Блог Айдеко

ПРИМЕНЕНИЕ СЕРТИФИЦИРОВАННОГО ФСТЭК МЕЖСЕТЕВОГО ЭКРАНА ДЛЯ ЗАЩИТЫ СЕТИ

При построении системы защиты информации в организации специалисты часто сталкиваются с непростым выбором подходящего средства защиты сетевого периметра.

Сегодня на рынке представлено большое количество межсетевых экранов (МЭ) с различными техническими особенностями и в различных ценовых категориях.

Ситуация с выбором осложняется ещё и тем, что в сентябре 2016 года ФСТЭК России утвердил новые требования к межсетевым экранам, которые делятся на 30 профилей защиты (5 типов и 6 классов защиты).

Как же может помочь законодательство о защите информации и персональных данных разобраться в этом вопросе?

В двух февральских приказах ФСТЭК 2013-го года (17-м и 21-м) описаны базовые наборы мер защиты информации, обязательных для разных классов защищенности государственных информационных систем (ГИС) и уровней защищенности персональных данных.

Все меры разделены на соответственно 13 и 15 категорий, таких как идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ), обнаружение (предотвращение) вторжений (СОВ), обеспечение доступности информации (ОДТ) и другие.

Каждая мера имеет своё условное обозначение, например, ИАФ.1 – «Идентификация и аутентификация пользователей, являющихся работниками оператора», СОВ.1 – «Обнаружение вторжений», а ОДТ.1 – «Использование отказоустойчивых технических средств».

В приказах отмечены меры, обязательные для конкретных классов ГИС и УЗ.
Специалист, предварительно определив класс (УЗ) информационной системы, по этим мерам может понять, какие примерно функции должно иметь то или иное средство защиты.

МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ, РЕАЛИЗУЕМЫЕ МЕЖСЕТЕВЫМ ЭКРАНОМ IDECO ICS

Межсетевой экран Ideco ICS является многофункциональным программным и программно-аппаратным UTM-решением для организации защищенного доступа в сеть Интернет.

7-ая версия Ideco ICS находится в процессе получения сертификата по классу А5/Б5 (соответствие профилям защиты ИТ.МЭ.А5.ПЗ и ИТ.МЭ.Б5.ПЗ). Сертификационные испытания будут закончены к 4-му кварталу 2018 года.

МЭ Ideco ICS обеспечивает выполнение следующих мер защиты информации применительно к защите периметра сети и межсетевого взаимодействия:

Таблица 1


КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ IDECO ICS 7 ФСТЭК

Контроль доступа
Персональный полноценный доступ в Интернет для каждого сотрудника. Различные возможности авторизации.
Интеграция с Active Directory для прозрачной авторизации пользователей.
Фильтрация веб-контента по 144 категориям сайтов.
Модуль категоризированной отчетности по веб-трафику.

Защита и безопасность, межсетевой экран:
Защита компьютеров от атак из Интернет с использованием технологии NAT и встроенного фаервола
Блокирование приложений на уровне Layer-7 (DPI). Включая Skype, TOR, TeamView и множество других.
Блокирование ip адресов и протоколов по заданным условиям.
Защита от сканеров сети, DoS-атак и блокирование чрезмерной активности пользователей.
Многоуровневая фильтрация нежелательной почты (спама).
Разграничение доступа к корпоративным ресурсам, создание общих и закрытых серверов сети.
Шейпер. Ограничение скорости Интернет-трафика для отдельных пользователей, групп, компьютеров или протоколов.

Ограничение трафика
Планирование и ограничение расходов (лимитирование) по пользователям и группам.
Удобные отчёты в графическом виде.
При авторизации через VPN и PPPoE – защита от прослушивания трафика и подстановки IP-адреса.

Удаленное подключение, виртуальные частные сети VPN.
Доступ сотрудников к сети предприятия из дома или командировки по защищенному каналу VPN. В том числе с использованием мобильных устройств на базе ОС Android и iOS.

Возможность объединить все удаленные подразделения в общую сеть на единой платформе по шифрованным протоколам VPN PPTP или OpenVPN.
Возможность создать закрытые корпоративные серверы для ограниченного круга сотрудников.

Полноценный маршрутизатор, поддерживающий множество интерфейсов (как локальных, так и внешних). Поддерживаются виртуальные 802.1q VLAN интерфейсы, PPTP, L2TP, PPPoE и OpenVPN интерфейсы. Возможность указать маршруты по источнику.

Подключение к провайдерам, резервирование каналов
Поддержка нескольких каналов провайдеров и нескольких внешних сетей.
Создание разных тарифных планов. Перенаправление трафика в разные подсети.
Возможность полного разделения пользователей для выхода в Интернет через разных провайдеров.

Автоматическая проверка связи с провайдером и переключение на альтернативного провайдера, в случае необходимости.

Подключение к провайдеру по протоколам PPTP ( VPN ), L2TP и PPPoE.
Балансировка трафика между каналами.