Как выбрать межсетевой экран нового поколения: мнение экспертов
Безопасность Импортонезависимость
Агрессивная киберсреда сделала сетевую безопасность российских организаций одним из главных приоритетов и государства, и вендоров. Особую роль в этом сегменте защиты информации играют межсетевые экраны (МСЭ), многофункциональные межсетевые экраны (ММСЭ или NGFW). CNews поговорил с ведущими отечественными производителями в области сетевой безопасности «Кодом Безопасности», «Инфотексом» и UserGate, которые рассказали о том, какие требования накладывают регуляторы на средства защиты, и о том, как импортозамещение влияет на ИБ-рынок.
CNews: Существует несколько типов МСЭ, чем они отличаются друг от друга?
Дмитрий Лебедев, ведущий специалист отдела продвижения продуктов, «Код Безопасности»: ФСТЭК России выделяет 5 типов и 6 классов МСЭ. Тип определяет предназначение по сценариям использования, например, для защиты физической сети, веб-приложений или хоста, а классы, в свою очередь, классифицируют степень защиты различных информационных систем. Так 6 класс для защиты ГИС, ИСПДн, КИИ — наименьший, а 1 имеет самые строгие требования. Скажем, для ГИС 1 класса или ИСПДн 1-го уровня защищенности нужны МСЭ минимум по классу 4.
Помимо этого, в 2023 году ФСТЭК утвердила новые требования к сертификации многофункциональных МСЭ — NGFW, а для объектов КИИ существуют отдельные положения, которые регулируются 166 и 250 указам президента РФ, согласно которым необходимо использовать сертифицированные МСЭ отечественного производства. То есть программное обеспечение (ПО) и программно-аппаратные комплексы (ПАК) должны находиться в реестре Минцифры.
Сергей Петренко, директор по работе с государственными структурами, UserGate: Стоит отметить, что на текущий момент конкретно по многофункциональным межсетевым экранам требования ФСТЭК России есть только к одному типу — уровня сети. Данный тип подразделяется на три класса защиты: 6, 5 и 4. При этом 4 класс самый высокий, 6 — самый низкий. Что касается КИИ, то для них сертифицированные средства защиты информации (СЗИ) необходимы в первую очередь, хотя требований по использованию именно NGFW пока нет. То есть для обеспечения сетевой безопасности субъекты КИИ могут продолжать закупать и использовать имеющиеся на рынке сертифицированные СЗИ «Межсетевые экраны типа А (уровня сети)» и «Системы обнаружения вторжений уровня сети».
CNews: Какие организации обязаны использовать сертифицированные МСЭ? По каким требованиям они должны быть сертифицированы, а по каким необязательно?
Дмитрий Лебедев: Сертифицированные МСЭ обязаны использовать государственные предприятия. Всем остальным предприятиям, системы которых могут относиться к ИСПДн, ЗОКИИ, АСУ ТП, разрешено использовать сертифицированные МСЭ в том случае, если они закрывают актуальные угрозы. Учитывая, что большинство современных МСЭ — это решения класса NGFW, то их, как правило, сертифицируют по требованиям и к МСЭ, и СОВ, и уровню доверия.
Если такой МСЭ еще нужен и для организации VPN с ГОСТ-шифрованием, тогда необходимо пройти дополнительную сертификацию ФСБ как средство криптографической защиты информации (СКЗИ).
Сергей Петренко: Конкретные объекты, подлежащие обязательной защите с использованием сертифицированных СЗИ, описаны в приказах ФСТЭК России: № 17 от 11.02.2013, № 21 от 18.02.2013, № 31 от 14 марта 2014, № 239 от 25.12.2017. Например, приказ №31 регламентирует обеспечение безопасности в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Соответственно, если организация представляет такой объект и использует АСУТП, то она обязана провести категоризацию этой системы/объекта и обеспечить защиту по требованиям ФСТЭК России и с использованием именно сертифицированных СЗИ.
CNews: Новые требования ФСТЭК к NGFW стали одной из главных тем рынка. Зачем они понадобились, если ранее решения и так проходили сертификационные испытания ФСТЭК и ФСБ?
Дмитрий Лебедев: Дело в том, что«старые» требования ФСТЭК применялись к обычным межсетевым экранам. Однако сейчас уже почти каждый вендор МСЭ переквалифицировал его в NGFW. Это показывает, что производители развивают свои продукты, поэтому вполне логично, что регулятор предъявляет новые требования. Сейчас, в том числе и заказчики, задаются вопросом, какие сертифицированные МСЭ можно использовать: сертифицированные по «новым» или по «старым» требованиям.
Сергей Петренко: Да, этоестественный процесс эволюции технологий: на рынке кибербезопасности появляются новые классы решений, которые становятся ответом на увеличение «поверхности» атак и пытаются удовлетворить растущие запросы клиентов. Кроме того, такие продукты востребованы в организациях, попадающих под требования регуляторов, соответственно, выпуск новых требований к таким продуктам позволяет вендорам проходить сертификацию, а клиентам — использовать их в своих ИТ-инфраструктурах.
CNews: Не «утяжеляют» ли новые требования путь вендоров в разработке и внедрении продуктов в ИТ-инфраструктуры заказчиков?
Дмитрий Лебедев: Здесь есть два ключевых момента.С одной стороны, новые требования нужны, чтобы явно определить, где NGFW, а где стандартные МСЭ. С другой, у нас идет активная фаза импортозамещения, и ведущие игроки рынка NGFW имеют обещания перед заказчиками по разработке определенных функций. Порой вендору приходится выбирать: реализовать требования заказчика или новые требования ФСТЭК к NGFW, поскольку они не всегда совпадают между собой.
Тем не менее сертификация решения как NGFW необходима, потому что этот класс устройств играет заметную роль на рынке. К тому же сейчас необязательно использовать NGFW, сертифицированные по новым требованиям. Можно использовать NGFW, сертифицированные по требованиям к стандартным МСЭ. Таким образом, будет соблюден баланс между переходом к новой сертификации и выполнением пожеланий заказчиков по добавлению критичных для них функций.
При этом все ведущие российские вендоры, у которых есть NGFW, планируют получить новый сертификат в ближайшее время. Самыми первыми это сделают те, кто, по большому счету, является нишевым игроком и имеет малую инсталляционную базу.
CNews: А насколько сильно отличаются требования к NGFW и к МСЭ?
Дмитрий Лебедев: Нельзя сказать, чтоимеются критические особенности, в основном расширился перечень функций, которые должны выполнять NGFW. Например, теперь им необходимо фильтровать трафик через аппаратную часть.
Сергей Петренко: Общий подход остался прежним, просто требования стали более обширными. Но это было ожидаемо, поскольку функциональность NGFW значительно расширена относительно классических межсетевых экранов.
CNews: Решения ваших компаний на рынке уже не первый год. Важно ли для вас пройти сертификацию по новым требованиям ФСТЭК и планируете ли вы это делать в принципе?
Дмитрий Лебедев: Безусловно. Мы будем сертифицироваться по новым требованиям уже в 2025 году. В конце 2024-го — начале 2025-го «Код Безопасности» выпустит новую версию флагманского продукта NGFW «Континент 4» (версия 4.2), в которой будут учтены все основные пожелания заказчиков. После этого мы доработаем функционал для прохождения испытаний ФСТЭК России к NGFW.
Сергей Петренко: Мы давно работаем с крупными организациями, которые подпадают под регулирующее воздействие государства, поэтому наши решения имеют все необходимые сертификаты. Новый сертификат к NGFW не станет исключением — мы уже начали процесс подготовки. Каких-либо проблем возникнуть не должно, так как наш продукт обладает всей необходимой функциональностью.
Алексей Данилов, руководитель продуктового направления, «Инфотекс»: Наш криптошлюз ViPNet Coordinator HW давно известен на рынке, его первые версии появились более 20 лет назад, а пятое поколение продукта представляет собой полноценный межсетевой экран нового поколения с ГОСТ VPN. В настоящий момент ViPNet Coordinator HW 5 — единственный на рынке NGFW, сертифицированный по требованиям и ФСБ России, и по все еще действующим требованиям ФСТЭК России к межсетевым экранам.
При этом активно ведется работа по сертификации ViPNet Coordinator HW5 по новым требованиям ФСТЭК к многофункциональным межсетевым экранам следующего поколения. Это в ближайших планах. Стоит отметить, что, согласно п. 14 Положения о системе сертификации средств защиты информации №55 от 03.04.2018, СЗИ ViPNet с действующими сертификатами соответствия могут использоваться заказчиками и дальше.
CNews: Не раз говорилось, что создание NGFW — это трудоемкий процесс, который требует долгих «пилотов» и многочисленных рабочих инсталляций, чтобы вывести продукт на достойное качество. Насколько наличие или отсутствие сертификата говорит об уровне продукта?
Дмитрий Лебедев: Сертификация продукта говорит о зрелости продукта и готовности соответствовать требованиям. С NGFW ситуация сложная, так как его можно сертифицировать и как МСЭ, и как NGFW. По законодательству нет явных ограничений. Важно, чтобы был сертификат либо на МСЭ, либо на NGFW.
Сергей Петренко: О высоком уровне продукта свидетельствуют много факторов, например, количество инсталляций, выручка компании-производителя, публичные успешные истории крупных внедрений и многое другое. Сертификат — один из таких факторов, который гарантирует, что продукт соответствует высоким требованиям российских регуляторов.
Алексей Данилов: Реалии последних лет показали, что требования регуляторов были более чем оправданными, рынок понял и признал их состоятельность. Ранее считавшиеся теоретическими риски и угрозы информационной безопасности стали реальностью. При этом между всеми участниками рынка — регуляторами, разработчиками, интеграторами и заказчиками — стало происходить больше конструктивных диалогов в поиске пусть не идеальных, но работающих решений. Параллельно с исполнением требований регулятора, вендоры закладывают в дорожные карты больше, стремясь соответствовать ожиданиям компаний, переходящих с зарубежных решений на отечественные.
То есть соответствие нормам регуляторов это важный аспект, но не решающий, и заказчикам сейчас стоит обращать внимание на компании, которые давно на рынке и обладают большим опытом внедрений и пилотов, накопленной базой знаний по импортозамещению и опытом отработки проблем на клиентской стороне, которые возникают при миграции на российские NGFW.
Полный текст статьи читайте на CNews прочитано 4799 раз