Я уже писал про новый РД ФСТЭК по системам обнаружения вторжений. И вот вчера на сайте ФСТЭК было выложено информационное письмо об утверждении требований к системам обнаружения вторжений. Собственно, это письмо говорит тоже, что и моя заметка, являясь кратким введение в новый РД. Помимо письма ФСТЭК выложила и 6 профилей защиты, на базе которых должны создаваться IPS уровня сети и уровня узла. Т.к. IPS 1-3-го классов предназначены для защиты гостайны, то на сайте ФСТЭК выложены профили только для 4-6 классов для каждого из двух типов IPS (6-й класс NIPS, 5-й класс NIPS, 4-й класс NIPS, 6-й класс HIPS, 5-й класс HIPS и 4-й класс HIPS).
Документы добавлены сегодня (27.03.2012).
ОтветитьУдалитьАлексей, подскажите - Cisco IPS и AIP-SSM под какой класс защиты подойдут?
ОтветитьУдалитьЯ конечно не читал еще основного документа, но ЕСЛИ это надо делать при проектировании системы защиты для одного компа в бухгалтерии (который подключен к интернету для отчетности в ПФР и ФНС), то это супер мега жесть.
ОтветитьУдалитьЗ.Ы. Зато гибко как! И идеологически (с точки зрения ИБ) правильно. Кто бы еще о бедных людях вспомнил.
В терминах ФСТЭК нельзя писать, что IPS узла - это HIPS. в общеприянятом понимании HIPS (Host-based Intrusion Prevention System) - это решение не использующее вирусную базу (сигнатуры) и не занимается детектированием ее элементов. Суть работы системы HIPS можно выразить кратко: «разрешенное действие — запрещенное действие».
ОтветитьУдалитьА вот цитата из методики ФСТК для узла 4 класса: "возможность выполнять анализ собранных данных с целью обнаружения вторжений с использованием сигнатурного и эвристических методов;"
Андрей, ты не совсем прав. Эвристика - это и есть то, что ты описываешь. И сигнатуры для HIPS - это шаблоны, по которым определяются НСД
ОтветитьУдалитьСергей, мы сейчас обсуждаем с сертификационными лабораториями этот вопрос
ОтветитьУдалитьАлексей, я думаю, - это ФСТК не совсем правы. Они разводят понятия эвристики и сигнатур: Методика для СОВ на уздле, п 5.1.1.6 "...должны выполнять анализ собранных данных с целью обнаружения вторжений с использованием сигнатурных методов, эвристических методов." Т.е. сигнатуры по их мнению - это не шаблоны поведения, как составная часть эвристики экспертного уровня.
ОтветитьУдалитьЕсли принять допуск на корявые определения в документе, тогда можно сделать вывод, что они имели в виду именно HIPS.
2 Андрей Ерин:
ОтветитьУдалитьБаза решающих правил - составная часть СОВ, содержащая информацию о вторжениях (сигнатуры), на основе которой СОВ принимает решение о наличии вторжения (атаки).
Вторжение (атака) – действие, целью которого является осуществление несанкционированного доступа к информационным ресурсам.
Определения из текста ПЗ. Так что сигнатура - что, про что Алексей написал.
Эх... Сначала радуешься, что наконец-то к 15408 перейти решили, потом читаешь и понимаешь, что рано радовался :)
ОтветитьУдалить