ЗБ - задание по безопасности

ИТ - информационная технология

МЭ - межсетевой экран

ОО - объект оценки

ОУД - оценочный уровень доверия

ПЗ - профиль защиты

СВТ - средство вычислительной техники

СЗИ - средство защиты информации

ТДБ - требования доверия к безопасности объекта оценки

УК - управление конфигурацией

ФБО - функциональные возможности безопасности объекта оценки

ФТБ - функциональные требования безопасности к объекту оценки

ТДБ - требования доверия к безопасности объекта оценки

Настоящий методический документ ФСТЭК России разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, и предназначен для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации (далее - разработчики, производители), заявителей на осуществление сертификации продукции (далее - заявители), а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации при проведении ими работ по сертификации МЭ на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9.

Настоящий методический документ ФСТЭК России детализирует и определяет взаимосвязи требований и функций безопасности МЭ, установленных Требованиями к межсетевым экранам, утвержденными приказом ФСТЭК России от 9 февраля 2016 г. N 9.

Профиль защиты учитывает положения комплекса национальных стандартов Российской Федерации ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий".

Данный раздел содержит информацию общего характера. Подраздел "Ссылка на профиль защиты" включает идентификационные материалы ПЗ, которые предоставляют маркировку и описательную информацию, необходимую для контроля и идентификации ПЗ и ОО, к которому он относится. Подраздел "Аннотация объекта оценки" содержит краткое описание использования ОО и его основные характеристики безопасности.

Настоящий ПЗ определяет требования безопасности к МЭ уровня промышленной сети (тип "Д").

ОО представляет собой программное или программно-техническое средство, реализующее функции контроля и фильтрации в соответствии с заданными правилами проходящих через него информационных потоков и используемое в целях обеспечения защиты (некриптографическими методами) информации ограниченного доступа.

ОО должен обеспечивать нейтрализацию следующих угроз безопасности информации:

несанкционированный доступ к информации, содержащейся в автоматизированной системе управления;

отказ в обслуживании автоматизированной системы управления и (или) ее отдельных компонентов;

несанкционированная передача информации из автоматизированной системы управления в информационно-телекоммуникационные сети или иные информационные системы;

несанкционированное воздействие на МЭ, целью которого является нарушение его функционирования, включая преодоление или обход его функций безопасности.

В МЭ не должно содержаться программ, не выполняющих (не задействованных в реализации) функций безопасности или не предназначенных для обеспечения функционирования МЭ (сторонних программ).

В МЭ должны быть реализованы следующие функции безопасности:

контроль и фильтрация;

идентификация и аутентификация;

регистрация событий безопасности (аудит);

обеспечение бесперебойного функционирования и восстановление;

тестирование и контроль целостности;

управление (администрирование).

В среде, в которой функционирует МЭ, должны быть реализованы следующие функции безопасности среды:

исключение каналов связи в обход правил фильтрации;

обеспечение доверенного канала;

обеспечение доверенного маршрута;

физическая защита;

обеспечение безопасного функционирования;

обеспечение взаимодействия с сертифицированными средствами защиты информации.

Функции безопасности МЭ должны обладать составом функциональных возможностей (функциональных требований безопасности), обеспечивающих реализацию этих функций.

В ПЗ изложены следующие виды требований безопасности, предъявляемые к МЭ:

функциональные требования безопасности МЭ;

требования доверия к безопасности МЭ.

Функциональные требования безопасности МЭ, изложенные в ПЗ, включают:

требования к управлению потоками информации;

требования к идентификации и аутентификации субъектов межсетевого взаимодействия;

требования к регистрации событий безопасности (аудиту);

требования к обеспечению бесперебойного функционирования МЭ и восстановлению;

требования к тестированию и контролю целостности ПО МЭ;

требования к управлению МЭ.

Функциональные требования безопасности для МЭ выражены на основе компонентов требований из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности".

Состав функциональных требований безопасности, включенных в настоящий ПЗ, обеспечивает следующие функциональные возможности МЭ типа "Д":

возможность осуществлять фильтрацию сетевого трафика для отправителей информации, получателей информации (в том числе исполнительных устройств) и всех операций передачи контролируемой МЭ информации к узлам автоматизированной системы управления и от них;

возможность обеспечения фильтрации для всех операций перемещения через МЭ информации к узлам автоматизированной системы управления и от них;

возможность осуществлять фильтрацию, основанную на следующих типах атрибутов безопасности субъектов: сетевой адрес узла отправителя; сетевой адрес узла получателя; и информации: сетевой (промышленный) протокол, который используется для взаимодействия;

возможность явно разрешать информационный поток, базируясь на устанавливаемых администратором МЭ наборе правил фильтрации, основанном на идентифицированных атрибутах;

возможность явно запрещать информационный поток, базируясь на устанавливаемых администратором МЭ наборе правил фильтрации, основанном на идентифицированных атрибутах;

возможность осуществлять фильтрацию, основанную на следующих типах атрибутов безопасности информации: промышленные протоколы, которые используются для взаимодействия;

возможность регистрации и учета выполнения проверок информации сетевого трафика;

возможность читать информацию из записей аудита уполномоченным администраторам;

возможность выбора совокупности событий, подвергающихся аудиту, из совокупности событий, в отношении которых возможно осуществление аудита;

возможность оповещения уполномоченных лиц о критичных видах событий безопасности, в том числе сигнализация о попытках нарушения правил межсетевого экранирования;

возможность регистрации возникновения событий, которые в соответствии с национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности" включены в минимальный уровень аудита;

возможность (для предусмотренных сценариев функционирования) выполнения определенных действий по управлению МЭ без прохождения процедуры идентификации;

возможность идентификации администратора МЭ до разрешения действий (по администрированию), выполняемого при посредничестве МЭ от имени этого администратора;

возможность (для предусмотренных сценариев функционирования) выполнения определенных действий по управлению МЭ без прохождения процедуры аутентификации;

возможность аутентификации администратора МЭ до разрешения действий (по администрированию), выполняемого при посредничестве МЭ от имени этого администратора;

возможность идентификации субъектов, осуществляющих взаимодействие через МЭ;

поддержка определенных ролей по управлению МЭ;

возможность со стороны администраторов МЭ управлять режимом выполнения функций безопасности МЭ;

возможность со стороны администраторов МЭ управлять данными МЭ, используемыми функциями безопасности МЭ;

возможность со стороны администраторов МЭ управлять атрибутами безопасности;

возможность обеспечения перехода в режим аварийной поддержки, который предоставляет возможность возврата МЭ к штатному режиму функционирования;

возможность завершения работы или восстановления (для предусмотренных сценариев сбоев) штатного режима функционирования МЭ;

возможность тестирования (самотестирования) функций безопасности МЭ (контроль целостности исполняемого кода МЭ);

возможность кластеризации МЭ.

Требования доверия к безопасности МЭ сформированы на основе компонентов требований из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" и специальных (расширенных) компонентов.

Требования доверия к безопасности МЭ образуют оценочный уровень доверия 2 (ОУД2), усиленный компонентами ADV_IMP.2 "Полное отображение представления реализации ФБО", ADV_TDS.3 "Базовый модульный проект", ALC_FLR.1 "Базовое устранение недостатков", AVA_VAN.4 "Методический анализ уязвимостей", расширенный компонентами ADV_IMP_EXT.3 "Реализация ОО", ALC_TAT_EXT.0 "Определение инструментальных средств разработки", ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения межсетевого экрана" и AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность межсетевого экрана".

В целях обеспечения условий для безопасного функционирования МЭ в настоящем ПЗ определены цели и требования для среды функционирования МЭ.

ОО является МЭ типа "Д".

МЭ уровня промышленной сети (тип "Д") - это МЭ, применяемый в автоматизированной системе управления технологическими или производственными процессами. МЭ типа "Д" может иметь программное или программно-техническое исполнение и должен обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, Industrial Ethernet и (или) иные протоколы).

В рамках настоящего ПЗ аппаратные средства/программное обеспечение/программно-аппаратные средства, не входящие в состав объекта оценки, не рассматриваются.

Комплекс национальных стандартов Российской Федерации ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" допускает выполнение определенных операций над компонентами требований безопасности. Соответственно в настоящем ПЗ используются операции "уточнение", "выбор", "назначение" и "итерация".

Операция "уточнение" используется для добавления в компонент требований некоторых подробностей (деталей) и, таким образом, ограничивает диапазон возможностей по удовлетворению требований. Результат операции "уточнение" в настоящем ПЗ обозначается полужирным текстом.

Операция "выбор" используется для выбора одного или нескольких элементов из перечня в формулировке компонента требований. Результат операции "выбор" в настоящем ПЗ обозначается #подчеркнутым курсивным текстом#.

Операция "назначение" используется для присвоения конкретного значения ранее неконкретизированному параметру в компоненте требований. Операция "назначение" обозначается заключением присвоенного значения параметра в квадратные скобки, [назначаемое (присвоенного) значение параметра].

В настоящем ПЗ используются компоненты требований безопасности, включающие частично выполненные операции "назначение" и предполагающие завершение операций в задании по безопасности (ЗБ). В данных компонентах незавершенная часть операции "назначения" обозначается как [назначение: область предполагаемых значений].

В настоящий ПЗ включен ряд требований безопасности, сформулированных в явном виде (расширенные (специальные) требования безопасности). Краткая форма имен компонентов требований, сформулированных в явном виде, содержит текст (EXT).

Операция "итерация" используется для выражения двух или более требований безопасности на основе одного компонента требований безопасности; при этом осуществляется различное выполнение других операций ("уточнение", "выбор" и (или) "назначение") над этим компонентом.

Настоящий профиль защиты содержит ряд незавершенных операций над компонентами функциональных требований безопасности. Эти операции должны быть завершены в задании по безопасности для конкретной реализации МЭ.

Настоящий профиль защиты разработан с учетом положений национальных стандартов Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности" и ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности".

Настоящий профиль защиты содержит расширенные (специальные) требования безопасности, разработанные в соответствии с правилами, установленными комплексом национальных стандартов Российской Федерации ГОСТ Р ИСО/МЭК 15408 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" (ADV_IMP_EXT.3 "Реализация ОО", ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения межсетевого экрана", AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность межсетевого экрана").

Соответствие другим профилям защиты не требуется.

Заявлено о соответствии настоящего ПЗ следующему пакету:

пакет требований доверия: оценочный уровень доверия 2 (ОУД2), усиленный компонентами ADV_IMP.2 "Полное отображение представления реализации ФБО", ADV_TDS.3 "Базовый модульный проект", ALC_FLR.1 "Базовое устранение недостатков", AVA_VAN.4 "Методический анализ уязвимостей", расширенный компонентами ADV_IMP_EXT.3 "Реализация ОО", ALC_TAT_EXT.0 "Определение инструментальных средств разработки", ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения межсетевого экрана" и AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность межсетевого экрана".

Включение функциональных требований и требований доверия к безопасности МЭ в настоящий ПЗ определяется Требованиями к межсетевым экранам, утвержденными приказом ФСТЭК России от 9 февраля 2016 г. N 9.

При разработке ЗБ и (или) других ПЗ на основе настоящего профиля защиты устанавливаются следующие типы соответствия:

"строгое" соответствие - если настоящий ПЗ является единственным ПЗ, утверждение о соответствии которому включено в ЗБ;

"демонстрируемое" соответствие - если ОО является комплексным продуктом (изделием), и в ЗБ включено утверждение о соответствии (помимо настоящему ПЗ) другому (другим) ПЗ.

Данный раздел содержит описание следующих аспектов решаемой с использованием МЭ проблемы безопасности:

угроз безопасности, которым должны противостоять ОО и среда функционирования ОО;

политики безопасности, которую должен выполнять ОО;

предположений безопасности (обязательных условий безопасного использования ОО).

В настоящем ПЗ определены следующие угрозы, которым необходимо противостоять средствами ОО.

1. Аннотация угрозы - несанкционированный доступ к информации автоматизированной системы управления.

2. Источники угрозы - внешний нарушитель, внутренний нарушитель.

3. Способ реализации угрозы - установление сетевых соединений со средствами вычислительной техники автоматизированной системы управления или между ее сегментами, не предусмотренные технологией обработки информации.

4. Используемые уязвимости - наличие неконтролируемых сетевых подключений к автоматизированной системе управления или между ее сегментами, недостатки настройки механизмов защиты.

5. Вид информационных ресурсов, потенциально подверженных угрозе - данные автоматизированной системы управления, данные функций безопасности.

6. Нарушаемые свойства безопасности информационных ресурсов - конфиденциальность, целостность, доступность.

7. Возможные последствия реализации угрозы - несанкционированный доступ к ресурсам автоматизированной системы управления, нарушение режимов функционирования автоматизированной системы управления.

Примечание: В качестве данных автоматизированной системы управления может рассматриваться информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация).

1. Аннотация угрозы - отказ в обслуживании автоматизированной системы управления и (или) ее отдельных компонентов.

2. Источники угрозы - внешний нарушитель.

3. Способ реализации угрозы - установление не предусмотренных технологией обработки информации в автоматизированной системе управления сетевых соединений с автоматизированной системой управления и (или) ее отдельными компонентами для отправки множества сетевых пакетов (запросов) до заполнения ими сетевой полосы пропускания канала передачи данных или отправки специально сформированных аномальных сетевых пакетов (запросов) больших размеров или нестандартной структуры.

4. Используемые уязвимости - наличие неконтролируемых сетевых подключений к автоматизированной системе управления или между ее сегментами, уязвимости сетевых протоколов, недостатки настройки механизмов защиты, уязвимости в программном обеспечении программно-аппаратных средств автоматизированной системы управления.

5. Вид информационных ресурсов, потенциально подверженных угрозе - данные автоматизированной системы управления, сервисы автоматизированной системы управления.

6. Нарушаемые свойства безопасности информационных ресурсов - доступность.

7. Возможные последствия реализации угрозы - невозможность обработки запросов автоматизированной системы управления; невозможность предоставления доступа к компонентам автоматизированной системы управления.

1. Аннотация угрозы - несанкционированная передача информации из автоматизированной системы управления в информационно-телекоммуникационные сети или иные автоматизированные (информационные) системы.

2. Источники угрозы - внутренний нарушитель, вредоносное программное обеспечение.

3. Способ реализации угрозы - внедрение вредоносного программного обеспечения для несанкционированной отправки защищаемой информации на средства вычислительной техники нарушителя; отправка защищаемой информации на средства вычислительной техники нарушителя.

4. Используемые уязвимости - наличие неконтролируемых сетевых подключений к автоматизированной системе управления или между ее сегментами, недостатки настройки механизмов защиты.

5. Вид информационных ресурсов, потенциально подверженных угрозе - данные автоматизированной системы управления, данные функций безопасности.

6. Нарушаемые свойства безопасности информационных ресурсов - конфиденциальность.

7. Возможные последствия реализации угрозы - утечка защищаемой информации.

1. Аннотация угрозы - несанкционированное воздействие на МЭ, целью которого является нарушение его функционирования, включая преодоление или обход его функций безопасности.

2. Источники угрозы - внутренний нарушитель, внешний нарушитель.

3. Способ реализации угрозы - отправка специально сформированных сетевых пакетов на интерфейсы МЭ, приводящая к отключению, обходу или преодолению механизмов защиты МЭ с использованием штатных средств, предоставляемых автоматизированной системой управления, а также специализированных инструментальных средств.

4. Используемые уязвимости - недостатки средств защиты информации, применяемых в автоматизированной системе управления; недостатки собственных защитных механизмов МЭ; недостатки настройки функциональных возможностей безопасности МЭ.

5. Вид информационных ресурсов, потенциально подверженных угрозе - функции безопасности МЭ, данные функций безопасности МЭ.

6. Нарушаемые свойства безопасности информационных ресурсов - целостность, доступность.

7. Возможные последствия реализации угрозы - нарушения режимов функционирования МЭ и автоматизированной системы управления.

В настоящем ПЗ определена следующая угроза, которой должна противостоять среда функционирования ОО:

1. Аннотация угрозы - нарушение целостности ПО МЭ, настроек МЭ.

2. Источники угрозы - внутренний нарушитель, внешний нарушитель.

3. Способ реализации угрозы - несанкционированный доступ к МЭ с использованием штатных и нештатных средств.

4. Используемые уязвимости - недостатки механизмов управления доступом, физической защиты оборудования ИС; недостатки механизмов защиты журналов аудита МЭ.

5. Вид информационных ресурсов, потенциально подверженных угрозе - программное обеспечение МЭ, данные функций безопасности МЭ.

6. Нарушаемые свойства безопасности информационных ресурсов - целостность, доступность.

7. Возможные последствия реализации угрозы - нарушение режимов функционирования МЭ, неэффективность работы МЭ.

ОО должен выполнять приведенные ниже правила политики безопасности.

Должно обеспечиваться блокирование передачи защищаемой информации, сетевых запросов и трафика, несанкционированно исходящих из автоматизированной системы управления и (или) входящих в автоматизированную систему управления, путем фильтрации информационных потоков.

Должна осуществляться возможность предоставлять разрешительные (запретительные) атрибуты безопасности для используемых пользователями отдельных команд.

Должно осуществляться разграничение доступа к управлению МЭ и параметрами МЭ на основе ролей уполномоченных лиц.

Должна обеспечиваться возможность управления работой МЭ и параметрами МЭ со стороны администраторов МЭ.

Должны обеспечиваться идентификация и аутентификация администраторов МЭ.

Должны обеспечиваться идентификация и аутентификация субъектов межсетевого взаимодействия до передачи МЭ информационного потока получателю.

Должны осуществляться механизмы регистрации о возможных нарушениях безопасности.

Должны обеспечиваться механизмы распределения собственных ресурсов, а также установки безопасного состояния ФБО или предотвращения их перехода в опасное состояние после сбоев, прерывания функционирования или перезапуска.

Должна обеспечиваться возможность функционирования МЭ в составе кластера.

Должна обеспечиваться возможность (для предусмотренных сценариев функционирования) выполнения определенных действий по управлению МЭ без прохождения процедур идентификации и аутентификации.

Должна обеспечиваться физическая защита МЭ, средства вычислительной техники, на котором он функционирует и терминалов, с которых выполняется его управление.

Должно обеспечиваться исключение каналов связи защищаемой автоматизированной системы управления с иными автоматизированными (информационными) системами в обход МЭ.

Должен обеспечиваться доверенный канал передачи данных между защищаемой автоматизированной системой управления и МЭ, а также между МЭ и терминалом, с которого выполняется его управление.

Должен обеспечиваться доверенный маршрут между МЭ и администраторами МЭ.

Должно обеспечиваться взаимодействие МЭ с сертифицированными на соответствие требованиям безопасности информации по соответствующему классу защиты средствами защиты информации (системами обнаружения вторжений, средствами антивирусной защиты и другими), от которых МЭ получает управляющие сигналы.

Должны быть обеспечены совместимость компонентов МЭ с компонентами средств вычислительной техники автоматизированной системы управления, а также необходимые ресурсы для выполнения функций безопасности МЭ (в том числе изоляция данных и процессов МЭ от иных данных и процессов средства вычислительной техники, на котором он функционирует).

Должно быть обеспечено функционирование МЭ в среде сертифицированной на соответствие требованиям безопасности информации по соответствующему классу защиты операционной системы, или в среде, защищенной путем принятия мер защиты информации, соответствующих классу защищенности автоматизированной системы управления, для использования в которой предназначается МЭ.

Должны быть обеспечены тестирование и контроль целостности аппаратных средств, а также программного обеспечения базовой системы ввода-вывода, загрузчика и операционной системы МЭ или средства вычислительной техники, на котором он функционирует.

Персонал, ответственный за функционирование ОО, должен обеспечивать установку, настройку и эксплуатацию МЭ в соответствии с правилами по безопасной настройке и руководством пользователя (администратора).

В данном разделе дается описание целей безопасности для ОО.

&Управление информационными потоками&

ОО должен обеспечивать блокирование передачи защищаемой информации, сетевых запросов и трафика, несанкционированно исходящих из автоматизированной системы управления и (или) входящих в автоматизированную систему управления, путем фильтрации информационных потоков.

&Управление атрибутами безопасности команд&

ОО должен обеспечивать возможность предоставлять разрешительные (запретительные) атрибуты безопасности для используемых отдельных команд.

&Разграничение доступа к управлению МЭ&

ОО должен обеспечивать разграничение доступа к управлению МЭ на основе ролей администраторов МЭ.

&Управление МЭ&

ОО должен обеспечивать возможность управления работой МЭ и параметрами МЭ со стороны администраторов МЭ.

&Идентификация и аутентификация администраторов МЭ&

ОО должен обеспечивать идентификацию и аутентификацию администраторов МЭ.

&Идентификация и аутентификация субъектов межсетевого взаимодействия&

ОО должен обеспечивать идентификацию и аутентификацию субъектов межсетевого взаимодействия до передачи МЭ информационного потока получателю.

&Аудит безопасности МЭ&

ОО должен располагать механизмами регистрации о возможных нарушениях безопасности.

&Обеспечение бесперебойного функционирования МЭ&

ОО должен располагать механизмами распределения собственных ресурсов, а также устанавливать безопасное состояние ФБО или предотвращать их переход в опасное состояние после сбоев, прерывания функционирования или перезапуска.

&Кластеризация&

ОО должен обеспечивать возможность функционирования МЭ в составе кластера.

&Выполнение действий без идентификации и аутентификации&

ОО должен обеспечивать возможность (для предусмотренных сценариев функционирования) выполнения определенных действий по управлению МЭ без прохождения процедур идентификации и аутентификации.

В данном разделе дается описание целей безопасности для среды функционирования ОО.

&Обеспечение доверенного канала&

Должен обеспечиваться доверенный канал передачи данных между защищаемой автоматизированной системой управления и МЭ, а также между МЭ и терминалом, с которого выполняется управление им.

&Обеспечение доверенного маршрута&

Должен быть обеспечен доверенный маршрут между МЭ и администраторами МЭ.

&Обеспечение условий безопасного функционирования&

Должно обеспечиваться исключение каналов связи защищаемой автоматизированной системы управления с иными автоматизированными (информационными) системами в обход МЭ.

&Физическая защита ОО&

Должна обеспечиваться физическая защита МЭ, средства вычислительной техники, на котором он функционирует и терминалов, с которых выполняется его управление.

&Взаимодействие с доверенными продуктами информационных технологий&

Должно обеспечиваться взаимодействие МЭ с сертифицированными на соответствие требованиям безопасности информации по соответствующему классу защиты средствами защиты информации (системами обнаружения вторжений, средствами антивирусной защиты и другими), от которых МЭ получает управляющие сигналы.

&Эксплуатация ОО&

Должны быть обеспечены установка, конфигурирование и управление ОО в соответствии с эксплуатационной документацией.

&Требования к персоналу&

Персонал, ответственный за функционирование ОО, должен обеспечивать функционирование ОО, руководствуясь эксплуатационной документацией.

&Поддержка аудита&

Должна быть обеспечена поддержка средств аудита, используемых в ОО.

&Совместимость компонентов МЭ с компонентами средств вычислительной техники&

Должны быть обеспечены совместимость компонентов МЭ с компонентами средств вычислительной техники автоматизированной системы управления, а также необходимые ресурсы для выполнения функций безопасности МЭ (в том числе изоляция данных и процессов МЭ от иных данных и процессов средства вычислительной техники, на котором он функционирует).

&Доверенная среда функционирования&

Должно быть обеспечено функционирование МЭ в среде сертифицированной на соответствие требованиям безопасности информации по соответствующему классу защиты операционной системы или в среде, защищенной путем принятия мер защиты информации, соответствующих классу защищенности автоматизированной системы управления, для использования в которой предназначается МЭ.

&Тестирование и контроль целостности среды функционирования&

Должны быть обеспечены тестирование и контроль целостности аппаратных средств, а также программного обеспечения базовой системы ввода-вывода, загрузчика и операционной системы МЭ или средства вычислительной техники, на котором он функционирует.

В данном разделе дается описание целей безопасности для среды функционирования ОО.

В таблице 5.1 приведено отображение целей безопасности для ОО на угрозы и политику безопасности.

Достижение этой цели безопасности необходимо для противостояния угрозам Угроза-1, Угроза-2, Угроза-3 и реализацией политики безопасности Политика безопасности-1, так как обеспечивает блокирование передачи защищаемой информации, сетевых запросов и трафика, несанкционированно исходящих из автоматизированной системы управления и (или) входящих в автоматизированную систему управления, путем фильтрации информационных потоков.

Достижение этой цели безопасности необходимо для противостояния угрозам Угроза-1, Угроза-2, Угроза-3 и реализацией политики безопасности Политика безопасности-2, так как обеспечивает возможность предоставлять разрешительные (запретительные) атрибуты безопасности для используемых отдельных команд.

Достижение этой цели безопасности необходимо для противостояния угрозе Угроза-4 и реализацией политики безопасности Политика безопасности-3, так как обеспечивает возможность разграничения доступа к управлению МЭ и параметрами МЭ.

Достижение этой цели безопасности необходимо для противостояния угрозе Угроза-4 и реализацией политики безопасности Политика безопасности-4, так как обеспечивает возможность управления режимами выполнения функций безопасности МЭ и параметрами МЭ.

Достижение этой цели безопасности необходимо для противостояния угрозе Угроза-4 и реализации политики безопасности Политика безопасности-6, так как обеспечивает идентификацию и аутентификацию администраторов МЭ.

Достижение этой цели безопасности необходимо для противостояния угрозам Угроза-1, Угроза-2, Угроза-3 и реализации политики безопасности Политика безопасности-6, так как обеспечивает идентификацию и аутентификацию субъектов межсетевого взаимодействия до передачи МЭ информационного потока получателю.

Достижение этой цели безопасности необходимо для противостояния угрозе Угроза-4 и реализации политики безопасности Политика безопасности-7, так как обеспечивает возможность регистрации событий, относящихся к возможным нарушениям безопасности.

Достижение этой цели безопасности необходимо для противостояния угрозам Угроза-2, Угроза-4 и реализации политики безопасности Политика безопасности-9, так как обеспечивает возможность функционирования МЭ в составе кластера.

Достижение этой цели безопасности необходимо для реализации политики безопасности Политика безопасности-10, так как обеспечивает возможность (для предусмотренных сценариев функционирования) выполнения определенных действий по управлению МЭ без прохождения процедур идентификации и аутентификации.

В данном разделе ПЗ представлены расширенные компоненты для МЭ.

Для МЭ типа "Д" определены следующие расширенные (специальные) компоненты требований доверия к безопасности:

ADV_IMP_EXT.3 "Реализация ОО", ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения межсетевого экрана" и AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность межсетевого экрана", сформулированные в явном виде в стиле компонентов из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности".

В данном разделе ПЗ представлены функциональные требования и требования доверия, которым должен удовлетворять ОО. Функциональные требования, представленные в настоящем ПЗ, основаны на функциональных компонентах из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности". Требования доверия основаны на компонентах требований доверия из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" и представлены в настоящем ПЗ в виде оценочного уровня доверия ОУД2, усиленного компонентами ADV_IMP.2 "Полное отображение представления реализации ФБО", ADV_TDS.3 "Базовый модульный проект", ALC_FLR.1 "Базовое устранение недостатков", AVA_VAN.4 "Методический анализ уязвимостей" и расширенного компонентами ADV_IMP_EXT.3 "Реализация ОО", ALC_TAT_EXT.0 "Определение инструментальных средств разработки", ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения межсетевого экрана" и AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность межсетевого экрана".

Требования безопасности ADV_IMP_EXT.3 "Реализация ОО", ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения межсетевого экрана" и AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность межсетевого экрана" сформулированы в явном виде (расширение ГОСТ Р ИСО/МЭК 15408-3).

Функциональные компоненты из ГОСТ Р ИСО/МЭК 15408-2, на которых основаны функциональные требования безопасности ОО приведены в таблице 7.1.

[

и информации:

Требования доверия к безопасности ОО взяты из национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" и образуют ОУД2, усиленный компонентами ADV_IMP.2 "Полное отображение представления реализации ФБО", ADV_TDS.3 "Базовый модульный проект", ALC_FLR.1 "Базовое устранение недостатков", AVA_VAN.4 "Методический анализ уязвимостей", расширенный компонентами ADV_IMP_EXT.3 "Реализация ОО", ALC_TAT_EXT.0 "Определение инструментальных средств разработки", ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения межсетевого: экрана" и AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность межсетевого экрана" (см. таблицу 7.2.).

В таблице 7.3 представлено отображение функциональных требований безопасности на цели безопасности для ОО.

Включение указанных в таблице 7.3 функциональных требований безопасности ОО в ПЗ определяется Требованиями к межсетевым экранам, утвержденными ФСТЭК России от 9 февраля 2016 г. N 9.

В требованиях данного компонента выделяются данные, которые должны быть включены в записи аудита и события, которые должны подвергаться аудиту. Рассматриваемый компонент сопоставлен с целью Цель безопасности-7 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает возможность предоставления администратору МЭ всей информации аудита в понятном для него виде. Рассматриваемый компонент сопоставлен с целью Цель безопасности-7 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает возможность выбора совокупности событий, подвергающихся аудиту, из совокупности событий, потенциально подвергаемых аудиту. Рассматриваемый компонент сопоставлен с целью Цель безопасности-7 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает возможность выполнения действий по оповещению администратора МЭ при обнаружении критичных событий безопасности. Рассматриваемый компонент сопоставлен с целью Цель безопасности-7 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает возможность (для предусмотренных сценариев функционирования) выполнения определенных действий по управлению МЭ без прохождения процедуры аутентификации. Рассматриваемый компонент сопоставлен с целью Цель безопасности-10 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает аутентификацию пользователей до разрешения любых действий. Рассматриваемый компонент сопоставлен с целью Цель безопасности-5 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает возможность (для предусмотренных сценариев функционирования) выполнения определенных действий по управлению МЭ без прохождения процедуры идентификации. Рассматриваемый компонент сопоставлен с целью Цель безопасности-10 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает идентификацию администратора МЭ до разрешения любых действий. Рассматриваемый компонент сопоставлен с целью Цель безопасности-5 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает идентификацию субъектов межсетевого взаимодействия до передачи МЭ информационного потока получателю. Рассматриваемый компонент сопоставлен с целью Цель безопасности-6 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает возможность осуществлять фильтрацию для отправителей информации, получателей информации, сетевого трафика и всех операций перемещения контролируемой МЭ информации сетевого трафика к узлам автоматизированной системы управления и от них, а также возможность обеспечить, чтобы в МЭ на все операции перемещения через МЭ информации к узлам автоматизированной системы управления и от них распространялась фильтрация. Рассматриваемый компонент сопоставлен с целью Цель безопасности-1 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает возможность осуществлять фильтрацию, основанную на заданных атрибутах безопасности информации. Рассматриваемый компонент сопоставлен с целью Цель безопасности-1 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает разрешение ФБО на модификацию режима выполнения функций МЭ администраторам и другим уполномоченным ролям. Рассматриваемый компонент сопоставлен с целью Цель безопасности-4 и способствует ее достижению.

Выполнение требований данного компонента предоставляет возможность со стороны администраторов МЭ управлять данными МЭ, используемыми функциями безопасности МЭ, а также возможность предоставлять изменение области значений информации состояния соединения только администраторам МЭ. Рассматриваемый компонент сопоставлен с целью Цель безопасности-4 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает наличие у ОО, как минимум, функций управления режимом выполнения функций безопасности и функций управления данными ФБО. Рассматриваемый компонент сопоставлен с целью Цель безопасности-4 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает поддержание ролей безопасности. Рассматриваемый компонент сопоставлен с целями Цель безопасности-2, Цель безопасности-3 и способствует их достижению.

Выполнение требований данного компонента предоставляет возможность администраторам МЭ модифицировать, удалять разрешительные и (или) запретительные атрибуты безопасности для осуществления МЭ фильтрации. Рассматриваемый компонент сопоставлен с целями Цель безопасности-1 и Цель безопасности-2 и способствует их достижению.

Выполнение требований данного компонента обеспечивает возможность перехода в режим аварийной поддержки, который предоставляет возможность возврата МЭ к штатному режиму функционирования. Рассматриваемый компонент сопоставлен с целью Цель безопасности-8 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает возможность нормального завершения выполнения функций после сбоев или, для предусмотренных сценариев сбоев, восстановление ее устойчивого и безопасного состояние. Рассматриваемый компонент сопоставлен с целью Цель безопасности-8 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает возможность тестирования (самотестирования) функций безопасности МЭ (контроль целостности исполняемого кода МЭ). Рассматриваемый компонент сопоставлен с целью Цель безопасности-8 и способствует ее достижению.

Выполнение требований данного компонента обеспечивает возможность функционирования МЭ в составе кластера. Рассматриваемый компонент сопоставлен с целью Цель безопасности-9 и способствует ее достижению.

В таблице 7.4 представлены результаты удовлетворения зависимостей функциональных требований безопасности. Все зависимости компонентов требований удовлетворены в настоящем профиле защиты либо включением компонентов, определенных в национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности" под рубрикой "Зависимости", либо включением компонентов, иерархичных по отношению к компонентам, определенным в национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности" под рубрикой "Зависимости".

Столбец 2 таблицы 7.4 является справочным и содержит компоненты, определенные в национальном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности" в описании компонентов требований, приведенных в столбце 1 таблицы 7.4, под рубрикой "Зависимости".

Столбец 3 таблицы 7.4 показывает, какие компоненты требований были включены в настоящий ПЗ для удовлетворения зависимостей компонентов, приведенных в первом столбце таблицы 7.4. Компоненты требований в столбце 3 таблицы 7.4 либо совпадают с компонентами в столбце 2 таблицы 7.4, либо иерархичны по отношению к ним.

Для компонента FAU_GEN.1 невключение по зависимости компонента FPT_STM.1 компенсировано включением в ПЗ Цели для среды функционирования ОО-8.

Для компонента FAU_ARP.1 невключение по зависимости компонента FAU_SAA.1 компенсировано включением в ПЗ Цели для среды функционирования ОО-8.

Для компонента FRU_FLT.2 невключение по зависимости компонента FPT_FLS.1 компенсировано включением в ПЗ Цели для среды функционирования ОО-3.

Компонент FDP_IFF.1 "Простые атрибуты безопасности" имеет зависимости от компонентов FMT_MSA.3 "Инициализация статических атрибутов" и FMT_MSA.1 "Управление атрибутами безопасности".

Компонент FMT_MSA.1 "Управление атрибутами безопасности" включен в настоящий ПЗ. Компонент FMT_MSA.3 "Инициализация статических атрибутов" не включен в настоящий ПЗ, чтобы не ограничивать реализацию присвоения ограничительных/разрешительных и других типов значений для атрибутов безопасности. При разработке ЗБ в зависимости от реализации ФБО должен использоваться компонент FMT_MSA.3 "Инициализация статических атрибутов" или иной компонент функциональных требований безопасности (допустимо использовать компонент, сформулированный в явном виде).

Требования доверия настоящего ПЗ соответствуют ОУД2, усиленному компонентами ADV_IMP.2 "Полное отображение представления реализации ФБО", ADV_TDS.3 "Базовый модульный проект", ALC_FLR.1 "Базовое устранение недостатков", AVA_VAN.4 "Методический анализ уязвимостей", и расширенному компонентами ADV_IMP_EXT.3 "Реализация ОО", ALC_TAT_EXT.0 "Определение инструментальных средств разработки", ALC_FPU_EXT.1 "Процедуры обновления программного обеспечения межсетевого экрана" и AMA_SIA_EXT.3 "Анализ влияния обновлений на безопасность межсетевого экрана".

Включение указанных требований доверия к безопасности ОО в ПЗ определяется Требованиями к межсетевым экранам, утвержденными приказом ФСТЭК России от 9 февраля 2016 г. N 9.