Присоединяйтесь!
Зарегистрированных пользователей портала: 505 332. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"МЕТОДИЧЕСКИЙ ДОКУМЕНТ ФСТЭК РОССИИ. ПРОФИЛЬ ЗАЩИТЫ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ УРОВНЯ СЕТИ ШЕСТОГО КЛАССА ЗАЩИТЫ. ИТ.СОВ.С6.ПЗ" (Утвержден ФСТЭК России 06.03.2012)

Дата документа06.03.2012
Статус документаДействует
МеткиМетодические рекомендации

    

УТВЕРЖДЕН
ФСТЭК России
6 марта 2012 г.

 

МЕТОДИЧЕСКИЙ ДОКУМЕНТ ФСТЭК РОССИИ

 

ПРОФИЛЬ ЗАЩИТЫ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ УРОВНЯ СЕТИ ШЕСТОГО КЛАССА ЗАЩИТЫ

 

ИТ.СОВ.С6.ПЗ

 

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ

 
    АРМ - автоматизированное рабочее место
    БРП - база решающих правил
    ЗБ - задание по безопасности
    ИС - информационная система
    ИТ - информационная технология
    ОДФ - область действия функции безопасности
    ОО - объект оценки
    ОУД - оценочный уровень доверия
    ПБО - политика безопасности объекта оценки
    ПЗ - профиль защиты
    СОВ - система обнаружения вторжений
    УК - управление конфигурацией
    ФБО - функции безопасности объекта оценки
    ФТБ - функциональные требования безопасности
 

1 Общие положения

 
    Настоящий методический документ ФСТЭК России разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, и предназначен для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации (далее - разработчики), заявителей на осуществление сертификации продукции (далее - заявители), а также испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации (далее - оценщики) при проведении ими работ по сертификации систем обнаружения вторжений (СОВ) на соответствие Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 г. N 638.
    Настоящий методический документ ФСТЭК России детализирует и определяет взаимосвязи требований к функциям безопасности систем обнаружения вторжений, установленным Требованиями к системам обнаружения вторжений, утвержденными приказом ФСТЭК России от 6 декабря 2011 г. N 638.
    Профиль защиты разработан в соответствии с национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".
 

1.1 Введение профиля защиты

 
    Данный раздел содержит информацию общего характера. Подраздел "Идентификация профиля защиты" предоставляет маркировку и описательную информацию, которые необходимы, чтобы контролировать и идентифицировать профиль защиты (ПЗ) и объект оценки (ОО), к которому он относится. Подраздел "Аннотация профиля защиты" содержит общую характеристику ПЗ, позволяющую определить применимость ОО, к которому относится настоящий ПЗ, в конкретной ситуации. В подразделе "Соглашения" дается описание операций конкретизации компонентов требований безопасности СОВ. В подразделе "Термины и определения" представлены определения основных терминов, специфичных для данного ПЗ. В подразделе "Организация профиля защиты" дается пояснение организации документа.
 

1.2 Идентификация профиля защиты

 

Название ПЗ: Профиль защиты систем обнаружения вторжений уровня сети шестого класса.
Тип СОВ: СОВ уровня сети.
Класс защиты: Шестой.
Версия ПЗ: Версия 1.0.
Обозначение ПЗ: ИТ.СОВ.С5.ПЗ.
Идентификация ОО: Системы обнаружения вторжений уровня сети.
Уровень доверия: Оценочный уровень доверия 1 (ОУД1), усиленный компонентом AVA SOF.1 "Оценка стойкости функции безопасности ОО" и расширенный компонентами ALC UPI EXT.1 "Процедуры обновления базы решающих правил" и AMA SIA EXT.3 "Экспертиза анализа влияния обновлений базы решающих правил на безопасность ОО".
Идентификация: Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638.
ГОСТ Р ИСО/МЭК 15408 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Ключевые слова: Система обнаружения вторжений, ОУД1.

 

1.3 Аннотация профиля защиты

 
    Настоящий ПЗ определяет требования безопасности для систем обнаружения вторжений уровня сети (объекта оценки), предназначенных для использования в информационных системах, функционирующих на базе вычислительных сетей.
    Объект оценки представляет собой элемент системы защиты информации информационных систем, функционирующих на базе вычислительных сетей, и применяется совместно с другими средствами защиты информации от несанкционированного доступа к информации в информационных системах.
    Объект оценки должен обеспечивать обнаружение и (или) блокирование следующих основных угроз безопасности информации, относящихся к вторжениям (атакам):
    преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внешних нарушителей, действующих из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена;
    преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе.
    Основными компонентами системы обнаружения вторжений (СОВ) являются датчики (сенсоры) и анализаторы.
    Датчики (сенсоры) собирают информацию о пакетах данных, передаваемых в пределах информационной системы (ИС) (сегмента ИС), в которой (котором) установлены эти датчики. Датчики СОВ уровня сети могут быть реализованы в виде программного обеспечения (ПО), устанавливаемого на стандартные программно- технические платформы, а также в виде программно-технических устройств, подключаемых к ИС (сегменту ИС). Анализаторы выполняют анализ собранной датчиками информации, генерируют отчеты по результатам анализа и управляют процессами реагирования на выявленные вторжения.
    Решение об обнаружении вторжения СОВ принимают в соответствии с результатами анализа информации, собираемой датчиками СОВ, с применением базы решающих правил СОВ.
    В системе обнаружения вторжений должны быть реализованы следующие функции безопасности системы обнаружения вторжений:
    разграничение доступа к управлению системой обнаружения вторжений; управление работой системы обнаружения вторжений; управление параметрами системы обнаружения вторжений;
    управление установкой обновлений (актуализации) базы решающих правил системы обнаружения вторжений;
    анализ данных системы обнаружения вторжений; аудит безопасности системы обнаружения вторжений;
    сбор данных о событиях и активности в контролируемой информационной системе; реагирование системы обнаружения вторжений.
    В среде, в которой СОВ функционирует, должны быть реализованы следующие функции безопасности среды:
    обеспечение доверенного маршрута; обеспечение доверенного канала; обеспечение условий безопасного функционирования; управление атрибутами безопасности.
    Функции безопасности системы обнаружения вторжений должны обладать составом функциональных возможностей, обеспечивающих реализацию этих функций.
    В ПЗ изложены следующие виды требований безопасности, предъявляемые к СОВ: функциональные требования безопасности; требования доверия к безопасности.
    Функциональные требования безопасности СОВ, изложенные в ПЗ, включают: требования по осуществлению сбора данных СОВ; требования к анализу данных СОВ; требования к реагированию СОВ;
    требования к средствам обновления базы решающих правил СОВ; требования по защите СОВ;
    требования по управлению режимами выполнения функций безопасности (работой СОВ);
    требования по управлению данными функций безопасности (данными СОВ); требования по управлению ролями субъектов; требования к средствам администрирования СОВ; требования к аудиту функционирования СОВ.
    Функциональные требования безопасности для СОВ выражены на основе компонентов требований из ГОСТ Р ИСО/МЭК 15408-2, при этом часть требований сформулированы в явном виде в стиле компонентов из ГОСТ Р ИСО/МЭК 15408-2.
    Состав функциональных требований безопасности (ФТБ), включенных в настоящий ПЗ, обеспечивает следующие функциональные возможности СОВ: возможность сбора информации о сетевом трафике;
    возможность выполнения анализа собранных данных СОВ о сетевом трафике в режиме, близком к реальному масштабу времени, и по результатам анализа фиксировать информацию о дате и времени, результате анализа, идентификаторе источника данных, протоколе, используемом для проведения вторжения;
    возможность выполнения анализа собранных данных с целью обнаружения вторжений с использованием сигнатурного и эвристических методов;
    возможность выполнения анализа собранных данных с целью обнаружения вторжений с использованием эвристических методов, основанных на методах выявления аномалий сетевого трафика на заданном уровне эвристического анализа;
    возможность обнаружения вторжений на основе анализа служебной информации протоколов сетевого уровня базовой эталонной модели взаимосвязи открытых систем;
    возможность фиксации факта обнаружения вторжений или нарушений безопасности в журналах аудита;
    уведомление администратора СОВ об обнаруженных вторжениях по отношению к контролируемым узлам ИС и нарушениях безопасности с помощью визуального отображения соответствующего сообщения на консоли управления;
    возможность автоматизированного обновления базы решающих правил; возможность со стороны уполномоченных администраторов (ролей) управлять режимом выполнения функций безопасности СОВ;
    возможность со стороны уполномоченных администраторов (ролей) управлять данными СОВ;
    поддержка определенных ролей для СОВ и их ассоциации с конкретными администраторами СОВ и пользователями ИС; возможность администрирования СОВ;
    возможность генерации записей аудита для событий, потенциально подвергаемых аудиту;
    возможность предоставлять возможность читать информацию из записей аудита. Требования доверия к безопасности СОВ, изложенные в ПЗ, охватывают следующие вопросы:
    управление конфигурацией; поставка и эксплуатация; разработка; руководства;
    поддержка жизненного цикла;
    тестирование;
    оценка уязвимостей;
    обновление базы решающих правил.
    Требования доверия к безопасности СОВ сформированы на основе компонентов требований из ГОСТ Р ИСО/МЭК 15408-3; при этом часть требований сформулированы в явном виде в стиле компонентов из ГОСТ Р ИСО/МЭК 15408-3.
    Требования доверия к безопасности СОВ образуют оценочный уровень доверия 1 (ОУД1), усиленный компонентом AVA_SOF.1 "Оценка стойкости функции безопасности ОО" и расширенный компонентами ALC_UPI_EXT.1 "Процедуры обновления базы решающих правил" и AMA_SIA_EXT.3 "Экспертиза анализа влияния обновлений базы решающих правил на безопасность ОО".
    В целях обеспечения условий для безопасного функционирования СОВ в настоящем ПЗ определены цели и требования для среды функционирования СОВ.
 

1.4 Соглашения

 
    ГОСТ Р ИСО/МЭК 15408 допускает выполнение определенных операций над требованиями безопасности. Соответственно в настоящем ПЗ используются операции "уточнение", "выбор", "назначение" и "итерация".
    Операция "уточнение" используется для добавления к требованию некоторых подробностей (деталей) и, таким образом, ограничивает диапазон возможностей его удовлетворения. Результат операции "уточнение" в настоящем ПЗ обозначается полужирным текстом.
    Операция "выбор" используется для выбора одного или нескольких элементов из перечня в формулировке требования. Результат операции "выбор" в настоящем ПЗ обозначается подчеркнутым курсивным текстом.
    Операция "назначение" используется для присвоения конкретного значения ранее неконкретизированному параметру. Операция "назначение" обозначается заключением значения параметра в квадратные скобки, [назначаемое значение].
    В настоящем ПЗ используются компоненты требований безопасности, включающие частично выполненные операции "назначение" и предполагающие завершение операций в задании по безопасности (ЗБ). В данных компонентах незавершенная часть операции "назначения" обозначается как [назначение: область предполагаемых значений].
    В настоящем ПЗ используются компоненты требований безопасности, включающие незавершенные операции "назначение", в которых область предполагаемых значений уточнена по отношению к исходному компоненту из ГОСТ Р ИСО/МЭК 15408.