Контакты
Подписка 2024

Traffic Inspector Next Generation: NGFW, сертифицированный ФСТЭК России

Александр Вишняков, 16/10/23

Современные информационные системы сталкиваются с ростом угроз кибербезопасности и требуют все более эффективных решений для защиты конфиденциальности, целостности и доступности данных. В этом контексте межсетевой экран нового поколения (Next-Generation Firewall, NGFW) занимает особое место как передовая технология, предоставляющая комплексный подход к обеспечению безопасности сетей. Важным аспектом для применения NGFW в информационных системах является его сертификация во ФСТЭК России. В данной статье мы рассмотрим основные аспекты сертификации NGFW и ее влияние на обеспечение кибербезопасности.

Автор: Александр Вишняков, руководитель проектов ООО “СМАРТ-СОФТ”

Понимание Next-Generation Firewall (NGFW)

Решения NGFW представляют собой существенный шаг вперед по сравнению с обычными межсетевыми экранами. Основное отличие заключается в их способности проводить более глубокий и интеллектуальный анализ сетевого трафика, что делает их более эффективными в борьбе с современными киберугрозами.

Первое значимое отличие – это возможность NGFW проводить инспекцию на прикладном уровне. Традиционные межсетевые экраны ограничивались анализом сетевых пакетов на более низких уровнях модели OSI, в то время как NGFW способны анализировать содержание приложений и данных. Это позволяет им обнаруживать вредоносные программы, внедренные в прикладные протоколы, и более эффективно контролировать трафик конкретных приложений.

Второе отличие – это способность NGFW распознавать и контролировать доступ в Интернет на основе политик безопасности, учитывающих разнообразные параметры, такие как геолокация, роли пользователей и время доступа. Это позволяет ограничивать доступ к определенным ресурсам или приложениям для конкретных пользователей или групп. NGFW предоставляют более гибкий и индивидуальный контроль над сетевой активностью, что является ключевым преимуществом в многозадачных сетевых средах.

Флагманский продукт компании "Смарт-Софт" – универсальный шлюз безопасности Traffic Inspector Next Generation (TING) [1] давно известен на российском рынке и включает весь необходимый функционал решений класса NGFW для защиты сети и организации контролируемого доступа пользователей локальной сети в Интернет (имеет более 80 различных функций), обладает оптимальным соотношением "цена – функциональность".

В 2023 г. Traffic Inspector Next Generation был сертифицирован во ФСТЭК России.

Значимость сертификации ФСТЭК

Государство наделило ФСТЭК России правом разрабатывать нормативные документы и утверждать методики, обязательные для применения участниками рынка средств защиты информации. При проектировании информационных систем за основу берутся не только международные стандарты и ГОСТы, не в последнюю очередь ИБ-инженеры многих организаций ориентируются на методики ФСТЭК России и используют только сертифицированные ведомством программные и технические средства.

С уверенностью можно утверждать, что межсетевые экраны, в том числе NGFW, применяются абсолютным большинством компаний для защиты сетевого периметра. С учетом значимости этого класса решений в 2016 г. ФСТЭК России были утверждены методические документы, содержащие профили защиты межсетевых экранов. Они предусматривают для МЭ пять типов А-Д в зависимости от формфактора и применения и шесть классов защиты. Для общего доступа были открыты только нормы, регламентирующие профили 4–6 классов защиты, поскольку классы 1–3 связаны с обработкой гостайны.

А с 2019 г. ФСТЭК России, помимо понятия "класс средства защиты", ввела понятие "уровень доверия": разработала и начала применять требования по безопасности информации, устанавливающие уровни доверия к разработке и производству СЗИ. Всего предусмотрены шесть уровней доверия: самый низкий уровень – шестой, самый высокий – первый. СЗИ, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных системах, в которых обрабатывается государственная тайна.

Для использования в государственной информационной системе (ГИС) 1 класса для средств защиты информации (СЗИ) требуется как минимум 4 уровень доверия, для ГИС 2 класса – 5 уровень доверия и выше, для ГИС 3 класса – 6 уровень доверия и выше.

Таком образом, если разработчик планирует предлагать свой продукт заказчикам из госсектора, необходимо пройти процесс сертификации во ФСТЭК России, даже несмотря на то, что это долго, дорого и сложно.

Компания "Смарт-Софт" как раз видела перспективность применения TING для госпредприятий, ведь продукт своей функциональностью может успешно закрыть ИБ-задачи заказчиков из этого сегмента, и приняла решение пройти путь сертификации TING. Процесс оказался непростым: он начался в апреле 2021 г. и завершился в июле 2023 г., включал как документальную, так и лабораторную составляющие, но позволил команде "Смарт-Софт" посмотреть на свой продукт с нового ракурса.

В итоге 13 июля 2023 г. "Смарт-Софт” получила для универсального шлюза безопасности Traffic Inspector Next Generation сертификат соответствия ФСТЭК России № 4692.

ris1-Oct-16-2023-12-27-34-7655-PM

Теперь TING соответствует требованиям к межсетевым экранам типа "А" и "Б" 4 класса защиты, к системам обнаружения вторжений уровня сети 4 класса защиты, а также требованиям по безопасности информации – по 4 уровню доверия. Решение может применяться заказчиками в значимых объектах КИИ 1 категории значимости, в ГИС 1 класса защищенности, в АСУ производственными и технологическими процессами 1 класса защищенности, в ИС персональных данных 1 уровня защищенности, в ИС общего пользования 2 класса.

Функциональность сертифицированной версии TING

До недавнего времени пользователи сертифицированных версий различных NGFW сталкивались с тем, что их функциональность существенно отставала от коммерческих релизов. Объяснение этому феномену довольно простое: процесс сертификации требовал продолжительного времени, за которое коммерческий продукт успевал нарастить возможности. Но сейчас ситуация изменилась. С одной стороны, все больше вендоров – и компания "Смарт Софт" в их числе – начинают процесс сертификации практически сразу после выхода нового релиза. С другой стороны, отраслевой регулятор позволяет достаточно быстро досертифицировать новые версии уже сертифицированного решения.

Так, в IV квартале 2023 г. разработчики "Смарт Софт" планируют выпустить релиз коммерческой версии TING 1.12 и рассчитывают, что спустя уже два месяца он будет досертифицирован во ФСТЭК России в режиме обновления. Таким образом, уже к новому году должна появиться новая сертифицированная версия. Разрыв в функциональности по сравнению с коммерческой версией будет практически ликвидирован.

Для российского рынка это прекрасный показатель!

Планы развития TING

Рынок российских NGFW активно развивается, растет производительность решений, добавляется новая функциональность, повышается надежность работы. От этого процесса не отстает и TING.

Методика измерения производительности

Мы видим, как меняются рынок и требования заказчиков, которые все более внимательно подходят к выбору NGFW. Наличие сертификата – это важная характеристика решения, но помимо него заказчикам нужна реально работающая, многофункциональная и высокопроизводительная защита. Для работы с такими серьезными заказчиками уже недостаточно данных о производительности TING, построенных на нашей прежней методике тестирования. Поэтому мы решили уточнить показатели производительности и планируем провести независимое тестирование сторонними экспертами.

Кластеризация для повышения надежности

Поддержка кластеризации является значимой характеристикой для NGFW в контексте обеспечения надежной работы. В ближайших версиях TING будет существенно доработан режим кластеризации Active-Active.

Traffic Inspector Next Generation поддерживает два типа кластеризации:

  1. Кластеризация Active-Active позволяет объединить несколько устройств в одну группу, работающую совместно. Это увеличивает общую производительность, что критически важно для сетей с высокой нагрузкой и большим объемом трафика. Путем балансировки нагрузки между устройствами Traffic Inspector Next Generation в кластере может обеспечить более быструю обработку, что снижает риск задержек и потери пакетов.
  2. Кластер Active-Passive обеспечивает высокую доступность сетевой инфраструктуры. В случае отказа одного из устройств в кластере другие устройства могут автоматически принимать на себя нагрузку и продолжать обработку трафика. Такой режим предотвращает простои и потери доступности к важным ресурсам.

Настройка кластеризации не требует высокой квалификации: достаточно базовых знаний в области сетевых технологий и опыта системного администрирования. Оба типа кластеров проверены на практике в реальной инфраструктуре заказчиков: прекрасно себя показали и балансировки нагрузки, и обеспечение бесперебойного соединения.

Доработка OPNsense

TING – одно из немногих на российском рынке решений, построенных на основе открытой операционной системы OPNsense. Это популярная и мощная сетевая ОС с открытым исходным кодом, предназначенная для создания и управления межсетевыми экранами и маршрутизаторами. Она предоставляет широкий спектр функций для обеспечения безопасности и управления сетевыми ресурсами. Разработчики "Смарт-Софт" своими силами проводят доработку и тестирование этой ОС, чтобы она соответствовала функциональным запросам наших заказчиков, с одной стороны, и требованиям регуляторов – с другой. Мы и дальше планируем поддерживать актуальность OPNsense как основу TING и развивать ее функциональность и защищенность.

Кроме создания специфичных для российского рынка доработок, команда "Смарт-Софт" внесла свой вклад в развитие OPNsense, передав его команде разработанные нами модули, которые можно использовать в любой стране.

Заключение

Защита периметра по-прежнему остается важной задачей для российских заказчиков, неудивительно, что этот сегмент формирует чуть ли не половину всего ИБ-рынка. Решения класса NGFW – это современный инструмент и основа сетевой защиты, без решений этого класса в современных реалиях немыслима полноценная система информационной безопасности. На российском рынке есть сертифицированные отечественные продукты класса NGFW, способные надежно выполнять задачи защиты, полностью соответствующие требованиям законодательства в сфере информационной безопасности. Один из таких продуктов – сертифицированный универсальный шлюз безопасности Traffic Inspector Next Generation FSTEC от российской компании "Смарт-Софт", надежное решение с хорошим потенциалом развития и оптимальным соотношением функциональности и цены.

Для организаций, перед которыми до сих пор стоит задача замены иностранных решений на российские, компания "Смарт-Софт" предусмотрела программу "мягкой миграции" на TING для беспроблемного импортозамещения.


  1. https://www.smart-soft.ru/ 
Темы:ФСТЭКNGFWЖурнал "Информационная безопасность" №4, 2023Смарт-СофтTING

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • UserGate представила новые модели устройств, услуги и поделилась другими достижениями
    Как обычно, в конце апреля в рамках V ежегодной конференции UserGate 2024 компания представила новинки – устройства, сервисы, услуги, а также отчиталась о других достижениях.
  • Управление уязвимостями: ожидание – реальность и рекомендации
    Сергей Уздемир, заместитель генерального директора по ИТ, АЛТЭКС-СОФТ
    ФСТЭК России разработала и утвердила методический документ по организации управления уязвимостями (VM), который устанавливает цикл этапов работ по VM. Излагаемые в нем подходы универсальны для любых организаций и тесно пересекаются с зарубежными стандартами, в частности с ISO/IEC 27002, Control 8.8 – Management of Technical Vulnerabilities.
  • Российские NGFW глазами заказчика: основные проблемы
    Андрей Нуйкин, Начальник отдела обеспечения безопасности информационных систем, блок вице-президента по ИТ компании ЕВРАЗ
    Pоссийские заказчики сталкиваются с рядом барьеров, которые мешают бесшовной миграции на отечественные NGFW.
  • О необходимости типизации российских многофункциональных межсетевых экранов
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    Об особенностях разработки российских решений, соответствующих требованиям ФСТЭК России по типу ММЭ уровня сети, а также о возможностях и сценариях их использования.
  • Российские NGFW успешно захватывают долю мирового рынка информационной безопасности
    Дмитрий Хомутов, директор компании “Айдеко”
    Успешные компании рождаются не только в американских гаражах или Силиконовой долине, но и в общежитиях российских вузов. Дмитрий Хомутов, директор компании Ideco, рассказал о саморазвитии, импортозамещении, госрегулировании ИБ-рынка и влиянии заказчиков на вендоров.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать