Требования ФСТЭК к IPS опубликованы

Я уже писал про новый РД ФСТЭК по системам обнаружения вторжений. И вот вчера на сайте ФСТЭК было выложено информационное письмо об утверждении требований к системам обнаружения вторжений. Собственно, это письмо говорит тоже, что и моя заметка, являясь кратким введение в новый РД. Помимо письма ФСТЭК выложила и 6 профилей защиты, на базе которых должны создаваться IPS уровня сети и уровня узла. Т.к. IPS 1-3-го классов предназначены для защиты гостайны, то на сайте ФСТЭК выложены профили только для 4-6 классов для каждого из двух типов IPS (6-й класс NIPS, 5-й класс NIPS, 4-й класс NIPS, 6-й класс HIPS, 5-й класс HIPS и 4-й класс HIPS).
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Алексей Краснов

    Документы добавлены сегодня (27.03.2012).

    Ответить
  2. Сергей Борисов

    Алексей, подскажите — Cisco IPS и AIP-SSM под какой класс защиты подойдут?

    Ответить
  3. ZZubra

    Я конечно не читал еще основного документа, но ЕСЛИ это надо делать при проектировании системы защиты для одного компа в бухгалтерии (который подключен к интернету для отчетности в ПФР и ФНС), то это супер мега жесть.

    З.Ы. Зато гибко как! И идеологически (с точки зрения ИБ) правильно. Кто бы еще о бедных людях вспомнил.

    Ответить
  4. Андрей Ерин

    В терминах ФСТЭК нельзя писать, что IPS узла — это HIPS. в общеприянятом понимании HIPS (Host-based Intrusion Prevention System) — это решение не использующее вирусную базу (сигнатуры) и не занимается детектированием ее элементов. Суть работы системы HIPS можно выразить кратко: «разрешенное действие — запрещенное действие».
    А вот цитата из методики ФСТК для узла 4 класса: "возможность выполнять анализ собранных данных с целью обнаружения вторжений с использованием сигнатурного и эвристических методов;"

    Ответить
  5. Алексей Лукацкий

    Андрей, ты не совсем прав. Эвристика — это и есть то, что ты описываешь. И сигнатуры для HIPS — это шаблоны, по которым определяются НСД

    Ответить
  6. Алексей Лукацкий

    Сергей, мы сейчас обсуждаем с сертификационными лабораториями этот вопрос

    Ответить
  7. Андрей Ерин

    Алексей, я думаю, — это ФСТК не совсем правы. Они разводят понятия эвристики и сигнатур: Методика для СОВ на уздле, п 5.1.1.6 "…должны выполнять анализ собранных данных с целью обнаружения вторжений с использованием сигнатурных методов, эвристических методов." Т.е. сигнатуры по их мнению — это не шаблоны поведения, как составная часть эвристики экспертного уровня.
    Если принять допуск на корявые определения в документе, тогда можно сделать вывод, что они имели в виду именно HIPS.

    Ответить
  8. doom

    2 Андрей Ерин:

    База решающих правил — составная часть СОВ, содержащая информацию о вторжениях (сигнатуры), на основе которой СОВ принимает решение о наличии вторжения (атаки).
    Вторжение (атака) – действие, целью которого является осуществление несанкционированного доступа к информационным ресурсам.

    Определения из текста ПЗ. Так что сигнатура — что, про что Алексей написал.

    Ответить
  9. doom

    Эх… Сначала радуешься, что наконец-то к 15408 перейти решили, потом читаешь и понимаешь, что рано радовался 🙂

    Ответить