Временные требования к устройствам типа межсетевые экраны фсб

Обновлено: 09.01.2025

В соответствии с частью 5 статьи 8 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" <1> и пунктом 1 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 "Вопросы Федеральной службы безопасности Российской Федерации" <2>, ПРИКАЗЫВАЮ:

<1> Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2020, N 24, ст. 3755.

<2> Собрание законодательства Российской Федерации, 2003, N 33, ст. 3254; 2018, N 28, ст. 4198.

внести в приложения N 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" <1> изменения согласно приложению.

Приложение
к приказу ФСБ России
от 4 декабря 2020 г. N 555 ИЗМЕНЕНИЯ,
ВНОСИМЫЕ В ПРИЛОЖЕНИЯ N 1 И 2 К ПРИКАЗУ ФСБ РОССИИ
ОТ 27 ДЕКАБРЯ 2011 Г. N 796 "ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ
К СРЕДСТВАМ ЭЛЕКТРОННОЙ ПОДПИСИ И ТРЕБОВАНИЙ
К СРЕДСТВАМ УДОСТОВЕРЯЮЩЕГО ЦЕНТРА"

1. В Требованиях к средствам электронной подписи (приложение N 1):

1.1. В подпункте 2 пункта 2 слова "или индивидуальный предприниматель" заменить словами ", индивидуальный предприниматель либо государственный орган или орган местного самоуправления".

1.2. В сноске 1 к пункту 20 слова "2004, N 28, ст. 2883; 2005, N 36, ст. 3665; N 49, ст. 5200; 2006, N 25, ст. 2699; N 31 (ч. I), ст. 3463; 2007, N 1 (ч. I), ст. 205; N 49, ст. 6133; N 53, ст. 6554; 2008, N 36, ст. 4087; N 43, ст. 4921; N 47, ст. 5431; 2010, N 17, ст. 2054; N 20, ст. 2435; 2011, N 2, ст. 267; N 9, ст. 1222" заменить словами "2018, N 28, ст. 4198".

2. В Требованиях к средствам удостоверяющего центра (приложение N 2):

2.1.1. В подпункте 2 слова "или индивидуальный предприниматель" заменить словами ", индивидуальный предприниматель либо государственный орган или орган местного самоуправления".

2.1.2. Подпункт 7 изложить в следующей редакции:

"7) квалифицированный сертификат ключа проверки ЭП (далее - квалифицированный сертификат) - сертификат ключа проверки ЭП, соответствующий требованиям, установленным Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, созданный аккредитованным УЦ либо федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП (далее - уполномоченный федеральный орган), и являющийся в связи с этим официальным документом;".

2.1.3. Подпункт 9 изложить в следующей редакции:

"9) аккредитация УЦ - признание соответствия УЦ требованиям Федерального закона;".

2.1.4. В подпункте 11 после слова "организации," дополнить словами "индивидуальные предприниматели,".

2.1.5. Дополнить подпунктом 12 следующего содержания:

"12) метка доверенного времени - достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, УЦ или оператором информационной системы и полученная в момент подписания электронного документа электронной подписью в установленном уполномоченным федеральным органом порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с Федеральным законом <1>.".

2.1.6. Подпункт 12 дополнить сноской 1 следующего содержания:

"<1> В соответствии с частью 1.1 статьи 3 Федерального закона от 27 декабря 2019 г. N 476-ФЗ "О внесении изменений в Федеральный закон "Об электронной подписи" и статью 1 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" (Собрание законодательства Российской Федерации, 2019, N 52 (ч. I), ст. 7794; 2020, N 26, ст. 3997) требования к службе меток доверенного времени применяются с 1 января 2021 г.".

2.2. Дополнить подпунктом 13.5 следующего содержания:

"13.5. Разработка и реализация с использованием аппаратных и программных средств атак, направленных на выявление и использование имеющихся уязвимостей АС УЦ.".

2.3. Подпункты 19.3 и 19.4 изложить в следующей редакции:

"19.3. Требования для средств УЦ классов КС2, КС3 и КВ1 совпадают с требованиями для средств УЦ класса КС1.

19.4. Требования для средств УЦ класса КВ2:

- в средствах УЦ должен быть реализован механизм контроля входящих информационных потоков в целях выявления наличия данных, активирующих недекларированные возможности АС;

- в составе средств УЦ для выполнения функций управления ключами ЭП должны использоваться отдельные СКЗИ на базе выделенных аппаратных платформ. Данные СКЗИ не должны эксплуатироваться совместно с другим программным обеспечением, не входящим в состав СКЗИ, в одной среде функционирования.".

2.4. Дополнить подпунктом 19.5 следующего содержания:

"19.5. Требования для средств УЦ класса КА1:

- проведение специальной проверки технических средств иностранного производства, входящих в состав АС УЦ, в целях выявления устройств, предназначенных для негласного получения информации;

- проведение исследования наличия недекларированных возможностей АС, внесенных на этапе разработки и изготовления электронной компонентной базы, а также на этапах разработки и производства средств вычислительной техники на ее основе;

- проведение полной верификации АС (совместно с анализом программного кода BIOS), на которых реализуются средства УЦ, с целью исключения недекларированных возможностей.".

2.5. Подпункт 20.4 дополнить абзацами следующего содержания:

"- должна быть исключена возможность хищения ключевой информации членом группы администраторов;

"- копирование ключевой информации СКЗИ должно быть реализовано в защищенном (зашифрованном) виде.".

2.6. В подпункте 21.2:

2.6.1. Абзац четвертый изложить в следующей редакции:

"- контроль целостности программных средств УЦ должен выполняться при каждом старте функционирования указанных средств, а контроль целостности АС УЦ - при каждой перезагрузке операционной системы (далее - ОС);".

2.6.2. Дополнить абзацем следующего содержания:

"- вероятность ошибки контроля целостности не должна превышать аналогичной вероятности для используемых СКЗИ.".

2.7. Подпункты 21.6 и 21.7 изложить в следующей редакции:

"21.6. Требования для средств УЦ класса КВ2:

- контроль целостности должен осуществляться динамически при функционировании средств УЦ.

21.7. Требования для средств УЦ класса КА1 совпадают с требованиями для средств УЦ класса КВ2.".

2.8. Абзац четвертый подпункта 23.4 дополнить словами "и с применением механизма многофакторной аутентификации, использующего аппаратные идентификаторы".

2.9. Подпункт 24.3 дополнить абзацами следующего содержания:

- в средствах УЦ должен быть реализован механизм защиты данных при передаче их между физически разделенными компонентами на основе использования СКЗИ, класс которых не ниже класса средств УЦ.".

2.10. Подпункт 24.4 изложить в следующей редакции:

"24.4. Требования для средств УЦ классов КС3, КВ1, КВ2 и КА1 совпадают с требованиями для средств УЦ класса КС2.".

2.11. Подпункты 24.5 и 24.6 признать утратившими силу.

2.12. Подпункт 25.2 дополнить абзацем следующего содержания:

"- список регистрируемых событий должен включать факты (попытки) изменения системного времени средств УЦ.".

2.13. В абзаце втором подпункта 25.4 слова "пользователями средств УЦ, не являющимися членами группы администраторов средств УЦ" исключить.

2.14. В абзаце третьем подпункта 27.3 после слов "(далее - список аннулированных сертификатов)," дополнить словами "а также ключи ЭП, используемые для подписи меток доверенного времени".

2.15. Абзац второй подпункта 27.6 изложить в следующей редакции:

"- ключи ЭП, используемые для подписи сертификатов ключей проверки ЭП, списков аннулированных сертификатов и меток доверенного времени, должны генерироваться, храниться, использоваться и уничтожаться в средстве ЭП;".

2.16. Подпункт 29.1 изложить в следующей редакции:

"29.1. Протоколы создания и аннулирования сертификатов ключей проверки ЭП, а также схема передачи заявления на создание сертификата ключа проверки ЭП должны быть описаны в эксплуатационной документации на средства УЦ.".

2.17. Дополнить новым пунктом 33 следующего содержания:

"33. В состав средств УЦ должна входить служба меток доверенного времени.".

2.18. Пункты 33 - 36 считать пунктами 34 - 37 соответственно.

2.19. Пункт 36 изложить в следующей редакции:

"36. При подключении средств УЦ, за исключением средств, реализующих механизм формирования меток доверенного времени, к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1.".

2.20. В сноске 1 к пункту 37 слова "2004, N 28, ст. 2883; 2005, N 36, ст. 3665; N 49, ст. 5200; 2006, N 25, ст. 2699; N 31 (ч. I), ст. 3463; 2007, N 1 (ч. I), ст. 205; N 49, ст. 6133; N 53, ст. 6554; 2008, N 36, ст. 4087; N 43, ст. 4921; N 47, ст. 5431; 2010, N 17, ст. 2054; N 20, ст. 2435; 2011, N 2, ст. 267; N 9, ст. 1222" заменить словами "2018, N 28, ст. 4198".

2.21. Дополнить пунктом 38 следующего содержания:

"38. Для ограничения возможностей по построению атак с использованием каналов связи на средства, реализующие механизм формирования меток доверенного времени, УЦ должны применяться средства межсетевого экранирования уровня веб-сервера (тип "Г"), сертифицированные ФСБ России на соответствие требованиям к устройствам типа "межсетевой экран" не менее чем 3 класса защищенности. Средства межсетевого экранирования должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста.

Для обеспечения обнаружения компьютерных программ или иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования защищаемой информации или нейтрализации средств защиты информации, а также для реагирования на обнаружение этих программ и информации УЦ должны применяться средства защиты от компьютерных вирусов, предназначенные для применения на серверах информационных систем (тип "Б") и сертифицированные ФСБ России на соответствие требованиям к антивирусным средствам по классу Б2.

Для обеспечения обнаружения действий, направленных на несанкционированный доступ к информации, специальных воздействий на средства, реализующие механизмы формирования меток доверенного времени, в целях добывания, уничтожения, искажения и блокирования доступа к защищаемой информации, а также для реагирования на эти действия (предотвращение этих действий) УЦ должны применяться средства защиты от компьютерных атак, сертифицированные ФСБ России на соответствие требованиям к программным, программно-аппаратным или аппаратным средствам типа "системы обнаружения компьютерных атак" по классу Б.

Для контроля локального доступа и контроля целостности программной среды средств вычислительной техники, входящих в состав средств, реализующих механизмы формирования меток доверенного времени, УЦ должны применяться аппаратно-программные модули доверенной загрузки уровня платы расширения, сертифицированные ФСБ России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки электронно-вычислительных машин по классу 2Б.

Класс СКЗИ средств, реализующих механизмы формирования меток доверенного времени, должен быть не ниже класса КС3. Должно быть обеспечено защищенное хранение криптографических ключей в неэкспортируемом виде.

Исходный код BIOS средств, реализующих механизмы формирования меток доверенного времени, должен пройти анализ на отсутствие известных уязвимостей и возможностей деструктивного воздействия, осуществляемого путем использования программных уязвимостей со стороны каналов связи.".

В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, 12 сентября 2016 г. ФСТЭК России утверждены методические документы, содержащие профили защиты межсетевых экранов.

Указанные документы содержат детализацию требований, предъявляемых к функциям безопасности межсетевых экранов, а также взаимосвязи этих требований и предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации при проведении ими работ по сертификации межсетевых экранов на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9.

Спецификация профилей защиты межсетевых экранов для каждого типа межсетевого экрана и класса защиты межсетевого экрана приведена в таблице.

Тип межсетевого экрана

Межсетевой экран типа "А"

Межсетевой экран типа "Б"

Межсетевой экран типа "В"

Межсетевой экран типа "Г"

Межсетевой экран типа "Д"

Идентификаторы профилей защиты приводятся в формате ИТ.МЭ."тип""класс".ПЗ, где обозначение "тип" может принимать значение "А", которое определяет, что межсетевой экран относится к межсетевому экрану типа "А", значение "Б", которое определяет, что межсетевой экран относится к межсетевому экрану типа "Б", значение "В", которое определяет, что межсетевой экран относится к межсетевому экрану типа "В", значение "Г", которое определяет, что межсетевой экран относится к межсетевому экрану типа "Г", значение "Д", которое определяет, что межсетевой экран относится к межсетевому экрану типа "Д", а обозначение "класс" может принимать значения от 1 до 6, соответствующие классу защиты межсетевого экрана.

В целях реализации части 4 статьи 19 Федерального закона от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (Собрание законодательства Российской Федерации, 2010, N 31, ст. 4179; 2011, N 15, ст. 2038; N 27, ст. 3873, ст. 3880; N 29, ст. 4291; N 30, ст. 4587; N 49, ст. 7061; 2012, N 31, ст. 4322; 2013, N 14, ст. 1651; N 27, ст. 3477, ст. 3480; N 30, ст. 4084; N 51, ст. 6679; N 52, ст. 6952, ст. 6961, ст. 7009; 2014, N 26, ст. 3366; N 30, ст. 4264), а также во исполнение пунктов 5 и 9 Правил присоединения информационных систем организаций к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме (далее - информационная система, инфраструктура соответственно), утвержденных постановлением Правительства Российской Федерации от 22 декабря 2012 г. N 1382 (Собрание законодательства Российской Федерации, 2012, N 53, ст. 7938; 2013, N 48, ст. 6259), приказываю:

1. Утвердить прилагаемые Требования, обеспечивающие технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенностей использования стандартов и протоколов при обмене данными в электронной форме между информационными системами указанных организаций и инфраструктурой.

Министр Н. Никифоров

Требования, обеспечивающие технологическую совместимость информационных систем организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме с указанной инфраструктурой, к каналу связи и используемым для его защиты средствам криптографической защиты информации, а также особенности использования стандартов и протоколов при обмене данными в электронной форме между информационными системами таких организаций и указанной инфраструктурой

I. Требования, обеспечивающие технологическую совместимость информационных систем, подключаемых к инфраструктуре

1. Межсетевые экраны, обеспечивающие контроль за информацией, поступающей в информационную систему должны быть сертифицированы по требованиям Федеральной службы безопасности Российской Федерации к устройствам типа межсетевые экраны по четвертому классу защищенности.

2. Межсетевые экраны должны быть сертифицированы Федеральной службой по техническому и экспортному контролю по третьему классу и третьему уровню контроля отсутствия недекларированных возможностей.

3. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации.

II. Требования к каналу связи и используемым для его защиты средствам криптографической защиты информации

4. Информационные системы подключаемых организаций (далее - информационные системы) должны быть подключены к сетям передачи данных, обеспечивающим скорость передачи не менее 1 мегабита в секунду.

6. Доступ к закрытому контуру инфраструктуры предоставляется лицам, при условии прохождения идентификации, аутентификации и авторизации в федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" 1 .

7. Для построения защищенных каналов связи при подключении к закрытому контуру инфраструктуры необходимо использовать средства криптографической защиты информации, применяемые в единой системе межведомственного электронного взаимодействия.

8. При передаче или получении информации по каналам связи, обеспечивающим подключение к закрытому контуру инфраструктуры, должно осуществляться обязательное резервирование таких каналов.

III. Особенности использования стандартов и протоколов при обмене данными в электронной форме между информационными системами и инфраструктурой

9. Информационные системы, подключенные к инфраструктуре, должны поддерживать следующие языки, спецификации и протоколы указанных версий и выше:

Итак, произошло долгожданное событие и ФСТЭК РФ в дополнение к ранее выпущенным Профилям антивирусной защиты выпустил (точнее выложил на сайте) и требования к межсетевым экранам. В том числе программным для установки на рабочие станции. К сожалению выложены не все документы — традиционно выложены Профили четвертого, пятого и шестого класса защиты. Остальные классы защиты описываются в документах с грифом ДСП и широкой публике недоступны.

Межсетевые экраны, соответствующие 6 классу защиты, применяются в государственных информационных системах 3 и 4 классов защищенности*, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровней защищенности персональных данных***.

Межсетевые экраны, соответствующие 5 классу защиты, применяются в государственных информационных системах 2 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных**

Межсетевые экраны, соответствующие 4 классу защиты, применяются в государственных информационных системах 1 класса защищенности*, в авто матизированных системах управления производственными и технологическими процессами 1 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных***, в информационных системах общего пользования II класса****.

Межсетевые экраны, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

* Устанавливается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. No17.

** Устанавливается в соответствии с Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. No 31.

*** Устанавливается в соответствии Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012г., No 1119.

**** Устанавливается в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31августа 2010 г. No 416/489.

Можно предсказать, что как в случае с антивирусами сертифицированных продуктов для классов защиты ниже четвертого не будет. Поэтому рассмотрим Профиль защиты для четвертого класса защиты. Нужно сказать, что требования для всех типов достаточно похожи, поэтому для примера требований возьмем Профиль типа В (если будет интерес, можно будет добавить отличия для иных типов). Данный профиль доступен здесь

Что есть межсетевой экран согласно Профилю?

программное средство, реализующее функции контроля и фильтрации в соответствии с заданными правилами проходящих через него информационных потоков.

Согласно Профилю МЭ должен противодействовать следующим угроза безопасности информации:

контроль и фильтрация;
идентификация и аутентификация;
регистрация событий безопасности (аудит);
обеспечение бесперебойного функционирования и восстановление;
тестирование и контроль целостности;
управление (администрирование);
взаимодействие с другими средствами защиты информации — сертифицированными на соответствие требованиям безопасности информации по соответствующему классу защиты.

Интересно, что в разделе FW_ARP_EXT.2 уточняется, что МЭ должен иметь возможность по блокированию неразрешенного информационного потока по протоколу передачи гипертекста — о иных протоколах нет указаний. Должен ли МЭ блокировать передачу информации по ним? Кстати вполне возможно, что данный пункт попал в документ из Профиля типа Г — там достаточно много внимания уделяется именно этому протоколу;

К сожалению в открытую часть не попали схемы, указывающие, где должен располагаться сертифицированный МЭ типа В. Но даже из списка функционала видно, что защита домашних машин пользователей, мобильных пользователей, а также защита мобильных устройств ФСТЭК'ом на данный момент не рассматривается.

В связи с тем, что МЭ, предназначенные для защиты рабочих станций и попадающие под тип В часто имеют функционал защиты от вторжений, интересно иметь требования и к этому функционалу. В рассмотренных Профилях таких требований нет, но они есть в Методическом документе ФСТЭК «Меры защиты информации в государственных информационных системах». Согласно данному документу МЭ:

Итого, что мы имеем? На первый взгляд базовая функциональность персонального файрвола описана. Но:

источник картинки

И тут потребителей ожидает засада. До выхода Профилей для защиты рабочих станций можно было использовать сертифицированный антивирус, в составе которого шел файрвол — как компонент антивируса тоже сертифицированный. Теперь так нельзя. Получается или производителям антивируса платить еще одну стоимость сертификации (и отбивать ее конечно) — а дальнейшем возможно и еще одну за СОВ или пользователям покупать три отдельных продукта — и тем самым требовать от руководства увеличения бюджета. Возможности для производителей антивирусов расширить сертификат не предусмотрено, а значит вариантов не так много:

закладывать в бюджет средства и на сертифицированный антивирус и на сертифицированный МЭ;
продлить ранее купленный сертифицированный антивирус на много лет вперед, так как ранее закупленные МЭ могут продолжать использоваться;
надеяться, что ФСТЭК одумается.

До 1 декабря осталось немного, интересно, кто успеет провести сертификацию

Читайте также: