Присоединяйтесь!
Зарегистрированных пользователей портала: 506 298. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"МЕТОДИЧЕСКИЙ ДОКУМЕНТ ФСТЭК РФ. ПРОФИЛЬ ЗАЩИТЫ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ УРОВНЯ УЗЛА ШЕСТОГО КЛАССА ЗАЩИТЫ. ИТ.СОВ.У6.ПЗ" (утв. ФСТЭК РФ 06.03.2012)

Дата документа06.03.2012
Статус документаДействует
МеткиМетодические рекомендации

    

Утвержден
ФСТЭК России
6 марта 2012 г.

 

МЕТОДИЧЕСКИЙ ДОКУМЕНТ ФСТЭК РОССИИ

 

ПРОФИЛЬ ЗАЩИТЫ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ УРОВНЯ УЗЛА ШЕСТОГО КЛАССА ЗАЩИТЫ

 

ИТ.СОВ.У6.ПЗ

 

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ

 

АРМ- автоматизированное рабочее место
БРП- база решающих правил
ЗБ- задание по безопасности
ИС- информационная система
ИТ- информационная технология
ОДФ- область действия функции безопасности
ОО- объект оценки
ОС- операционная система
ОУД- оценочный уровень доверия
ПБО- политика безопасности объекта оценки
ПЗ- профиль защиты
СОВ- система обнаружения вторжений
УК- управление конфигурацией
ФБО- функции безопасности объекта оценки
ФТБ- функциональные требования безопасности

 

1. Общие положения

 
    Настоящий методический документ ФСТЭК России разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, и предназначен для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации (далее - разработчики), заявителей на осуществление сертификации продукции (далее - заявители), а также испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации (далее - оценщики) при проведении ими работ по сертификации систем обнаружения вторжений (СОВ) на соответствие Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 г. N 638.
    Настоящий методический документ ФСТЭК России детализирует и определяет взаимосвязи требований к функциям безопасности систем обнаружения вторжений, установленным Требованиями к системам обнаружения вторжений, утвержденными приказом ФСТЭК России от 6 декабря 2011 г. N 638.
    Профиль защиты разработан в соответствии с национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".
 

1.1. Введение профиля защиты

 
    Данный раздел содержит информацию общего характера. Подраздел "Идентификация профиля защиты" предоставляет маркировку и описательную информацию, которые необходимы, чтобы контролировать и идентифицировать профиль защиты (ПЗ) и объект оценки (ОО), к которому он относится. Подраздел "Аннотация профиля защиты" содержит общую характеристику ПЗ, позволяющую определить применимость ОО, к которому относится настоящий ПЗ, в конкретной ситуации. В подразделе "Соглашения" дается описание операций конкретизации компонентов требований безопасности СОВ. В подразделе "Термины и определения" представлены определения основных терминов, специфичных для данного ПЗ. В подразделе "Организация профиля защиты" дается пояснение организации документа.
 

1.2. Идентификация профиля защиты

 
 

Название ПЗ: Профиль защиты систем обнаружения вторжений уровня узла шестого класса..
Тип СОВ: СОВ уровня узла.
Класс защиты: Шестой.
Версия ПЗ: Версия 1.0.
Обозначение ПЗ: ИТ.СОВ.У6.ПЗ.
Идентификация ОО: Системы обнаружения вторжений уровня узла.
Уровень доверия:Оценочный уровень доверия 1 (ОУД1), усиленный компонентом AVA SOF.1 "Оценка стойкости функции безопасности" и расширенный компонентами ALC UPI EXT.1 "Процедуры обновления базы решающих правил" и AMA SIA EXT.3 "Экспертиза анализа влияния обновлений базы решающих правил на безопасность ОО".
Идентификация ГОСТ Р ИСО/МЭК 15408:Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638.
ГОСТ Р ИСО/МЭК 15408 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Ключевые слова: Система обнаружения вторжений, ОУД1.

 

1.3. Аннотация профиля защиты

 
    Настоящий ПЗ определяет требования безопасности для систем обнаружения вторжений уровня узла (объекта оценки), предназначенных для использования в информационных системах, функционирующих на базе вычислительных сетей..
    Объект оценки представляет собой элемент системы защиты информации информационных систем, функционирующих на базе вычислительных сетей, и применяются совместно с другими средствами защиты информации от несанкционированного доступа к информации в информационных системах.
    Объект оценки должен обеспечивать обнаружение и (или) блокирование следующих основных угроз безопасности информации, относящихся к вторжениям (атакам):
    преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внешних нарушителей, действующих из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена;
    преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе.
    Основными компонентами системы обнаружения вторжений (СОВ) являются датчики (сенсоры) и анализаторы.
    Датчики СОВ уровня узла представляют собой программные модули, устанавливаемые на защищаемые узлы информационной системы (ИС) и предназначенные для сбора информации о событиях, возникающих на этих узлах.
    Анализаторы выполняют анализ собранной датчиками информации, генерируют отчеты по результатам анализа и управляют процессами реагирования на выявленные вторжения.
    Решение об обнаружении вторжения СОВ принимают в соответствии с результатами анализа информации, собираемой датчиками СОВ, с применением базы решающих правил СОВ.
    В системе обнаружения вторжений должны быть реализованы следующие функции безопасности системы обнаружения вторжений:
    разграничение доступа к управлению системой обнаружения вторжений;
    управление работой системы обнаружения вторжений;
    управление параметрами системы обнаружения вторжений;
    управление установкой обновлений (актуализации) базы решающих правил системы обнаружения вторжений;
    анализ данных системы обнаружения вторжений;
    аудит безопасности системы обнаружения вторжений;
    сбор данных о событиях и активности в контролируемой информационной системе;
    реагирование системы обнаружения вторжений.
    В среде, в которой СОВ функционирует, должны быть реализованы следующие функции безопасности среды:
    обеспечение доверенного маршрута;
    обеспечение доверенного канала;
    обеспечение условий безопасного функционирования;
    управление атрибутами безопасности.
    Функции безопасности системы обнаружения вторжений должны обладать составом функциональных возможностей, обеспечивающих реализацию этих функций.
    В ПЗ изложены следующие виды требований безопасности, предъявляемые к СОВ:
    функциональные требования безопасности;
    требования доверия к безопасности.
    Функциональные требования безопасности СОВ, изложенные в ПЗ, включают:
    требования по осуществлению сбора данных СОВ;
    требования к анализу данных СОВ;
    требования к реагированию СОВ;
    требования к средствам обновления базы решающих правил СОВ;
    требования по защите СОВ;
    требования по управлению режимами выполнения функций безопасности (работой СОВ);
    требования по управлению данными функций безопасности (данными СОВ);
    требования по управлению ролями субъектов;
    требования к средствам администрирования СОВ;
    требования к аудиту функционирования СОВ.
    Функциональные требования безопасности для СОВ выражены на основе компонентов требований из ГОСТ Р ИСО/МЭК 15408-2, при этом часть требований сформулированы в явном виде в стиле компонентов из ГОСТ Р ИСО/МЭК 15408-2.
    Состав функциональных требований безопасности (ФТБ), включенных в настоящий ПЗ, обеспечивает следующие функциональные возможности СОВ:
    возможность собирать информацию о сетевом трафике, проходящем через контролируемые узлы ИС, о событиях, регистрируемых в журналах аудита операционной системы (ОС), прикладного ПО; о вызове функций, об обращении к ресурсам;
    возможность выполнять анализ собранных данных СОВ о сетевом трафике в режиме, близком к реальному масштабу времени, и по результатам анализа фиксировать информацию о дате и времени, результате анализа, идентификаторе источника данных, протоколе, используемом для проведения вторжения;
    возможность обнаруживать вторжения по отношению к контролируемым узлам ИС в режиме, близком к реальному масштабу времени, на уровне отдельных узлов;
    возможность выполнять анализ собранных данных с целью обнаружения компьютерных вторжений с использованием сигнатурного и эвристических методов;
    возможность выполнять анализ собранных данных с целью обнаружения вторжений с использованием эвристических методов, основанных на методах выявления аномалий сетевого трафика и аномалий в действиях пользователя ИС, на заданном уровне эвристического анализа;
    возможность фиксации факта обнаружения вторжений или нарушений безопасности в журналах аудита; уведомить администратора СОВ об обнаруженных вторжениях и нарушениях безопасности с помощью отображения соответствующего сообщения на консоли управления;
    возможность обнаружения вторжений на основе анализа служебной информации протоколов сетевого уровня базовой эталонной модели взаимосвязи открытых систем;
    возможность автоматизированного обновления базы решающих правил;
    наличие интерфейса администрирования;
    возможность уполномоченным администраторам (ролям) управлять режимом выполнения функций безопасности СОВ;
    возможность уполномоченным администраторам (ролям) управлять данными (данными СОВ), используемыми функциями безопасности СОВ;
    поддержка определенных ролей для СОВ и их ассоциацию с конкретными администраторами СОВ и пользователями возможность генерации записей аудита для событий, потенциально подвергаемых аудиту;
    возможность предоставлять возможность читать информацию из записей аудита;
    Требования доверия к безопасности СОВ, изложенные в ПЗ, охватывают следующие основные вопросы:
    управление конфигурацией;
    поставка и эксплуатация;
    разработка;
    руководства;
    поддержка жизненного цикла;
    тестирование;
    оценка уязвимостей;
    обновление базы решающих правил.
    Требования доверия к безопасности СОВ сформированы на основе компонентов требований из ГОСТ Р ИСО/МЭК 15408-3, часть требований сформулированы в явном виде в стиле компонентов из ГОСТ Р ИСО/МЭК 15408-3.
    Требования доверия к безопасности СОВ образуют оценочный уровень доверия 1 (ОУД1), усиленный компонентом AVA_SOF.1 "Оценка стойкости функции безопасности ОО" и расширенный компонентами ALC_UPI_EXT.1 "Процедуры обновления базы решающих правил" и AMA_SIA_EXT.3 "Экспертиза анализа влияния обновлений базы решающих правил на безопасность ОО".
    В целях обеспечения условий для безопасного функционирования СОВ в настоящем ПЗ определены цели и требования для среды функционирования СОВ.
 

1.4. Соглашения

 
    ГОСТ Р ИСО/МЭК 15408 допускает выполнение определенных операций над требованиями безопасности. Соответственно в настоящем ПЗ используются операции "уточнение", "выбор", "назначение" и "итерация".
    Операция "уточнение" используется для добавления к требованию некоторых подробностей (деталей) и, таким образом, ограничивает диапазон возможностей его удовлетворения. Результат операции "уточнение" в настоящем ПЗ обозначается полужирным текстом.
    Операция "выбор" используется для выбора одного или нескольких элементов из перечня в формулировке требования. Результат операции "выбор" в настоящем ПЗ обозначается подчеркнутым курсивным текстом.
    Операция "назначение" используется для присвоения конкретного значения ранее неконкретизированному параметру. Операция "назначение" обозначается заключением значения параметра в квадратные скобки, [назначаемое значение].
    В настоящем ПЗ используются компоненты требований безопасности, включающие частично выполненные операции "назначение" и предполагающие завершение операций в задании по безопасности (ЗБ). В данных компонентах незавершенная часть операции "назначения" обозначается как [назначение: область предполагаемых значений].
    В настоящем ПЗ используются компоненты требований безопасности, включающие незавершенные операции "назначение", в которых область предполагаемых значений уточнена по отношению к исходному компоненту из ГОСТ Р ИСО/МЭК 15408-3. В данных компонентах операции "назначения" с уточненной областью предполагаемых значений обозначаются как [назначение: уточненная область предполагаемых значений].
    Операция "итерация" используется для более чем однократного использования компонента требований безопасности при различном выполнении разрешенных операций (уточнение, выбор, назначение). Выполнение "итерации" сопровождается помещением номера итерации, заключенного в круглые скобки, после краткого имени соответствующего компонента, (номер итерации).
    В настоящий ПЗ включен ряд требований безопасности, сформулированных в явном виде. Краткая форма имен компонентов требований, сформулированных в явном виде, содержит текст (EXT).
    Настоящий профиль защиты содержит ряд незавершенных операций над компонентами функциональных требований безопасности. Эти операции должны быть завершены в задании по безопасности на конкретную реализацию СОВ.
 

1.5. Термины и определения

 
    В настоящем ПЗ применяются следующие термины с соответствующими определениями.
    Администратор СОВ - уполномоченный пользователь, ответственный за установку, администрирование и эксплуатацию ОО (СОВ).
    Анализатор СОВ - программный или программно-технический компонент СОВ, предназначенный для сбора информации от сенсоров (датчиков) СОВ, ее итогового анализа на предмет обнаружения вторжения (атаки) на контролируемую ИС.
    База решающих правил - составная часть СОВ, содержащая информацию о вторжениях (сигнатуры), на основе которой СОВ принимает решение о наличии вторжения (атаки).
    Вторжение (атака) - действие, целью которого является осуществление несанкционированного доступа к информационным ресурсам.
    Данные СОВ - данные, собранные или созданные СОВ в результате выполнения своих функций.
    Датчик (сенсор) СОВ - программный или программно-технический компонент СОВ, предназначенный для сбора и первичного анализа информации (данных) о событиях в контролируемой ИС, а также - передачи этой информации (данных) анализатору СОВ.
    Задание по безопасности - совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки конкретного ОО.
    Объект оценки - подлежащая сертификации (оценке) СОВ уровня узла с руководствами по эксплуатации.
    Политика безопасности ОО - совокупность правил, регулирующих управление, защиту и распределение информационных ресурсов, контролируемых ОО.
    Профиль защиты - совокупность требований безопасности для СОВ уровня сети.
    Сигнатура - характерные признаки вторжения (атаки), используемые для его (ее) обнаружения.
    Система обнаружения вторжений - программное или программно-техническое средство, реализующие функции автоматизированного обнаружения (блокирования) действий в информационной системе, направленных на преднамеренный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней.
    Угроза безопасности информации - совокупность условий и факторов, определяющих потенциальную или реально существующую опасность нарушения безопасности информации.
    Функции безопасности ОО - совокупность всех функций безопасности ОО, направленных на осуществление политики безопасности объекта оценки (ПБО).
 

1.6.