Присоединяйтесь!
Зарегистрированных пользователей портала: 505 366. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"МЕТОДИЧЕСКИЙ ДОКУМЕНТ ФСТЭК РФ. ПРОФИЛЬ ЗАЩИТЫ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ УРОВНЯ СЕТИ ЧЕТВЕРТОГО КЛАССА ЗАЩИТЫ. ИТ.СОВ.С4.ПЗ" (утв. ФСТЭК РФ 03.02.2012)

Дата документа03.02.2012
Статус документаДействует
МеткиМетодические рекомендации

    

Утвержден
ФСТЭК России
3 февраля 2012 г.

 

МЕТОДИЧЕСКИЙ ДОКУМЕНТ ФСТЭК РОССИИ

 

ПРОФИЛЬ ЗАЩИТЫ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ УРОВНЯ СЕТИ ЧЕТВЕРТОГО КЛАССА ЗАЩИТЫ

 

ИТ.СОВ.С4.ПЗ

 

1. Общие положения

 
    Настоящий методический документ ФСТЭК России разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, и предназначен для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации (далее - разработчики), заявителей на осуществление сертификации продукции (далее - заявители), а также испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации (далее - оценщики) при проведении ими работ по сертификации систем обнаружения вторжений (СОВ) на соответствие Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 г. N 638.
    Настоящий методический документ ФСТЭК России детализирует и определяет взаимосвязи требований к функциям безопасности систем обнаружения вторжений, установленным Требованиями к системам обнаружения вторжений, утвержденными приказом ФСТЭК России от 6 декабря 2011 г. N 638.
    Профиль защиты разработан в соответствии с национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".
 
    1.1. Введение профиля защиты
    Данный раздел содержит информацию общего характера. Подраздел "Идентификация профиля защиты" предоставляет маркировку и описательную информацию, которые необходимы, чтобы контролировать и идентифицировать профиль защиты (ПЗ) и объект оценки (ОО), к которому он относится. Подраздел "Аннотация профиля защиты" содержит общую характеристику ПЗ, позволяющую определить применимость ОО, к которому относится настоящий ПЗ, в конкретной ситуации. В подразделе "Соглашения" дается описание операций конкретизации компонентов требований безопасности СОВ. В подразделе "Термины и определения" представлены определения основных терминов, специфичных для данного ПЗ. В подразделе "Организация профиля защиты" дается пояснение организации документа.
 
    1.2. Идентификация профиля защиты
 

Название ПЗ: Профиль защиты систем обнаружения вторжений уровня сети четвертого класса.
Тип СОВ: СОВ уровня сети.
Класс защиты: Четвертый.
Версия ПЗ: Версия 1.0.
Обозначение ПЗ: ИТ.СОВ.С4.ПЗ.
Идентификация ОО: Системы обнаружения вторжений уровня сети.
Уровень доверия: Оценочный уровень доверия 3 (ОУД3), усиленный компонентами ADV_IMP.2 "Реализация функций безопасности объекта оценки", ADV_LLD.1 "Описательный проект нижнего уровня", ALC_FLR.1 "Базовое устранение недостатков", ALC_TAT.1 "Полностью определенные инструментальные средства разработки", AVA_VLA.3 "Умеренно стойкий" и расширенный компонентами ALC_UPI_EXT.1 "Процедуры обновления базы решающих правил" и AMA_SIA_EXT.3 "Экспертиза анализа влияния обновлений базы решающих правил на безопасность ОО".
Идентификация: Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638.
ГОСТ Р ИСО/МЭК 15408 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Ключевые слова: Система обнаружения вторжений, ОУД3.

 
    1.3. Аннотация профиля защиты
    Настоящий ПЗ определяет требования безопасности для систем обнаружения вторжений уровня сети (объекта оценки), предназначенных для использования в информационных системах, функционирующих на базе вычислительных сетей.
    Объект оценки представляет собой элемент системы защиты информации информационных систем, функционирующих на базе вычислительных сетей, и применяется совместно с другими средствами защиты информации от несанкционированного доступа к информации в информационных системах.
    Объект оценки должен обеспечивать обнаружение и (или) блокирование следующих основных угроз безопасности информации, относящихся к вторжениям (атакам):
    преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внешних нарушителей, действующих из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена;
    преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе.
    Основными компонентами системы обнаружения вторжений (СОВ) являются датчики (сенсоры) и анализаторы.
    Датчики (сенсоры) собирают информацию о пакетах данных, передаваемых в пределах информационной системы (ИС) (сегмента ИС), в которой (котором) установлены эти датчики. Датчики СОВ уровня сети могут быть реализованы в виде программного обеспечения (ПО), устанавливаемого на стандартные программно-технические платформы, а также в виде программно-технических устройств, подключаемых к ИС (сегменту ИС). Анализаторы выполняют анализ собранной датчиками информации, генерируют отчеты по результатам анализа и управляют процессами реагирования на выявленные вторжения.
    Решение об обнаружении вторжения СОВ принимают в соответствии с результатами анализа информации, собираемой датчиками СОВ, с применением базы решающих правил СОВ.
    В системе обнаружения вторжений должны быть реализованы следующие функции безопасности системы обнаружения вторжений:
    разграничение доступа к управлению системой обнаружения вторжений;
    управление работой системы обнаружения вторжений;
    управление параметрами системы обнаружения вторжений;
    управление установкой обновлений (актуализации) базы решающих правил системы обнаружения вторжений;
    анализ данных системы обнаружения вторжений;
    аудит безопасности системы обнаружения вторжений;
    сбор данных о событиях и активности в контролируемой информационной системе;
    реагирование системы обнаружения вторжений.
    В среде, в которой СОВ функционирует, должны быть реализованы следующие функции безопасности среды:
    обеспечение доверенного маршрута;
    обеспечение доверенного канала;
    обеспечение условий безопасного функционирования;
    управление атрибутами безопасности.
    Функции безопасности системы обнаружения вторжений должны обладать составом функциональных возможностей, обеспечивающих реализацию этих функций.
    В ПЗ изложены следующие виды требований безопасности, предъявляемые к СОВ:
    функциональные требования безопасности;
    требования доверия к безопасности.
    Функциональные требования безопасности СОВ, изложенные в ПЗ, включают:
    требования по осуществлению сбора данных СОВ;
    требования к анализу данных СОВ;
    требования к реагированию СОВ;
    требования к средствам обновления базы решающих правил СОВ;
    требования по защите СОВ;
    требования по управлению режимами выполнения функций безопасности (работой СОВ);
    требования по управлению данными функций безопасности (данными СОВ);
    требования по управлению ролями субъектов;
    требования к средствам администрирования СОВ;
    требования к аудиту функционирования СОВ.
    Функциональные требования безопасности для СОВ выражены на основе компонентов требований из ГОСТ Р ИСО/МЭК 15408-2, при этом часть требований сформулированы в явном виде в стиле компонентов из ГОСТ Р ИСО/МЭК 15408-2.
    Состав функциональных требований безопасности (ФТБ), включенных в настоящий ПЗ, обеспечивает следующие функциональные возможности СОВ:
    возможность сбора информации о сетевом трафике;
    возможность выполнения анализа собранных данных СОВ о сетевом трафике в режиме, близком к реальному масштабу времени, и по результатам анализа фиксировать информацию о дате и времени, результате анализа, идентификаторе источника данных, протоколе, используемом для проведения вторжения;
    возможность выполнения анализа собранных данных с целью обнаружения вторжений с использованием сигнатурного и эвристических методов;
    возможность выполнения анализа собранных данных с целью обнаружения вторжений с использованием эвристических методов, основанных на методах выявления аномалий сетевого трафика на заданном уровне эвристического анализа;
    возможность обнаружения вторжений на основе анализа служебной информации протоколов сетевого уровня базовой эталонной модели взаимосвязи открытых систем;
    возможность фиксации факта обнаружения вторжений или нарушений безопасности в журналах аудита;
    уведомление администратора СОВ об обнаруженных вторжениях по отношению к контролируемым узлам ИС и нарушениях безопасности с помощью отображения соответствующего сообщения на консоли управления;
    возможность автоматизированного обновления базы решающих правил;
    возможность тестирования (самотестирования) функций безопасности СОВ;
    возможность со стороны уполномоченных администраторов (ролей) управлять режимом выполнения функций безопасности СОВ;
    возможность со стороны уполномоченных администраторов (ролей) управлять данными СОВ;
    поддержка определенных ролей для СОВ и их ассоциации с конкретными администраторами СОВ и пользователями ИС;
    возможность администрирования СОВ;
    возможность генерации записей аудита для событий, потенциально подвергаемых аудиту;
    возможность ассоциации каждого события аудита с идентификатором субъекта, его инициировавшего;
    возможность предоставлять возможность читать информацию из записей аудита;
    ограничение доступа к чтению записей аудита;
    поиск, сортировка, упорядочение данных аудита.
    Требования доверия к безопасности СОВ, изложенные в ПЗ, охватывают следующие вопросы:
    управление конфигурацией;
    поставка и эксплуатация;
    разработка;
    руководства;
    поддержка жизненного цикла;
    тестирование;
    оценка уязвимостей;
    обновление базы решающих правил.
    Требования доверия к безопасности СОВ сформированы на основе компонентов требований из ГОСТ Р ИСО/МЭК 15408-3; при этом часть требований сформулированы в явном виде в стиле компонентов из ГОСТ Р ИСО/МЭК 15408-3.
    Требования доверия к безопасности СОВ образуют оценочный уровень доверия 3 (ОУД3), усиленный компонентами ADV_IMP.2 "Реализация ФБО", ADV_LLD.1 "Описательный проект нижнего уровня", ALC_FLR.1 "Базовое устранение недостатков", ALC_TAT.1 "Полностью определенные инструментальные средства разработки", AVA_VLA.3 "Умеренно стойкий" и расширенный компонентами ALC_UPI_EXT.1 "Процедуры обновления базы решающих правил" и AMA_SIA_EXT.3 "Экспертиза анализа влияния обновлений базы решающих правил на безопасность ОО".
    В целях обеспечения условий для безопасного функционирования СОВ в настоящем ПЗ определены цели и требования для среды функционирования СОВ.
 
    1.4. Соглашения
    ГОСТ Р ИСО/МЭК 15408 допускает выполнение определенных операций над требованиями безопасности. Соответственно в настоящем ПЗ используются операции "уточнение", "выбор", "назначение" и "итерация".
    Операция "уточнение" используется для добавления к требованию некоторых подробностей (деталей) и, таким образом, ограничивает диапазон возможностей его удовлетворения. Результат операции "уточнение" в настоящем ПЗ обозначается полужирным текстом.
    Операция "выбор" используется для выбора одного или нескольких элементов из перечня в формулировке требования. Результат операции "выбор" в настоящем ПЗ обозначается подчеркнутым курсивным текстом.
    Операция "назначение" используется для присвоения конкретного значения ранее неконкретизированному параметру. Операция "назначение" обозначается заключением значения параметра в квадратные скобки, [назначаемое значение].
    В настоящем ПЗ используются компоненты требований безопасности, включающие частично выполненные операции "назначение" и предполагающие завершение операций в задании по безопасности (ЗБ). В данных компонентах незавершенная часть операции "назначения" обозначается как [назначение: область предполагаемых значений].
    В настоящем ПЗ используются компоненты требований безопасности, включающие незавершенные операции "назначение", в которых область предполагаемых значений уточнена по отношению к исходному компоненту из ГОСТ Р ИСО/МЭК 15408. В данных компонентах операции "назначения" с уточненной областью предполагаемых значений обозначаются как [назначение: уточненная область предполагаемых значений].
    Операция "итерация" используется для более чем однократного использования компонента требований безопасности при различном выполнении разрешенных операций (уточнение, выбор, назначение). Выполнение "итерации" сопровождается помещением номера итерации, заключенного в круглые скобки, после краткого имени соответствующего компонента (номер итерации).
    В настоящий ПЗ включен ряд требований безопасности, сформулированных в явном виде. Краткая форма имен компонентов требований, сформулированных в явном виде, содержит текст (EXT).
    Настоящий профиль защиты содержит ряд незавершенных операций над компонентами функциональных требований безопасности. Эти операции должны быть завершены в задании по безопасности на конкретную реализацию СОВ.
 
    1.5. Термины и определения
    В настоящем ПЗ применяются следующие термины с соответствующими определениями.
    Администратор СОВ - уполномоченный пользователь, ответственный за установку, администрирование и эксплуатацию ОО (СОВ).
    Анализатор СОВ - программный или программно-технический компонент СОВ, предназначенный для сбора информации от сенсоров (датчиков) СОВ, ее итогового анализа на предмет обнаружения вторжения (атаки) на контролируемую ИС.
    База решающих правил - составная часть СОВ, содержащая информацию о вторжениях (сигнатуры), на основе которой СОВ принимает решение о наличии вторжения (атаки).
    Вторжение (атака) - действие, целью которого является осуществление несанкционированного доступа к информационным ресурсам.
    Данные СОВ - данные, собранные или созданные СОВ в результате выполнения своих функций.