Что такое ФСТЭК России и зачем нужна сертификация?
Федеральная служба по техническому и экспортному контролю России (ФСТЭК России) занимается регулированием в области информационной безопасности.
Сертификация для межсетевых экранов
- Задача ФСТЭК России — обеспечить защиту информации от несанкционированного доступа, утечек и наличия недекларированных возможностей в ПО. Для этого ФСТЭК России разрабатывает требования и нормативные документы по защите данных, лицензирует деятельность и проводит сертификацию средств защиты информации.
- Сертификат соответствия ФСТЭК России подтверждает, что программные продукты, технические средства и системы соответствуют установленным требованиям кибербезопасности.
- Сертификат соответствия необходим при работе с государственными информационными системами, персональными данными, объектами критической информационной инфраструктуры (ОКИИ).
Межсетевой экран
Firewall
фильтрует сетевой трафик между защищаемой системой и внешними сетями в соответствии с определенными правилами. Он анализирует IP-адреса, порты, протоколы и принимает решение: пропустить запрос или заблокировать его.
ФСТЭК России классифицирует межсетевые экраны по следующим типам применения и классам защиты:
«А» (уровень сети)
программно-аппаратные решения для применения на физических границах сети (например, на стыке корпоративной сети и интернета), могут иметь 1-6 класс защиты;
«Б» (уровень логических границ сети)
программные или программно-аппаратные решения, применяемые на логических границах сети, включая встроенные в маршрутизаторы, могут иметь 1-6 класс защиты;
«В» (уровень узла)
программные решения, применяемые на узлах сети (рабочие станции, серверы), могут иметь 1-6 класс защиты;
«Г» (уровень веб-сервера)
программные или программно-аппаратные решения, работающие с HTTP/HTTPS-протоколами (класс продуктов Web Application Firewall (WAF)), могут иметь 4-6 класс защиты;
«Д» (уровень промышленной сети)
программные или программно-аппаратные решения для обеспечения контроля и фильтрации промышленных протоколов передачи данных, , могут иметь 4-6 класс защиты;
| Класс защиты Тип межсетевого экрана |
6 | 5 | 4 | 3 | 2 | 1 |
|---|---|---|---|---|---|---|
| Межсетевой экран типа "А" | ИТ.МЭ. А6.ПЗ | ИТ.МЭ. А5.ПЗ | ИТ.МЭ. А4.ПЗ | ИТ.МЭ. А3.ПЗ | ИТ.МЭ. А2.ПЗ | ИТ.МЭ. А1.ПЗ |
| Межсетевой экран типа "Б" | ИТ.МЭ. Б6.ПЗ | ИТ.МЭ. Б5.ПЗ | ИТ.МЭ. Б4.ПЗ | ИТ.МЭ. Б3.ПЗ | ИТ.МЭ. Б2.ПЗ | ИТ.МЭ. Б1.ПЗ |
| Межсетевой экран типа "В" | ИТ.МЭ. В6.ПЗ | ИТ.МЭ. В5.ПЗ | ИТ.МЭ. В4.ПЗ | ИТ.МЭ. В3.ПЗ | ИТ.МЭ. В2.ПЗ | ИТ.МЭ. В1.ПЗ |
| Межсетевой экран типа "Г" | ИТ.МЭ. Г6.ПЗ | ИТ.МЭ. Г5.ПЗ | ИТ.МЭ. Г4.ПЗ | - | - | - |
| Межсетевой экран типа "Д" | ИТ.МЭ. Д6.ПЗ | ИТ.МЭ. Д5.ПЗ | ИТ.МЭ. Д4.ПЗ | - | - | - |
Этапы сертификации
Сначала производитель МЭ готовит комплект документов, подробно описывающих решение, и отдает продукт на тестирование в специальную аккредитованную испытательную лабораторию.
В рамках этих тестов проверяется как документация, так и корректность реализуемых решением функций. Сертификационные испытания могут включать проверку фильтрации и правил, защиты от НСД, реакцию на ошибки и т. п.
Если находятся ошибки или несоответствия, продукт отправляют на доработку.
По результатам сертификационных испытаний ФСТЭК России принимает решение и выдаёт сертификат соответствия на конкретную версию межсетевого экрана.
Важно: сертифицируется конкретная версия ПО, и любое обновление требует переоценки. Процесс может занимать от нескольких месяцев до года или даже больше. Сами сертификаты соответствия выдаются сроком до пяти лет.
Сертифицированный WAF
WAF (Web Application Firewall) — это программный межсетевой экран типа «Г», который защищает веб-приложения на прикладном уровне (L7). Он анализирует HTTP/HTTPS-трафик, обнаруживает попытки эксплуатации уязвимостей и блокирует атаки до того, как вредоносный запрос достигнет защищаемого веб-приложения.
МЭ типа «Г» 4 класса защиты должны:
- анализировать и фильтровать HTTP/HTTPS-трафик на уровне приложений;
- защищать веб-приложения от атак и вредоносного кода;
- обеспечивать идентификацию и аутентификацию, аудит и защищённое администрирование;
- регистрировать и предотвращать нарушения безопасности, а также информировать о них;
- функционировать в доверенной среде без обходных каналов;
- гарантировать отказоустойчивость;
- взаимодействовать с другими СЗИ.
Более детально о требованиях безопасности к МЭ типа «Г» можно прочитать на сайте ФСТЭК России.
Сертифицированный межсетевой экран типа «Г» подходит для защиты критических веб-приложений в банках, телекоме, госсекторе и других отраслях, где обрабатываются персональные данные высокой чувствительности.
Кому нужен сертифици
рованный WAF?
Использование сертифицированных СЗИ, в том числе межсетевых экранов уровня веб-приложений, обусловлено требованиями ряда нормативных актов:
01
Федеральный закон «О персональных данных» от 27.07.2006 г. № 152-ФЗ – ст. 19 п. 2;
02
«Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства РФ от 01.11.2012 г. № 1119 – п. 4, п. 13-16.
03
«Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные Приказом ФСТЭК России от 11.02.2013 г. № 17 – п. 15.1, п. 26;
04
«Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», утвержденные Приказом ФСТЭК России от 11.04.2025 г. № 117 (вступит в силу с 01.03.2026 г.) – п. 71-72;
05
«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные Приказом ФСТЭК России от 18.02.2013 г. № 21 – п. 12;
06
«Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», утвержденные Приказом ФСТЭК России от 25.12.2017 г. № 239 – п. 29.
Требования отраслевых стандартов
01
ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденный и введенный в действие Приказом Росстандарта от 08.08.2017 № 822-ст – п. 9.5;
02
Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», введенный в действие распоряжением Банка России от 17.05.2014 г. № Р-399 – п. 7.11.8.
WMX ПроWAF
Сертифицированный межсетевой экран для веб-приложений, микросервисов и API. Надёжная защита, полностью соответствующая всем требованиям комплаенса.