Присоединяйтесь!
Зарегистрированных пользователей портала: 506 330. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"МЕТОДИЧЕСКИЙ ДОКУМЕНТ ФСТЭК РОССИИ. ПРОФИЛЬ ЗАЩИТЫ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ УРОВНЯ СЕТИ ПЯТОГО КЛАССА ЗАЩИТЫ. ИТ.СОВ.С5.ПЗ" (Утвержден ФСТЭК России 06.03.2012)

Дата документа06.03.2012
Статус документаДействует
МеткиМетодические рекомендации

    

УТВЕРЖДЕН
ФСТЭК России
6 марта 2012 г.

 

МЕТОДИЧЕСКИЙ ДОКУМЕНТ ФСТЭК РОССИИ

 

ПРОФИЛЬ ЗАЩИТЫ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ УРОВНЯ СЕТИ ПЯТОГО КЛАССА ЗАЩИТЫ

 

ИТ.СОВ.С5.ПЗ

 

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ

 
    АРМ - автоматизированное рабочее место
    БРП - база решающих правил
    ЗБ - задание по безопасности
    ИС - информационная система
    ИТ - информационная технология
    ОДФ - область действия функции безопасности
    ОО - объект оценки
    ОУД - оценочный уровень доверия
    ПБО - политика безопасности объекта оценки
    ПЗ - профиль защиты
    СОВ - система обнаружения вторжений
    УК - управление конфигурацией
    ФБО - функции безопасности объекта оценки
    ФТБ - функциональные требования безопасности
 

1 Общие положения

 
    Настоящий методический документ ФСТЭК России разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, и предназначен для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации (далее - разработчики), заявителей на осуществление сертификации продукции (далее - заявители), а также испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации (далее - оценщики) при проведении ими работ по сертификации систем обнаружения вторжений (СОВ) на соответствие Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 г. N 638.
    Настоящий методический документ ФСТЭК России детализирует и определяет взаимосвязи требований к функциям безопасности систем обнаружения вторжений, установленным Требованиями к системам обнаружения вторжений, утвержденными приказом ФСТЭК России от 6 декабря 2011 г. N 638.
    Профиль защиты разработан в соответствии с национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".
 

1.1 Введение профиля защиты

 
    Данный раздел содержит информацию общего характера. Подраздел "Идентификация профиля защиты" предоставляет маркировку и описательную информацию, которые необходимы, чтобы контролировать и идентифицировать профиль защиты (ПЗ) и объект оценки (ОО), к которому он относится. Подраздел "Аннотация профиля защиты" содержит общую характеристику ПЗ, позволяющую определить применимость ОО, к которому относится настоящий ПЗ, в конкретной ситуации. В подразделе "Соглашения" дается описание операций конкретизации компонентов требований безопасности СОВ. В подразделе "Термины и определения" представлены определения основных терминов, специфичных для данного ПЗ. В подразделе "Организация профиля защиты" дается пояснение организации документа.
 

1.2 Идентификация профиля защиты

 

Название ПЗ:Профиль защиты систем обнаружения вторжений уровня сети пятого класса.
Тип СОВ:СОВ уровня сети.
Класс защиты:Пятый.
Версия ПЗ:Версия 1.0.
Обозначение ПЗ:ИТ.СОВ.С5.ПЗ.
Идентификация ОО: Системы обнаружения вторжений уровня сети.
Уровень доверия:Оценочный уровень доверия 2 (ОУД2), усиленный компонентом ALC_FLR.1 "Базовое устранение недостатков" и расширенный компонентами ALC_UPI_EXT.1 "Процедуры обновления базы решающих правил" и AMA_SIA_EXT.3 "Экспертиза анализа влияния обновлений базы решающих правил на безопасность ОО".
Идентификация: Требования к системам обнаружения вторжений, утвержденные приказом ФСТЭК России от 6 декабря 2011 г. N 638.
ГОСТ Р ИСО/МЭК 15408 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Ключевые слова:Система обнаружения вторжений, ОУД2.

 

1.3 Аннотация профиля защиты

 
    Настоящий ПЗ определяет требования безопасности для систем обнаружения вторжений уровня сети (объекта оценки), предназначенных для использования в информационных системах, функционирующих на базе вычислительных сетей.
    Объект оценки представляет собой элемент системы защиты информации информационных систем, функционирующих на базе вычислительных сетей, и применяется совместно с другими средствами защиты информации от несанкционированного доступа к информации в информационных системах.
    Объект оценки должен обеспечивать обнаружение и (или) блокирование следующих основных угроз безопасности информации, относящихся к вторжениям (атакам):
    преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внешних нарушителей, действующих из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена;
    преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе.
    Основными компонентами системы обнаружения вторжений (СОВ) являются датчики (сенсоры) и анализаторы.
    Датчики (сенсоры) собирают информацию о пакетах данных, передаваемых в пределах информационной системы (ИС) (сегмента ИС), в которой (котором) установлены эти датчики. Датчики СОВ уровня сети могут быть реализованы в виде программного обеспечения (ПО), устанавливаемого на стандартные программно- технические платформы, а также в виде программно-технических устройств, подключаемых к ИС (сегменту ИС). Анализаторы выполняют анализ собранной датчиками информации, генерируют отчеты по результатам анализа и управляют процессами реагирования на выявленные вторжения.
    Решение об обнаружении вторжения СОВ принимают в соответствии с результатами анализа информации, собираемой датчиками СОВ, с применением базы решающих правил СОВ.
    В системе обнаружения вторжений должны быть реализованы следующие функции безопасности системы обнаружения вторжений:
    разграничение доступа к управлению системой обнаружения вторжений; управление работой системы обнаружения вторжений; управление параметрами системы обнаружения вторжений;
    управление установкой обновлений (актуализации) базы решающих правил системы обнаружения вторжений;
    анализ данных системы обнаружения вторжений; аудит безопасности системы обнаружения вторжений;
    сбор данных о событиях и активности в контролируемой информационной системе; реагирование системы обнаружения вторжений.
    В среде, в которой СОВ функционирует, должны быть реализованы следующие функции безопасности среды:
    обеспечение доверенного маршрута; обеспечение доверенного канала; обеспечение условий безопасного функционирования; управление атрибутами безопасности.
    Функции безопасности системы обнаружения вторжений должны обладать составом функциональных возможностей, обеспечивающих реализацию этих функций.
    В ПЗ изложены следующие виды требований безопасности, предъявляемые к СОВ: функциональные требования безопасности; требования доверия к безопасности.
    Функциональные требования безопасности СОВ, изложенные в ПЗ, включают: требования по осуществлению сбора данных СОВ; требования к анализу данных СОВ; требования к реагированию СОВ;
    требования к средствам обновления базы решающих правил СОВ; требования по защите СОВ;
    требования по управлению режимами выполнения функций безопасности (работой СОВ);
    требования по управлению данными функций безопасности (данными СОВ); требования по управлению ролями субъектов; требования к средствам администрирования СОВ; требования к аудиту функционирования СОВ.
    Функциональные требования безопасности для СОВ выражены на основе компонентов требований из ГОСТ Р ИСО/МЭК 15408-2, при этом часть требований сформулированы в явном виде в стиле компонентов из ГОСТ Р ИСО/МЭК 15408-2.
    Состав функциональных требований безопасности (ФТБ), включенных в настоящий ПЗ, обеспечивает следующие функциональные возможности СОВ: возможность сбора информации о сетевом трафике;
    возможность выполнения анализа собранных данных СОВ о сетевом трафике в режиме, близком к реальному масштабу времени, и по результатам анализа фиксировать информацию о дате и времени, результате анализа, идентификаторе источника данных, протоколе, используемом для проведения вторжения;
    возможность выполнения анализа собранных данных с целью обнаружения вторжений с использованием сигнатурного и эвристических методов;
    возможность выполнения анализа собранных данных с целью обнаружения вторжений с использованием эвристических методов, основанных на методах выявления аномалий сетевого трафика на заданном уровне эвристического анализа;
    возможность обнаружения вторжений на основе анализа служебной информации протоколов сетевого уровня базовой эталонной модели взаимосвязи открытых систем;
    возможность фиксации факта обнаружения вторжений или нарушений безопасности в журналах аудита;
    уведомление администратора СОВ об обнаруженных вторжениях по отношению к контролируемым узлам ИС и нарушениях безопасности с помощью отображения соответствующего сообщения на консоли управления;
    возможность автоматизированного обновления базы решающих правил; возможность тестирования (самотестирования) функций безопасности СОВ; возможность со стороны уполномоченных администраторов (ролей) управлять режимом выполнения функций безопасности СОВ;
    возможность со стороны уполномоченных администраторов (ролей) управлять данными СОВ;
    поддержка определенных ролей для СОВ и их ассоциации с конкретными администраторами СОВ и пользователями ИС; возможность администрирования СОВ;
    возможность генерации записей аудита для событий, потенциально подвергаемых аудиту;
    возможность ассоциации каждого события аудита с идентификатором субъекта, его инициировавшего;
    возможность предоставлять возможность читать информацию из записей аудита; ограничение доступа к чтению записей аудита; поиск, сортировка, упорядочение данных аудита.
    Требования доверия к безопасности СОВ, изложенные в ПЗ, охватывают следующие вопросы:
    управление конфигурацией; поставка и эксплуатация; разработка; руководства;
    поддержка жизненного цикла;
    тестирование;
    оценка уязвимостей;
    обновление базы решающих правил.
    Требования доверия к безопасности СОВ сформированы на основе компонентов требований из ГОСТ Р ИСО/МЭК 15408-3; при этом часть требований сформулированы в явном виде в стиле компонентов из ГОСТ Р ИСО/МЭК 15408-3.
    Требования доверия к безопасности СОВ образуют оценочный уровень доверия 2 (ОУД 2), усиленный компонентом ALC_FLR. 1 "Базовое устранение недостатков" и расширенный компонентами ALC_UPI_EXT.1 "Процедуры обновления базы решающих правил" и AMA_SIA_EXT.3 "Экспертиза анализа влияния обновлений базы решающих правил на безопасность ОО".
    В целях обеспечения условий для безопасного функционирования СОВ в настоящем ПЗ определены цели и требования для среды функционирования СОВ.
 

1.4 Соглашения

 
    ГОСТ Р ИСО/МЭК 15408 допускает выполнение определенных операций над требованиями безопасности. Соответственно в настоящем ПЗ используются операции "уточнение", "выбор", "назначение" и "итерация".
    Операция "уточнение" используется для добавления к требованию некоторых подробностей (деталей) и, таким образом, ограничивает диапазон возможностей его удовлетворения. Результат операции "уточнение" в настоящем ПЗ обозначается полужирным текстом.
    Операция "выбор" используется для выбора одного или нескольких элементов из перечня в формулировке требования. Результат операции "выбор" в настоящем ПЗ обозначается подчеркнутым курсивным текстом.
    Операция "назначение" используется для присвоения конкретного значения ранее неконкретизированному параметру. Операция "назначение" обозначается заключением значения параметра в квадратные скобки, [назначаемое значение].
    В настоящем ПЗ используются компоненты требований безопасности, включающие частично выполненные операции "назначение" и предполагающие завершение операций в задании по безопасности (ЗБ). В данных компонентах незавершенная часть операции "назначения" обозначается как [назначение: область предполагаемых значений].
    В настоящем ПЗ используются компоненты требований безопасности, включающие незавершенные операции "назначение", в которых область предполагаемых значений уточнена по отношению к исходному компоненту из ГОСТ Р ИСО/МЭК 15408. В данных компонентах операции "назначения" с уточненной областью предполагаемых значений обозначаются как [назначение: уточненная область предполагаемых значений].
    Операция "итерация" используется для более чем однократного использования компонента требований безопасности при различном выполнении разрешенных операций (уточнение, выбор, назначение). Выполнение "итерации" сопровождается помещением номера итерации, заключенного в круглые скобки, после краткого имени соответствующего компонента, (номер итерации).
    В настоящий ПЗ включен ряд требований безопасности, сформулированных в явном виде. Краткая форма имен компонентов требований, сформулированных в явном виде, содержит текст (EXT).
    Настоящий профиль защиты содержит ряд незавершенных операций над компонентами функциональных требований безопасности. Эти операции должны быть завершены в задании по безопасности на конкретную реализацию СОВ.
 

1.5 Термины и определения

 
    В настоящем ПЗ применяются следующие термины с соответствующими определениями.
    Администратор СОВ - уполномоченный пользователь, ответственный за установку, администрирование и эксплуатацию ОО (СОВ).
    Анализатор СОВ - программный или программно-технический компонент СОВ, предназначенный для сбора информации от сенсоров (датчиков) СОВ, ее итогового анализа на предмет обнаружения вторжения (атаки) на контролируемую ИС.
    База решающих правил - составная часть СОВ, содержащая информацию о вторжениях (сигнатуры), на основе которой СОВ принимает решение о наличии вторжения (атаки).
    Вторжение (атака) - действие, целью которого является осуществление несанкционированного доступа к информационным ресурсам.
    Данные СОВ - данные, собранные или созданные СОВ в результате выполнения своих функций.
    Датчик (сенсор) СОВ - программный или программно-технический компонент СОВ, предназначенный для сбора и первичного анализа информации (данных) о событиях в контролируемой ИС, а также - передачи этой информации (данных) анализатору СОВ.
    Задание по безопасности - совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки конкретного ОО.
    Объект оценки - подлежащая сертификации (оценке) СОВ уровня сети с руководствами по эксплуатации.
    Политика безопасности ОО - совокупность правил, регулирующих управление, защиту и распределение информационных ресурсов, контролируемых ОО.
    Профиль защиты - совокупность требований безопасности для СОВ уровня сети.
    Сигнатура - характерные признаки вторжения (атаки), используемые для его (ее) обнаружения.
    Система обнаружения вторжений - программное или программно-техническое средство, реализующие функции автоматизированного обнаружения (блокирования) действий в информационной системе, направленных на преднамеренный доступ к информации, специальные воздействия на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней.
    Угроза безопасности информации - совокупность условий и факторов, определяющих потенциальную или реально существующую опасность нарушения безопасности информации.
    Функции безопасности ОО - совокупность всех функций безопасности ОО, направленных на осуществление политики безопасности объекта оценки (ПБО).
 

1.6 Организация профиля защиты

 
    Раздел 1 "Введение профиля защиты" содержит информацию управления документооборотом и описательную информацию, необходимые для идентификации ПЗ и ОО, к которому оно относится.
    Раздел 2 "Описание объекта оценки" содержит описание функциональных возможностей ОО, среды функционирования ОО и границ ОО, служащее цели лучшего понимания требований безопасности и дающее представление о типе продукта.
    Раздел 3 "Среда безопасности объекта оценки" содержит описание аспектов среды безопасности ОО. В данном разделе определяется совокупность угроз, имеющих отношение к безопасному функционированию ОО, политика безопасности организации, которой должен следовать ОО, и предположения (обязательные условия) безопасного использования ОО.