Контакты
Подписка 2025
Статьи по информационной безопасности

Traffic Inspector Next Generation: NGFW, сертифицированный ФСТЭК России

Александр Вишняков, 16/10/23

Современные информационные системы сталкиваются с ростом угроз кибербезопасности и требуют все более эффективных решений для защиты конфиденциальности, целостности и доступности данных. В этом контексте межсетевой экран нового поколения (Next-Generation Firewall, NGFW) занимает особое место как передовая технология, предоставляющая комплексный подход к обеспечению безопасности сетей. Важным аспектом для применения NGFW в информационных системах является его сертификация во ФСТЭК России. В данной статье мы рассмотрим основные аспекты сертификации NGFW и ее влияние на обеспечение кибербезопасности.

Автор: Александр Вишняков, руководитель проектов ООО “СМАРТ-СОФТ”

Понимание Next-Generation Firewall (NGFW)

Решения NGFW представляют собой существенный шаг вперед по сравнению с обычными межсетевыми экранами. Основное отличие заключается в их способности проводить более глубокий и интеллектуальный анализ сетевого трафика, что делает их более эффективными в борьбе с современными киберугрозами.

Первое значимое отличие – это возможность NGFW проводить инспекцию на прикладном уровне. Традиционные межсетевые экраны ограничивались анализом сетевых пакетов на более низких уровнях модели OSI, в то время как NGFW способны анализировать содержание приложений и данных. Это позволяет им обнаруживать вредоносные программы, внедренные в прикладные протоколы, и более эффективно контролировать трафик конкретных приложений.

Второе отличие – это способность NGFW распознавать и контролировать доступ в Интернет на основе политик безопасности, учитывающих разнообразные параметры, такие как геолокация, роли пользователей и время доступа. Это позволяет ограничивать доступ к определенным ресурсам или приложениям для конкретных пользователей или групп. NGFW предоставляют более гибкий и индивидуальный контроль над сетевой активностью, что является ключевым преимуществом в многозадачных сетевых средах.

Флагманский продукт компании "Смарт-Софт" – универсальный шлюз безопасности Traffic Inspector Next Generation (TING) [1] давно известен на российском рынке и включает весь необходимый функционал решений класса NGFW для защиты сети и организации контролируемого доступа пользователей локальной сети в Интернет (имеет более 80 различных функций), обладает оптимальным соотношением "цена – функциональность".

В 2023 г. Traffic Inspector Next Generation был сертифицирован во ФСТЭК России.

Значимость сертификации ФСТЭК

Государство наделило ФСТЭК России правом разрабатывать нормативные документы и утверждать методики, обязательные для применения участниками рынка средств защиты информации. При проектировании информационных систем за основу берутся не только международные стандарты и ГОСТы, не в последнюю очередь ИБ-инженеры многих организаций ориентируются на методики ФСТЭК России и используют только сертифицированные ведомством программные и технические средства.

С уверенностью можно утверждать, что межсетевые экраны, в том числе NGFW, применяются абсолютным большинством компаний для защиты сетевого периметра. С учетом значимости этого класса решений в 2016 г. ФСТЭК России были утверждены методические документы, содержащие профили защиты межсетевых экранов. Они предусматривают для МЭ пять типов А-Д в зависимости от формфактора и применения и шесть классов защиты. Для общего доступа были открыты только нормы, регламентирующие профили 4–6 классов защиты, поскольку классы 1–3 связаны с обработкой гостайны.

А с 2019 г. ФСТЭК России, помимо понятия "класс средства защиты", ввела понятие "уровень доверия": разработала и начала применять требования по безопасности информации, устанавливающие уровни доверия к разработке и производству СЗИ. Всего предусмотрены шесть уровней доверия: самый низкий уровень – шестой, самый высокий – первый. СЗИ, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных системах, в которых обрабатывается государственная тайна.

Для использования в государственной информационной системе (ГИС) 1 класса для средств защиты информации (СЗИ) требуется как минимум 4 уровень доверия, для ГИС 2 класса – 5 уровень доверия и выше, для ГИС 3 класса – 6 уровень доверия и выше.

Таком образом, если разработчик планирует предлагать свой продукт заказчикам из госсектора, необходимо пройти процесс сертификации во ФСТЭК России, даже несмотря на то, что это долго, дорого и сложно.

Компания "Смарт-Софт" как раз видела перспективность применения TING для госпредприятий, ведь продукт своей функциональностью может успешно закрыть ИБ-задачи заказчиков из этого сегмента, и приняла решение пройти путь сертификации TING. Процесс оказался непростым: он начался в апреле 2021 г. и завершился в июле 2023 г., включал как документальную, так и лабораторную составляющие, но позволил команде "Смарт-Софт" посмотреть на свой продукт с нового ракурса.

В итоге 13 июля 2023 г. "Смарт-Софт” получила для универсального шлюза безопасности Traffic Inspector Next Generation сертификат соответствия ФСТЭК России № 4692.

ris1-Oct-16-2023-12-27-34-7655-PM

Теперь TING соответствует требованиям к межсетевым экранам типа "А" и "Б" 4 класса защиты, к системам обнаружения вторжений уровня сети 4 класса защиты, а также требованиям по безопасности информации – по 4 уровню доверия. Решение может применяться заказчиками в значимых объектах КИИ 1 категории значимости, в ГИС 1 класса защищенности, в АСУ производственными и технологическими процессами 1 класса защищенности, в ИС персональных данных 1 уровня защищенности, в ИС общего пользования 2 класса.

Функциональность сертифицированной версии TING

До недавнего времени пользователи сертифицированных версий различных NGFW сталкивались с тем, что их функциональность существенно отставала от коммерческих релизов. Объяснение этому феномену довольно простое: процесс сертификации требовал продолжительного времени, за которое коммерческий продукт успевал нарастить возможности. Но сейчас ситуация изменилась. С одной стороны, все больше вендоров – и компания "Смарт Софт" в их числе – начинают процесс сертификации практически сразу после выхода нового релиза. С другой стороны, отраслевой регулятор позволяет достаточно быстро досертифицировать новые версии уже сертифицированного решения.

Так, в IV квартале 2023 г. разработчики "Смарт Софт" планируют выпустить релиз коммерческой версии TING 1.12 и рассчитывают, что спустя уже два месяца он будет досертифицирован во ФСТЭК России в режиме обновления. Таким образом, уже к новому году должна появиться новая сертифицированная версия. Разрыв в функциональности по сравнению с коммерческой версией будет практически ликвидирован.

Для российского рынка это прекрасный показатель!

Планы развития TING

Рынок российских NGFW активно развивается, растет производительность решений, добавляется новая функциональность, повышается надежность работы. От этого процесса не отстает и TING.

Методика измерения производительности

Мы видим, как меняются рынок и требования заказчиков, которые все более внимательно подходят к выбору NGFW. Наличие сертификата – это важная характеристика решения, но помимо него заказчикам нужна реально работающая, многофункциональная и высокопроизводительная защита. Для работы с такими серьезными заказчиками уже недостаточно данных о производительности TING, построенных на нашей прежней методике тестирования. Поэтому мы решили уточнить показатели производительности и планируем провести независимое тестирование сторонними экспертами.

Кластеризация для повышения надежности

Поддержка кластеризации является значимой характеристикой для NGFW в контексте обеспечения надежной работы. В ближайших версиях TING будет существенно доработан режим кластеризации Active-Active.

Traffic Inspector Next Generation поддерживает два типа кластеризации:

  1. Кластеризация Active-Active позволяет объединить несколько устройств в одну группу, работающую совместно. Это увеличивает общую производительность, что критически важно для сетей с высокой нагрузкой и большим объемом трафика. Путем балансировки нагрузки между устройствами Traffic Inspector Next Generation в кластере может обеспечить более быструю обработку, что снижает риск задержек и потери пакетов.
  2. Кластер Active-Passive обеспечивает высокую доступность сетевой инфраструктуры. В случае отказа одного из устройств в кластере другие устройства могут автоматически принимать на себя нагрузку и продолжать обработку трафика. Такой режим предотвращает простои и потери доступности к важным ресурсам.

Настройка кластеризации не требует высокой квалификации: достаточно базовых знаний в области сетевых технологий и опыта системного администрирования. Оба типа кластеров проверены на практике в реальной инфраструктуре заказчиков: прекрасно себя показали и балансировки нагрузки, и обеспечение бесперебойного соединения.

Доработка OPNsense

TING – одно из немногих на российском рынке решений, построенных на основе открытой операционной системы OPNsense. Это популярная и мощная сетевая ОС с открытым исходным кодом, предназначенная для создания и управления межсетевыми экранами и маршрутизаторами. Она предоставляет широкий спектр функций для обеспечения безопасности и управления сетевыми ресурсами. Разработчики "Смарт-Софт" своими силами проводят доработку и тестирование этой ОС, чтобы она соответствовала функциональным запросам наших заказчиков, с одной стороны, и требованиям регуляторов – с другой. Мы и дальше планируем поддерживать актуальность OPNsense как основу TING и развивать ее функциональность и защищенность.

Кроме создания специфичных для российского рынка доработок, команда "Смарт-Софт" внесла свой вклад в развитие OPNsense, передав его команде разработанные нами модули, которые можно использовать в любой стране.

Заключение

Защита периметра по-прежнему остается важной задачей для российских заказчиков, неудивительно, что этот сегмент формирует чуть ли не половину всего ИБ-рынка. Решения класса NGFW – это современный инструмент и основа сетевой защиты, без решений этого класса в современных реалиях немыслима полноценная система информационной безопасности. На российском рынке есть сертифицированные отечественные продукты класса NGFW, способные надежно выполнять задачи защиты, полностью соответствующие требованиям законодательства в сфере информационной безопасности. Один из таких продуктов – сертифицированный универсальный шлюз безопасности Traffic Inspector Next Generation FSTEC от российской компании "Смарт-Софт", надежное решение с хорошим потенциалом развития и оптимальным соотношением функциональности и цены.

Для организаций, перед которыми до сих пор стоит задача замены иностранных решений на российские, компания "Смарт-Софт" предусмотрела программу "мягкой миграции" на TING для беспроблемного импортозамещения.

  1. https://www.smart-soft.ru/ 
Темы:ФСТЭКNGFWВебмониторэксЖурнал "Информационная безопасность" №4, 2023Смарт-Софт

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Aladdin eCA – доверенная альтернатива Microsoft CA
    Денис Полушин, руководитель направления PKI компании Аладдин
    Aladdin eCA – это полнофункциональная отечественная альтернатива Microsoft CA, обеспечивающая комплексную защиту цифровой идентификации и интеграцию в существующие экосистемы предприятий.
  • SECURITM делает безопасность доступной и эффективной
    Николай Казанцев, CEO компании SECURITM
    Николай Казанцев, CEO компании SECURITM, о философии информационной безопасности, доступности решений для бизнеса любого масштаба, о построении идеальной инфраструктуры и о том, как меняется подход к управлению информационной безопасностью.
  • Обзор китайского рынка NGFW
    Азиатско-Тихоокеанский регион, где доминирует Китай, стал вторым по величине рынком NGFW в мире и уже в 2023 г. генерировал свыше 30% мирового спроса. При этом глобальный рынок по-прежнему возглавляют западные вендоры, тогда как из китайских компаний в топ-5 присутствует только Huawei с долей около 3,5%. Совокупная доля китайских производителей на мировом рынке остается скромной и оценивается в 5–10%.
  • Выбор NGFW: венчурные инвестиции или ставки на спорт?
    Наталья Онищенко, эксперт по ИБ в компании энергетической отрасли
    Для заказчиков выбор решения NGFW превращается в сложный компромисс, ведь рынок предлагает множество вариантов, каждый из которых силен в чем-то своем. Одни устройства отличаются высокой производительностью, но ограничены по функциональности, другие предлагают широкий набор возможностей, но уступают в стабильности. Ситуация осложняется, когда требуется учитывать отраслевую специфику или особенности существующей инфраструктуры. В итоге заказчикам приходится искать баланс между требованиями безопасности, удобством управления и техническими характеристиками, что далеко не всегда просто.
  • Безопасность приложений на базе SAP и 1С начинается с проверки кода
    Екатерина Герлинг, ведущий инженер-аналитик Лаборатории стратегического развития продуктов кибербезопасности Аналитического центра кибербезопасности ООО “Газинформсервис”
    После ухода SAP с российского рынка система 1С стала чуть ли не единственной альтернативой, но разработка под эту платформу требует значительных ресурсов, а специалистов не хватает. При этом анализ и защита кода для таких систем — сложный процесс, требующий специализированных решений. На российском рынке есть решения, которые помогут обеспечить безопасность корпоративных приложений на 1С и SAP.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"