27.03.2012

Требования ФСТЭК к IPS опубликованы

Я уже писал про новый РД ФСТЭК по системам обнаружения вторжений. И вот вчера на сайте ФСТЭК было выложено информационное письмо об утверждении требований к системам обнаружения вторжений. Собственно, это письмо говорит тоже, что и моя заметка, являясь кратким введение в новый РД. Помимо письма ФСТЭК выложила и 6 профилей защиты, на базе которых должны создаваться IPS уровня сети и уровня узла. Т.к. IPS 1-3-го классов предназначены для защиты гостайны, то на сайте ФСТЭК выложены профили только для 4-6 классов для каждого из двух типов IPS (6-й класс NIPS, 5-й класс NIPS, 4-й класс NIPS, 6-й класс HIPS, 5-й класс HIPS и 4-й класс HIPS).

9 коммент.:

Алексей Краснов комментирует...

Документы добавлены сегодня (27.03.2012).

Сергей Борисов комментирует...

Алексей, подскажите - Cisco IPS и AIP-SSM под какой класс защиты подойдут?

ZZubra комментирует...

Я конечно не читал еще основного документа, но ЕСЛИ это надо делать при проектировании системы защиты для одного компа в бухгалтерии (который подключен к интернету для отчетности в ПФР и ФНС), то это супер мега жесть.

З.Ы. Зато гибко как! И идеологически (с точки зрения ИБ) правильно. Кто бы еще о бедных людях вспомнил.

Андрей Ерин комментирует...

В терминах ФСТЭК нельзя писать, что IPS узла - это HIPS. в общеприянятом понимании HIPS (Host-based Intrusion Prevention System) - это решение не использующее вирусную базу (сигнатуры) и не занимается детектированием ее элементов. Суть работы системы HIPS можно выразить кратко: «разрешенное действие — запрещенное действие».
А вот цитата из методики ФСТК для узла 4 класса: "возможность выполнять анализ собранных данных с целью обнаружения вторжений с использованием сигнатурного и эвристических методов;"

Алексей Лукацкий комментирует...

Андрей, ты не совсем прав. Эвристика - это и есть то, что ты описываешь. И сигнатуры для HIPS - это шаблоны, по которым определяются НСД

Алексей Лукацкий комментирует...

Сергей, мы сейчас обсуждаем с сертификационными лабораториями этот вопрос

Андрей Ерин комментирует...

Алексей, я думаю, - это ФСТК не совсем правы. Они разводят понятия эвристики и сигнатур: Методика для СОВ на уздле, п 5.1.1.6 "...должны выполнять анализ собранных данных с целью обнаружения вторжений с использованием сигнатурных методов, эвристических методов." Т.е. сигнатуры по их мнению - это не шаблоны поведения, как составная часть эвристики экспертного уровня.
Если принять допуск на корявые определения в документе, тогда можно сделать вывод, что они имели в виду именно HIPS.

doom комментирует...

2 Андрей Ерин:

База решающих правил - составная часть СОВ, содержащая информацию о вторжениях (сигнатуры), на основе которой СОВ принимает решение о наличии вторжения (атаки).
Вторжение (атака) – действие, целью которого является осуществление несанкционированного доступа к информационным ресурсам.


Определения из текста ПЗ. Так что сигнатура - что, про что Алексей написал.

doom комментирует...

Эх... Сначала радуешься, что наконец-то к 15408 перейти решили, потом читаешь и понимаешь, что рано радовался :)