルス対策ソフトウェアがインストールされ、ステーションが保護されます。
メッセージをユーザーに送信する必要があります。なぜ彼らは企業ネットワークでそれらを必要としますか？通常、このような通知は管理者に送信され、ユーザーの場合は非表示になります。管理者への通知の種類に関する要件はありません。または、FSTECによると、24時間ワークステーションのモニターに座って通知を待機する必要がありますか？

FSTECの要件に従って、2016年12月1日から、開発、製造、および納入されたファイアウォールは、プロファイルに記載されている要件に準拠する必要があります。 2016年12月1日より前にインストールされたファイアウォールは、コンプライアンスの再認証なしで運用できます。

そして、待ち伏せが消費者を待っています。プロファイルのリリース前は、認定されたアンチウイルスを使用して、ファイアウォールを含むワークステーションを保護できました。これは、認定されたアンチウイルスコンポーネントでもありました。今は不可能です。ウイルス対策の製造元がもう1つの認証コストを支払う（そしてもちろんそれを打ち負かす）ことがわかります-そして、SOVのためにもう1つ購入するか、ユーザーが3つの個別の製品を購入するために、管理者に予算を増やすよう要求します。ウイルス対策メーカーが証明書を拡張する機会は提供されていません。つまり、多くの選択肢はありません。

認定ウイルス対策と認定MEの両方の予算に資金を投入する。
以前に購入したMEは引き続き使用できるため、以前に購入した認定ウイルス対策を今後何年も延長します。
FSTECがその感覚に達することを願っています。

任意のバージョンのPyachal。

12月1日まであまり残っていません

FSTEC：ファイアウォール要件

More articles: