Дополнительные требования к средствам для анализа защищенности Требования к функциональности:
полная идентификация сервисов на случайных портах, позволяющая проверить на уязвимости серверы со сложной нестандартной конфигурацией, когда сервисы имеют произвольно выбранные порты;
эвристический метод определения типов и имен серверов (HTTP, FTP, SMTP, POP3, DNS, SSH) вне зависимости от их ответа на стандартные запросы;
возможность определения RPC-сервисов и поиска уязвимостей в них, а также определения детальной конфигурации компьютера в целом;
проверка слабости парольной защиты: производится оптимизированный подбор паролей практически во всех сервисах, требующих аутентификации, что позволяет выявить слабые пароли;
анализ всех скриптов HTTP-серверов (в первую очередь, пользовательских) и поиск в них разнообразных уязвимостей: SQL инъекций, инъекций кода, запуска произвольных программ, получения файлов, межсайтовый скриптинг (XSS), HTTP Response Splitting;
анализатор структуры HTTP-серверов: осуществляется поиск и анализ директорий, доступных для просмотра и записи, что позволяет выявить слабые места в конфигурации;
проведение проверок на нестандартные DoS-атаки;
специальные механизмы, уменьшающие вероятность ложных срабатываний;
возможность одновременного сканирования большого числа компьютеров;
возможность формирования отчетов с различными уровнями их детализации;
оригинальная технология обновления программы, позволяющая постоянно иметь актуальную базу уязвимостей при минимальном трафике и временных затратах, не прекращая при этом работы программы, и обеспечивающая регулярное обновление программных модулей по мере их совершенствования.
Дополнительные требования к средствам защиты виртуализации
Средства защиты информации для защиты виртуальной инфраструктуры, построенной на базе систем VMware, должны обеспечивать:
усиленную аутентификацию администраторов виртуальной инфраструктуры и/или администраторов информационной безопасности по протоколам, нечувствительным к попыткам перехвата паролей и атакам типа Man in the Middle;
защиту средств управления виртуальной инфраструктурой от НСД путем дискреционного разграничения доступа к объектам, которые размещены внутри защищаемого периметра;
мандатное управление доступом на основе меток конфиденциальности;
защиту ESX-серверов от НСД;
поддержку распределенных инфраструктур при помощи объединения интерфейсов управления разными vCenter-серверами в одной консоли vSphere;
контроль целостности конфигурации виртуальных машин и доверенная загрузка;
контроль доступа администраторов виртуальной инфраструктуры к файлам виртуальных машин;
разграничение доступа ESX серверов на запуск виртуальных машин;
контроль целостности и доверенная загрузка ESX-серверов;
контроль целостности и защита от НСД компонентов СЗИ;
регистрация событий, связанных с информационной безопасностью (доступ к инфраструктуре, создание или удаление виртуальной машины, изменение виртуальной машины и.т.д);
централизованное управление и мониторинг с рабочего места администратора информационной безопасности.
Дополнительные требования к средствам построения VPN
Должены осуществлять:
шифрование и имитозащиту данных, передаваемых по открытым каналам связи между защищенными сегментами сети VPN;
прием и передачу IP-пакетов по протоколам семейства TCP/IP;
фильтрацию IP-пакетов в соответствии с заданными правилами фильтрации;
аутентификацию подключаемых компьютеров;
защиту внутренних сегментов сети от несанкционированного доступа извне;
скрытие внутренней структуры защищаемых сегментов сети;
централизованное управление сетью КШ (далее – ЦУС):
аутентификацию КШ;
мониторинг и протоколирование состояния сети КШ;
получение и временное хранение журналов регистрации КШ;
регистрацию событий, связанных с управлением КШ;
хранение конфигураций КШ;
рассылку конфигурационной информации;
централизованное управление криптографическими ключами;
восстановление информации о состоянии комплекса из резервной копии;
оповещение программы управления о событиях, требующих оперативного вмешательства администратора комплекса в режиме реального времени.
Требования к функциональности:
прием и передача IP-пакетов по протоколам семейства TCP/IP;
возможность приоритезации IP-трафика;
возможность маршрутизации IP-трафика;
аутентификация подключаемых компьютеров;
фильтрация IP-пакетов в соответствии с заданными правилами фильтрации на основе:
IP-адресов отправителя и получателя;
сетевых интерфейсов;
протоколов;
номеров портов UDP/TCP;
флагов TCP/IP-пакетов;
времени;
фильтрация пакетов с контролем состояния соединений (SPI);
фильтрация прикладных протоколов с использованием регулярных выражений;
криптографическое преобразование передаваемых и принимаемых IP-пакетов должно соответствовать требованиям ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
имитозащита IP-пакетов, циркулирующих в VPN в соответствии ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
шифрование информации на сетевом уровне;
трансляцию сетевых адресов в соответствии с заданными правилами трансляции (NAT);
поддержка возможности создания правил трансляции, типа NAT 1-to-1;
сжатие передаваемых IP-пакетов;
увеличение размера пакета с учетом дополнительного IP-заголовка не должно превышать 52 байт;
пропускная способность в режиме шифрование-имитозащита-тунелирование должна быть не менее 300 Мбит/с;
пропускная способность в режиме межсетевого экранирования должна составлять не менее 400 Мбит/с;
поддержка не менее 250 000 конкурирующих keep-state TCP сессий;
поддержка неограниченного числа туннелируемых IP адресов;
возможность мониторинга состояния комплекса шифрования из защищенных сетей с помощью средств управления объектами сети по протоколу SNMP;
обеспечивать возможность защищенного управления пограничными маршрутизаторами;
поддержка виртуальных локальных сетей VLAN (IEEE802.1Q), с возможностью создания не менее 254 VLAN интерфейсов на один физический порт;
возможность работы с протоколами динамической маршрутизации: OSPF, BGP, RIP;
поддержка групповой передачи данных - multicast routing (сетевой пакет одновременно направляется определенной группе адресатов) для VPN соединений;
поддержка технологии QoS, с реализацией следующих механизмов: классификация трафика, маркировка IP-пакетов, управление перегрузками с помощью очередей, предупреждение перегрузок;
классификации трафика, должна быть предусмотрена возможность определения не менее 32х профилей трафика;
маркировки IP пакетов, должна предусматривать автоматическую обработку поля ToS в заголовке IP-пакета со следующими возможностями: сохранение имеющегося значения, заполнение классификатором DSCP, заполнение классификатором IPP;
управление перегрузками с должно реализовываться с помощью очередей двух типов: очередью на обработку IP-пакетов блоком криптографической защиты, очередью на отправку IP-пакетов сетевым интерфейсом;
механизм управления очередями должен предусматривать поддержку следующих методов: PRIQ, CBQ, HFSC;
предупреждение перегрузок с поддержкой следующих механизмов: RED, RIO, ECN;
возможность создания до 32-х независимых VPN каналов с управлением приоритезацией;
возможность резервирования выделенной полосы пропускания для определенных профилей трафика;
возможность работы в конфигурации Multi-WAN при одновременном подключении к нескольким внешним сетям, поддержка работы не менее чес с двумя провайдерами, со следующими режимами: передача трафика в соответствии с таблицей маршрутизации, обеспечение отказоустойчивости канала связи, балансировка трафика между внешними интерфейсами КШ;
обеспечение отказоустойчивости канала связи с автоматическим переключением на резервный канал и возможностью мониторинга доступности канала следующими методами: проверка доступности контрольной точки с помощью команды ping, проверка доступности контрольной точки по протоколу TCP;
мониторинг состояния каналов WAN и VPN;
балансировка трафика между внешними интерфейсами КШ, распределение шифрованного трафика в соответствии с классом трафика, распределение открытого трафика в режиме Round Robin (распределение трафика между каналами в соответствии с их весами)
возможность работы КШ за маршрутизатором с технологией NAT;
возможность интеграции с системами IPS/IDS;
возможность мониторинга состояния источника бесперебойного питания и корректного выключения КШ в случае длительного сбоя питания;
возможность удаленного централизованного обновления программного обеспечения КШ;
возможность полноценного централизованного управления КШ из ЦУС с применением групповых правил;
возможность работы с VoIP трафиком;
возможность ограничения числа соединений с одного IP-адреса;
возможность задания MAC-адреса внешнего маршрутизатора;
поддержка протокола PPPoE для использования в коммутируемых каналах связи;
возможность динамического назначения IP адреса на внешнем интерфейсе КШ;
оповещение ЦУС о своей активности и о событиях, требующих оперативного вмешательства в режиме реального времени;
регистрация событий, связанных с работой КШ;
регистрация следующих событий, связанных с управлением КШ:
загрузка и инициализация системы и ее остановки;
вход (выход) администратора в систему (из системы);
результат фильтрации входящих/исходящих пакетов;
попытки несанкционированного доступа;
любые нештатные ситуации, происходящие при работе КШ;
при регистрации события должны фиксироваться:
дата и время регистрируемого события;
адрес источника и адрес получателя (при фильтрации), включая порты протоколов IP,TCP, UDP;
результат попытки осуществления регистрируемого события – успешная или неуспешная (или результат фильтрации);
идентификация и аутентификация администратора при запуске;
автоматический контроль целостности программного обеспечения;
возможность «холодного» резервирования аппаратной платформы, для КШ – возможность аппаратного резервирования КШ, создание активно-пассивного кластера высокого доступа, для обеспечения бесперебойной работы комплекса в случае выхода из строя какого-либо из криптографических шлюзов (элементов кластера), с возможностью назначения не менее двух интерфейсов резервирования для автоматической синхронизации конфигурации элементов кластера;
среднее время восстановления системы не должно превышать:
5 минут при аварийном отключении питания с момента его возобновления;
5 минут при отказе физического канала связи с момента восстановления канала связи;
20 минут при компрометации комплекта ключевой информации (без учета времени доставки ключевой информации);
15 минут при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «холодного» резервирования;
30 секунд при отказе аппаратной составляющей компоненты системы защиты данных при использовании методов «горячего» резервирования;
30 минут при стирании (разрушении) штатного программного обеспечения компоненты системы защиты данных и данных аутентификации.
ПО КШ должно представлять собой функционально замкнутую среду, не допускающую возможности внедрения вредоносного ПО;
ПО КШ не должно требовать установки дополнительных средств антивирусной безопасности;
режим работы КШ – круглосуточный необслуживаемый, по схеме 24х7х365.
Требования к централизованному управлению КШ:
предоставлять графический интерфейс управления комплексом;
осуществлять аутентификацию администраторов комплекса при предъявлении идентификатора;
выполнять контроль состояния всех КШ комплекса в оперативном режиме;
управление учетными записями пользователей-администраторов;
управление параметрами КШ комплекса;
управление правилами фильтрации IP-пакетов;
установление защищенного соединения с ЦУС;
управление расписаниями действия правила фильтрации;
управление правилами трансляции сетевых адресов;
управление правилами трансляции сетевых адресов;
осуществлять ролевое управление комплексом;
выполнять резервное копирование и восстановление базы данных ЦУС;
управление горячим резервированием КШ;
установку ПУ ЦУС на произвольном количестве АРМ администратора.
Дополнительные требования к средствам антивирусной защиты
Должены осуществлять:
инициализация установки антивирусных пакетов на выбранный компьютер или группу компьютеров;
обновление содержимого каталога централизованной установки и каталога обновлений;
обновление вирусных баз и исполняемых файлов антивирусных пакетов, а также исполняемых файлов компонентов антивирусной сети на защищаемых компьютерах;
ведение единого журнала событий:
события, связанные с выявлением вирусного заражения;
события, связанные с устранением/нейтрализацией вирусного заражения;
события, связанные непосредственно с функционированием компонентов антивирусной защиты.
Требования к функциональности:
обеспечение установки, обновления и настройки антивирусного пакета, запуска сканирования, а также выполнения других заданий, сформированных сервером управления;
отправка серверу управления информации о вирусных событиях и другие необходимые сведения о защищаемом компьютере;
в случае обнаружения вирусного заражения осуществляется удаление, лечение или помещение зараженного файла в карантин либо резервное хранилище. В хранилище карантина помещаются подозрительные объекты, а в резервное хранилище – резервные копии зараженных объектов перед лечением или удалением.
Требования к составу и содержанию работ по проведению оценки эффективности принятых мер по обеспечению безопасности персональных данных (аттестационные испытания)
Должны быть проведены следующие работы:
анализ информационных потоков, определение состава используемых для обработки, передачи и хранения информации технических средств, сбор и оценка исходных данных для составления проекта технического паспорта;
разработка проекта технического паспорта;
разработка программы и методик аттестационных испытаний;
определение порядка, содержания, условий и методов испытаний;
согласование программы и методик аттестационных испытаний с Заказчиком.
проведение оценки защищенности от несанкционированного доступа;
проведение оценки выполнения правил межсетевого экранирования;
проверка соответствия исходных данных реальным условиям эксплуатации;
оценка эффективности организационных мер защиты информации на объекте;
испытания инженерного оборудования объекта информатизации, отдельных технических и программных средств, средств и систем защиты информации;
оформление протокола по результатам испытаний системы защиты от несанкционированного доступа;
оформление заключения по результатам испытаний;
оформление Аттестата соответствия требованиям по безопасности (при положительном заключении по результатам аттестационных испытаний).
При проведении работ должны применяться следующие методы проверок и испытаний:
экспертно-документальный метод (предусматривает проверку соответствия на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер, принимаемых оператором, а также соответствия реальных условий обработки ПДн установленным требованиям);
инструментально-экспертный метод (предусматривает проверку с помощью специальных средств контроля защищенности соответствия используемых защитных механизмов, реализованных в установленных средствах защиты информации от НСД, требованиям руководящих и нормативно-методических документов по безопасности информации)
|