мая 25

Подсистемы по версии ФСТЭК. 3) Подсистема обнаружения атак

Персональные данные Добавить комментарий

Если Вам понравился блог, вы можете подписаться на RSS ленту. Благодарю за визит!

voprosВ реестре можем обнаружить следующие изделия:

Комплекс «Аргус»

Stonegate IPS

WS-SVC-IDSM-2

Cisco IPS 4200

Что касается документов ФСТЭК, то здесь большие проблемы:

Новые подсистемы традиционно с трудом вписываются в рамки существующих руководящих документов ФСТЭК. Требований к подсистеме обнаружения атак очень мало, может произойти так, что несколько разных функционально систем могут удовлетворять данным требованиям. При этом, знакомая миру Cisco IPS 4200, согласно существующему сертификату, применяться может, но она не покрывает подсистему обнаружения атак полностью (нет сертификата на НДВ). Получается, что убедить регулятора в преимуществах Cisco IPS 4200 перед Комплексом «Аргус» может быть проблематично.

Вот так…

Одним словом, загадочная подсистема ;-) .

Post to Twitter

11396 . 4182

Другие записи

Автор Царев Евгений | Метки: , , ,

Получать обновления:


10 Responses to “Подсистемы по версии ФСТЭК. 3) Подсистема обнаружения атак”

  1. 1. Ригель Says:
    мая 26, 2009 at 0:31

    Под СОВ не только IPSы, но и IDSы подходят, вроде как.

    [Ответить]

  2. 2. Царев Евгений Says:
    мая 26, 2009 at 1:21

    Да, подходят. Просто все продукты из рееста не вытаскивал

    [Ответить]

  3. 3. Влад Says:
    мая 26, 2009 at 5:16

    Подсистема вовсе не загадочная, как может показаться на первый взгляд. При анализе все несколько проще. При выставлении требований к данной подсистеме у ФСТЭКа есть отправка к ФСБ. Дословно сейчас не помню, но общий смысл – что-то вроде “средства обнаружения сетевых атак должны соответствовать требованиям ФСБ”. Это утверждение, что очевидно, равносильно требованию к наличию у средства обнаружения атак сертификата ФСБ.

    Далее идем на сайт ФСБ, открываем там реестр сертифицированных средств (http://www.fsb.ru/fsb/supplement/contact/lsz/perechen.htm) и видим, что сертификатами обладают только ДВЕ СОКА – “Аргус” и “Ручей-М”.

    Таким образом, при построении подсистемы обнаружения сетевых атак надо ориентироваться только на эти два решения. Применение иных средств приведет к возникновению претензий при проверке.

    Так что все вполне однозначно ;)

    З.Ы. Сейчас проходит сертификационные испытания в ФСБ “Форпост” следующей версии, насколько мне известно. Но до получения сертификата там еще далеко.

    [Ответить]

  4. 4. Влад Says:
    мая 26, 2009 at 5:21

    Update

    Прошу прощения, старая ссылка у меня сохранилась. Теперь по ней перечень с истекшим сроком сертификатов. Прежний они куда-то переместили :(

    [Ответить]

  5. 5. toparenko Says:
    мая 26, 2009 at 5:59

    Влад Says: Теперь по ней перечень с истекшим сроком сертификатов. Прежний они куда-то переместили

    См. вторую таблицу ниже, по той же ссылке ;)

    [Ответить]

  6. 6. Царев Евгений Says:
    мая 26, 2009 at 8:15

    Влад: Хорошо, что немного продолжили мысль: Ссылка там идет не на ФСБ, а на руководящие документы ФСБ, в которых нет регламентации вопроса обнаружения атак

    [Ответить]

  7. 7. Влад Says:
    мая 26, 2009 at 9:35

    toparenko: это ДОПОЛНЕНИЕ к тому списку, про который я говорил изначально. А прежний действительно убрали куда-то.

    Царев Евгений: Ну как Вам сказать… Мероприятия по обнаружению вторжений в ИСПДн проводятся в соответствии с требованиями нормативных документов ФСБ. Это сам ФСТЭК так говорит. Весьма однозначно передает СОВ в ведение ФСБ.

    Если требования есть, то они и регламентируют вопрос, не так ли ;) Из этого автоматически следует, что средства, используемые в этих мероприятиях, также должны соответствовать требованиям ФСБ. А как Вы будете проверять соответствие этих средств требованиям? ;) Самый простой способ – это наличие сертификата ФСБ (который, собственно, это соответствие и подтверждает). А в сертификате того же “Аргуса” четко прописано, что он соответсвует требованиям ФСБ к СОКА класса Г. выходит, требования есть и вполне себе четко регламентирующие ;)

    Ну и не менее очевидно, что ФСБ подмяла под себя не только криптуху, но и СОКА (или СОВ, кому как нравится). А это СИЛЬНО сужает выбор средств защиты.

    [Ответить]

  8. 8. mike Says:
    июня 24, 2009 at 17:57

    если говорить вообще юридическим языком – то область действия ФСБ очерчивается 5 органами высшей власти. и криптография.
    на все остальное законов нету …. есть желание отдельных сотрудников толкать плохо замаскированные снорты в массы за деньги ….
    так что вопрос еще не решен. будет новая версия регламентирующих документов где про IPS возможно что то поправят. Хотя возможно и нет.
    Кроме того, если IPS используется в соответствии с моделью как доп средство пойдет и сертификат фстек. Кстати stonegate IPS сертифицируется на НДВ …..

    [Ответить]

  9. 9. Evgeniy Says:
    августа 11, 2009 at 17:11

    Коллеги, здравствуйте!
    Не нашел ссылок на комплекс «Аргус». Не могли бы поделиться?

    [Ответить]

  10. 10. Евгений Says:
    декабря 1, 2009 at 15:49

    «Перечень средств защиты информации, не содержащей сведений, составляющих государственную тайну» доступен по ссылке
    http://clsz.fsb.ru/files/download/perechen011009.doc
    На первое октября 2009 г. в этом списке сертифицированы лишь 2 средства обнаружения компьютерных атак – Аргус и Ручей-М.

    [Ответить]

Написать комментарий