Американский вариант профиля защиты на систему обнаружения вторжений

0

Экспертам аккредитованных испытательных лабораторий и органов по сертификации ФСТЭК России, а так же разработчикам средств защиты информации, возможно, будет полезно познакомиться с профилем защиты на системы обнаружения вторжений уровня сети, разработанным организацией NIAP (National Information Assurance Partnership, регулирует сертификацию средств защиты информации в США) и опубликованном на их официальном сайте (ссылка).

Данный профиль защиты, а точнее пакет расширения (Extended Package), разработан в ходе реформы системы сертификации CommonCriteria. Кратко напомним основные нововведения:

отказ от понятия «оценочный уровень доверия» (EAL) ‑ новые профили содержат требования доверия, сформулированные на основе «старого» ОУД2 (подробный сравнительный анализ новых и старых требований).

  • для обеспечения повторяемости результатов тестирования профили защиты дополняются типовыми методиками испытаний;
  •  создаются базовые профили защиты и пакеты расширений базовых профилей.

Например, базовый профиль защиты для сетевых устройств предъявляет функциональные требования безопасности, характерные для всех сетевых устройств (например, межсетевых экранов, систем обнаружения вторжений и др.). Пакет расширения базового ПЗ содержит требования, характерные для конкретного типа СЗИ на базе сетевых устройств. В настоящее время NIAPуже выпустила пакеты расширения для следующих типов сетевых СЗИ: SIP-сервер, межсетевой экран, VPN-шлюз, система обнаружения вторжений (ПЗ можно получить на сайте ).

Из особенностей ПЗ на СОВ можно отметить следующие.

  1. Предъявляются требования к наличию методов сигнатурного анализа и анализа аномалий.
  2. Функциональные требования безопасности очень детализированные. Например, для требования к сигнатурному методу анализа указаны конкретные поля сетевого пакета, которые должна анализировать СОВ в поисках сигнатур (например, «ICMPv6: Type; Code; and Header Checksum» или «HTTP (web) commands and content: commands including GET and POST, and administrator-defined strings to match URLs/URIs, and web page content»).
  3. Указан конкретный перечень сигнатур, которые должна обнаруживать СОВ (например, «TCP NULL flags», «TCPSYN+FINflags» или «TCPFINonlyflags»). Следует отметить, что документ предписывает экспертам испытательных лабораторий установить в ходе тестирования, что СОВ способна выявить все указанные сигнатуры.
  4. Указан перечень конкретных действий, которые должна выполнить СОВ при обнаружении вторжения (например, «allow the traffic flow», «sendaTCPresettothesourceaddressoftheoffendingtraffic»)
  5. В документе приведен перечень тестов, которые должна выполнить испытательная лаборатория в ходе сертификационных испытаний.

Следует отметить, что существенной разницы в номенклатуре требований NIAPи требований ФСТЭК России, предъявляемых к СОВ, нет.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *