Классы защиты информации и профайлы ФСТЭК: гид по Приказам №17 и №9 на примере маршрутизатора Eltex ESR-15R FSTEC

Привет! Если вы когда-либо пытались разобраться в российской сертификации средств защиты информации, то быстро замечали, что существует не один, а целый "зоопарк" классов и типов. Межсетевой экран может иметь 4 класса защиты, а информационная система - 3. Как это связать? И при чем тут какие-то «профили защиты»?

Сегодня мы наведем порядок. Разберем два ключевых документа ФСТЭК и посмотрим, как на их фоне выглядит наш знакомый "железный солдат" - ESR-15R FSTEC. Самый простой и доступный межсетевой экран в линейке Eltex!

Часть 1. Два главных документа: Приказ №17 и Приказ №9

Чтобы не запутаться, нужно запомнить простое правило: есть классы систем, а есть классы средств защиты (СЗИ).

1. Приказ ФСТЭК №17 от 11.02.2013 - это про классы систем (ГИС, АС). Он отвечает на вопрос: «Насколько критична информация в этой организации?». В нем есть классы К1, К2, К3 (где К3 - самый низкий, К1 - самый высокий). Подробно мы разбирали его в прошлой части.
   
2. Приказ ФСТЭК №9 от 09.02.2016 - это про классы самих железок (межсетевых экранов). Он отвечает на вопрос: «Насколько крут этот конкретный "ящик" сам по себе?». В нем есть классы с 1 по 6 (где 6 - самый простой, 1 - самый защищенный).
   

А связывает их Информационное сообщение ФСТЭК № 240/24/4278 от 12.09.2016, которое утвердило Профили защиты. Профиль защиты - это как техническое задание для производителя: какие функции безопасности (и насколько строго) должны быть реализованы в устройстве каждого типа и класса.

Часть 2. Типы межсетевых экранов (А, Б, В, Г, Д)

Мало того, что у экранов есть классы (1-6), они еще делятся на типы по своему назначению. В таблице из информационного сообщения №240/24/4278 мы видим пять типов:

• Тип «А» (Классовая маршрутизация): Это, по сути, защищенный маршрутизатор. Он работает на сетевом уровне, управляет потоками между сегментами и обеспечивает базовую фильтрацию.
• Тип «Б» (Состояние сессии): Более умный фаервол, который следит за состоянием соединений (stateful inspection). Он помнит, кто, куда и какой запрос отправил, и пропускает только легитимные ответы.
• Тип «В» (Прикладной уровень): Глубокий анализ трафика (DPI). Понимает протоколы прикладного уровня (HTTP, FTP, SMTP) и может фильтровать не просто по IP-адресам, а по командам внутри протокола (например, блокировать PUT-запросы на веб-сервер).
• Тип «Г» (Средства защиты виртуальных сред): Защищает трафик внутри виртуальных инфраструктур.
• Тип «Д» (Персональные): Личные фаерволы, которые ставятся на компьютеры пользователей.

Наш герой ESR-15R FSTEC относится к самому популярному классу - это межсетевой экран типа «А» 4 класса защиты.

Часть 3. Что значит «Тип А 4 класса» простыми словами?

• Тип «А» - значит, что это устройство умеет: Маршрутизировать трафик (как обычный роутер).
  Делить сеть на изолированные зоны (Zone-based Firewall).
  Фильтровать трафик по IP-адресам, портам и протоколам.
  Строить защищенные туннели (VPN).
• 4 класс защиты - значит, что при его разработке и сертификации учитывались требования к защите от угроз определенного уровня. Согласно Приказу №9, экраны 4 класса должны противостоять действиям нарушителей с базовым потенциалом.

В терминах информационного сообщения №240/24/4278, ESR-15R FSTEC соответствует профилю защиты ИТ.МЭ.А4.ПЗ. Это его официальный «паспорт» безопасности.

Часть 4. Как сопоставить класс средства (4) и класс системы (К3)?

Вернемся к нашему первому документу - Приказу №17. В пункте 26 сказано:

• В системах 3 класса (К3) можно применять средства защиты 6 класса.
• В системах 2 класса (К2) - средства 5 класса.
• В системах 1 класса (К1) - средства 4 класса и выше.

Вывод: Использование ESR-15R (4 класс) в системе 3 класса (К3) - это решение с двукратным запасом прочности. Вы берете средство, предназначенное для самых строгих систем, и ставите его в систему среднего уровня. Это не запрещено, а наоборот, приветствуется, так как повышает общую надежность защиты.

Часть 5. Что именно защищает ESR-15R согласно профайлам?

Информационное сообщение №240/24/4278 детализирует требования. Если заглянуть в сам профиль ИТ.МЭ.А4.ПЗ (доступен на сайте ФСТЭК), станет понятно, что ESR-15R должен закрывать, например:

1. Идентификация и аутентификация (ИАФ): Управление учетными записями администраторов, парольная защита.
2. Управление доступом (УПД): Реализация правил фильтрации на основе зон, адресов и портов.
3. Регистрация событий (РСБ): Логирование всех значимых событий (вход в систему, изменение правил, срабатывание фильтров).
4. Целостность (ОЦЛ): Контроль неизменности собственного ПО.
5. Доступность (ОДТ): Устойчивость к отказам, возможность резервирования.

Итог

Итак, ESR-15R FSTEC - это не просто «черный ящик с патч-кордами». Это устройство с четко определенным типом («А») и классом (4) , что подтверждено сертификатом ФСТЭК и соответствует профилю ИТ.МЭ.А4.ПЗ.

Оно идеально подходит для построения защищенного периметра в организациях, работающих с персональными данными, в государственных информационных системах (вплоть до 1 класса включительно) и на объектах КИИ.

Понравился разбор? Пишите в комментариях, о каком средстве защиты рассказать в следующий раз!