Вопросы «Соответствуют ли ваши продукты требованиям профилей антивирусной защиты?» и «Сертифицированы ли вы по требованиям профилей...?» поступают регулярно. Только через меня их проходит несколько в неделю. На самом деле, как правило, сам по себе именно сертифицированный продукт клиенту не нужен — он слышал, что в его информационной системе нужно использовать именно сертифицированный продукт и думает, что допустимо использовать только сертифицированные по требованиям Профилей программные продукты. Ну или профиль организации требует использования только сертифицированного.
Не будем повторяться. Вопросы, что на самом деле требует законодательство по вопросу использования сертифицированных продуктов, были рассмотрены тут и тут. А сейчас мы поговорим на иную тему — а получает ли клиент что-то реальное, если его продукт сертифицирован по требованиям, изложенным в Профилях антивирусной защиты?
Требования к средствам антивирусной защиты (САВЗ) утверждены приказом ФСТЭК России от 20 марта 2012 г. N 28 (зарегистрирован Минюстом России 3 мая 2012 г., рег. N 24045). Вступили данные требования в силу с 1 августа 2012 г.
Декларируется, что данные требования разработаны в соответствии с «Общими критериями». Требования применяются к ПО, используемой для защиты информации, содержащей сведения, составляющие государственную тайну или иной информации с ограниченным доступом.
Существенно, что требования включают как непосредственно требования к средствам антивирусной защиты, так и требования к функциям безопасности средств антивирусной защиты.
Установлено шесть классов защиты средств антивирусной защиты. Требования ужесточаются (на самом деле по функционалу несущественно) от шестого класса к первому. Самый низкий класс – шестой, самый высокий – первый. В открытом доступе находятся требования с 6го до 4го уровней включительно. Требования к остальным уровням в открытый доступ не выкладываются, имеют уровень секретности — ДСП. Предоставляются по запросу.
САВЗ 6го класса защиты, применяются в информационных системах персональных данных 3 и 4 классов, 5й класс защиты предназначен для ИСПДн 2 класса, а САВЗ, соответствующие 4 классу защиты, применяются в государственных информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, и в ИСПДн 1 класса, а также в информационных системах общего пользования II класса.
Средства антивирусной защиты, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
САВЗ или их компоненты подразделяются на 4 типа:
Детализация требований к функциям безопасности, установленным Требованиями, а также взаимосвязи этих требований приведены для каждого класса и типа средств антивирусной защиты в профилях (мне встречалось два варианта произношения данного слова: «прОфилях» и «профилЯх») защиты, утвержденных 14 июня 2012 г. ФСТЭК России в качестве методических документов в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
Методические документы ФСТЭК России, содержащие профили защиты средств антивирусной защиты (обычно называемые просто профилями) 4, 5 и 6 классов защиты размещены на официальном сайте ФСТЭК России www.fstec.ru в разделе «Документы по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации».
Поскольку наиболее часто требуется обеспечить централизованную защиту рабочих станций, то рассмотрим требования к САВЗ типа «В» 4го класса защиты (обозначаемого как ИТ.САВЗ.В4.ПЗ) — максимального из выложенных открыто.
Забегая вперед — в документе не описано ни одной функции, позволяющей противостоять внедрению вредоносной программы при работе в локальной сети или сети Интернет.
Кстати говоря, для типа «Г» угрозы из сети интернет считаются неактуальными. И это по сути единственное отличие ИТ.САВЗ.Г4.ПЗ от ИТ.САВЗ.В4.ПЗ.
И сразу грубейшая ошибка. Система обороны не закладывается на типовую ситуацию, когда необходимо устранять вредоносные программы, уже проникшие на защищаемые компьютеры. Видимо создатели Профилей предполагают, что те же антивирусы должны знать все, пытающееся проникнуть, а это нереально.
Судя по списку предполагается, что САВЗ состоит только из чистого антивируса. Никаких ограничений прав, контроля за исполняемыми процессами нет в принципе в качестве средства защиты не предполагается. То есть защиты от неизвестных антивирусу угроз нет. Грустно.
Достаточно важный список, требующий наличия канала обновлений и самозащиты. К сожалению возможность автоматического получения обновлений в закрытых сетях проблематична и/или не предусматривается при их создании.
И еще одна грубейшая ошибка. Решив перечислить все возможные действия антивирусной программы создатели профилей загнали себя в ловушку. Список полный — не допускает расширения, но если его прочитать, то видно, что операции удаления вредоносной программы в нем нет! А значит работа антивируса с (например) троянами не предусматривается!
Если антивирус сможет только посылать уведомления — это будет достаточно для того, что бы данный функционал подошел под требование «реагирование»?
Что есть выполнение проверки? Файловый монитор? Антивирусный сканер? Утилита разбора файлов вручную?
Что есть файловые области? Файловая система включает не только файлы, но и скажем (для NTFS) стримы — там тоже могут прятаться вирусы. А поверка служебных областей, MBR и тд?
Ну это антивирусный сканер.
То есть только известных вирусов. Никаких полиморфных вредоносных объектов. Никаких несигнатурных методов. Без комментариев.
Актуально для внутренней сети. Действительно нужно, но странно выглядит на фоне требования доверенного канала до серверов обновления.
Лично мое мнение, что не дело это для отдельно стоящей машины. Такие вещи нужно выполнять средством централизованного управления. Ну да ладно.
Для краткости не будем рассматривать требования, относящиеся к логированию, защите от изменений настроек, возможности разграничения доступа и тд. Остановимся только на функционале, непосредственно обеспечивающем защиту.
Список угроз очень краткий. Например не рассматривается угроза атаки (распространения вирусов) по локальной сети.
То есть все же антивирус видимо должен выполнять только периодические проверки или проверки по запросу. Проверка различного типа служебных областей не предусмотрена.
А если невозможно? Ну и просто удаления вредоносной программы не предусматривается.
Раздел почти дословно повторяет рассмотренный выше.
Дальше по документу идут описания функционала с зависимостями (если они имеются). По сути еще раз повторяется написанное ранее.
Странно. Раньше о системных областях речи не шло. Зато пропало требование о проверке памяти.
Все! Как мы видим в качестве антивируса нам предлагают использовать антивирусный сканер конца прошлого века — без возможности обнаружения например полиморфных вирусов.
Подведем итог:
Фактически ИТ.САВЗ.В4.ПЗ/ ИТ.САВЗ.Г4.ПЗ описывают достаточно простой антивирусный сканер. При этом совершенно непонятно, как в случае ИТ.САВЗ.В4.ПЗ противостоять как заражению при работе в Интернет, так и при работе с флешками — постоянной антивирусной защиты не предусматривается.
Напомним, что 4й класс защиты это ИСПДн 1 класса. Что говорится — без комментариев. Единственный плюс в том, что если кому необходимо использовать сертифицированное средство защиты, но полная антивирусная защита на самом деле не требуется или она невозможна, то можно реализовать защиту в соответствии с этим профилем.
Если интересно, то в следующей статье можно рассмотреть, какими же требованиями заполнен типичный профиль защиты (для ИТ.САВЗ.В4.ПЗ/ ИТ.САВЗ.Г4.ПЗ размер документа составляет порядка 48 страниц).
Не будем повторяться. Вопросы, что на самом деле требует законодательство по вопросу использования сертифицированных продуктов, были рассмотрены тут и тут. А сейчас мы поговорим на иную тему — а получает ли клиент что-то реальное, если его продукт сертифицирован по требованиям, изложенным в Профилях антивирусной защиты?
Требования к средствам антивирусной защиты (САВЗ) утверждены приказом ФСТЭК России от 20 марта 2012 г. N 28 (зарегистрирован Минюстом России 3 мая 2012 г., рег. N 24045). Вступили данные требования в силу с 1 августа 2012 г.
Декларируется, что данные требования разработаны в соответствии с «Общими критериями». Требования применяются к ПО, используемой для защиты информации, содержащей сведения, составляющие государственную тайну или иной информации с ограниченным доступом.
Существенно, что требования включают как непосредственно требования к средствам антивирусной защиты, так и требования к функциям безопасности средств антивирусной защиты.
Установлено шесть классов защиты средств антивирусной защиты. Требования ужесточаются (на самом деле по функционалу несущественно) от шестого класса к первому. Самый низкий класс – шестой, самый высокий – первый. В открытом доступе находятся требования с 6го до 4го уровней включительно. Требования к остальным уровням в открытый доступ не выкладываются, имеют уровень секретности — ДСП. Предоставляются по запросу.
САВЗ 6го класса защиты, применяются в информационных системах персональных данных 3 и 4 классов, 5й класс защиты предназначен для ИСПДн 2 класса, а САВЗ, соответствующие 4 классу защиты, применяются в государственных информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, и в ИСПДн 1 класса, а также в информационных системах общего пользования II класса.
Средства антивирусной защиты, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
САВЗ или их компоненты подразделяются на 4 типа:
- тип «А» – предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах). САВЗ данного типа не применяются самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов «Б» и (или) «В». То есть использовать сертифицированную систему централизованного управления для работы с несертифицированными средствами защиты нельзя;
- тип «Б» – предназначенные для применения на серверах информационных систем;
- тип «В» – предназначенные для применения на автоматизированных рабочих местах информационных систем;
- тип «Г» – предназначенные для применения на автономных автоматизированных рабочих местах.
Детализация требований к функциям безопасности, установленным Требованиями, а также взаимосвязи этих требований приведены для каждого класса и типа средств антивирусной защиты в профилях (мне встречалось два варианта произношения данного слова: «прОфилях» и «профилЯх») защиты, утвержденных 14 июня 2012 г. ФСТЭК России в качестве методических документов в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
Методические документы ФСТЭК России, содержащие профили защиты средств антивирусной защиты (обычно называемые просто профилями) 4, 5 и 6 классов защиты размещены на официальном сайте ФСТЭК России www.fstec.ru в разделе «Документы по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации».
Поскольку наиболее часто требуется обеспечить централизованную защиту рабочих станций, то рассмотрим требования к САВЗ типа «В» 4го класса защиты (обозначаемого как ИТ.САВЗ.В4.ПЗ) — максимального из выложенных открыто.
Основными угрозами, для противостояния которым используются САВЗ типа «В», являются угрозы, связанные с внедрением в информационные системы из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена (сетей связи общего пользования) и(или) съемных машинных носителей информации, вредоносных компьютерных программ (вирусов) (КВ).
Забегая вперед — в документе не описано ни одной функции, позволяющей противостоять внедрению вредоносной программы при работе в локальной сети или сети Интернет.
Кстати говоря, для типа «Г» угрозы из сети интернет считаются неактуальными. И это по сути единственное отличие ИТ.САВЗ.Г4.ПЗ от ИТ.САВЗ.В4.ПЗ.
И сразу грубейшая ошибка. Система обороны не закладывается на типовую ситуацию, когда необходимо устранять вредоносные программы, уже проникшие на защищаемые компьютеры. Видимо создатели Профилей предполагают, что те же антивирусы должны знать все, пытающееся проникнуть, а это нереально.
В САВЗ должны быть реализованы следующие функции безопасности (список немного сокращен):
- разграничение доступа к управлению САВЗ;
- управление установкой обновлений (актуализации) базы данных признаков вредоносных компьютерных программ (вирусов) (БД ПКВ) САВЗ;
- аудит безопасности САВЗ;
- выполнение проверок объектов воздействия;
- обработка объектов воздействия.
Судя по списку предполагается, что САВЗ состоит только из чистого антивируса. Никаких ограничений прав, контроля за исполняемыми процессами нет в принципе в качестве средства защиты не предполагается. То есть защиты от неизвестных антивирусу угроз нет. Грустно.
В среде, в которой САВЗ функционирует, должны быть реализованы следующие функции безопасности среды:
- обеспечение доверенной связи (маршрута) между САВЗ и пользователями;
- обеспечение доверенного канала получения обновлений САВЗ;
- обеспечение условий безопасного функционирования;
- управление атрибутами безопасности.
Достаточно важный список, требующий наличия канала обновлений и самозащиты. К сожалению возможность автоматического получения обновлений в закрытых сетях проблематична и/или не предусматривается при их создании.
Антивирусная защита – защита информации и компонентов информационной системы (ИС) от вредоносных компьютерных программ (вирусов) (обнаружение вредоносных компьютерных программ (вирусов), блокирование, изолирование «зараженных» объектов, удаление вредоносных компьютерных программ (вирусов) из «зараженных» объектов).
И еще одна грубейшая ошибка. Решив перечислить все возможные действия антивирусной программы создатели профилей загнали себя в ловушку. Список полный — не допускает расширения, но если его прочитать, то видно, что операции удаления вредоносной программы в нем нет! А значит работа антивируса с (например) троянами не предусматривается!
Средство антивирусной защиты – программное средство, реализующее функции обнаружения компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирования на обнаружение этих программ и информации.
Если антивирус сможет только посылать уведомления — это будет достаточно для того, что бы данный функционал подошел под требование «реагирование»?
Средства антивирусной защиты, соответствующие настоящему ПЗ, должны обеспечивать:
- выполнение проверки с целью обнаружения зараженных КВ объектов в файловых областях носителей информации;
Что есть выполнение проверки? Файловый монитор? Антивирусный сканер? Утилита разбора файлов вручную?
Что есть файловые области? Файловая система включает не только файлы, но и скажем (для NTFS) стримы — там тоже могут прятаться вирусы. А поверка служебных областей, MBR и тд?
- возможность выполнения проверок с целью обнаружения зараженных КВ объектов по команде;
Ну это антивирусный сканер.
- выполнение проверки с целью обнаружения зараженных КВ объектов сигнатурными методами;
То есть только известных вирусов. Никаких полиморфных вредоносных объектов. Никаких несигнатурных методов. Без комментариев.
- получение и установка обновлений БД ПКВ без применения средств автоматизации;
Актуально для внутренней сети. Действительно нужно, но странно выглядит на фоне требования доверенного канала до серверов обновления.
- генерация записи аудита для событий, подвергаемых аудиту;
- возможность чтения информации из записей аудита;
- ограничение доступа к чтению записей аудита;
- поиск, сортировку, упорядочение данных аудита;
Лично мое мнение, что не дело это для отдельно стоящей машины. Такие вещи нужно выполнять средством централизованного управления. Ну да ладно.
- возможность уполномоченным пользователям (ролям) управлять режимом выполнения функций безопасности САВЗ;
- возможность уполномоченным пользователям (ролям) управлять параметрами настройки функций безопасности САВЗ;
- поддержку определенных ролей для САВЗ и их ассоциации с конкретными администраторами безопасности и пользователями ИС.
Для краткости не будем рассматривать требования, относящиеся к логированию, защите от изменений настроек, возможности разграничения доступа и тд. Остановимся только на функционале, непосредственно обеспечивающем защиту.
3.2. Угрозы безопасности информации
3.2.1. Угрозы, которым должен противостоять объект оценки
Угроза-1
1. Аннотация угрозы – внедрение КВ в автоматизированные рабочие места ИС при осуществлении информационного взаимодействия с внешними информационно-телекоммуникационными сетями, в том числе сетями международного информационного обмена (сетями связи общего пользования).
Угроза-2
1. Аннотация угрозы – внедрение КВ в автоматизированные рабочие места ИС со съемных машинных носителей информации.
Список угроз очень краткий. Например не рассматривается угроза атаки (распространения вирусов) по локальной сети.
3.3. Политика безопасности организации
Объект оценки должен следовать приведенным ниже правилам политики безопасности организации.
Политика безопасности-1
Должны быть обеспечены надлежащие механизмы регистрации и предупреждения о любых событиях, относящихся к возможным нарушениям безопасности. Механизмы регистрации должны предоставлять уполномоченным на это субъектам ИС возможность выборочного ознакомления с информацией о произошедших событиях.
Политика безопасности-5
Объект оценки должен обеспечивать выполнение проверок с целью обнаружения зараженных КВ объектов в заданных областях памяти и файлах.
То есть все же антивирус видимо должен выполнять только периодические проверки или проверки по запросу. Проверка различного типа служебных областей не предусмотрена.
Политика безопасности-6
Объект оценки должен обеспечивать возможность установки режимов выполнения проверок с целью обнаружения зараженных КВ объектов.
Политика безопасности-7
Объект оценки должен обеспечивать возможность удаления (если удаление технически возможно) кода КВ из зараженных объектов.
А если невозможно? Ну и просто удаления вредоносной программы не предусматривается.
4.1. Цели безопасности для объекта оценки
Раздел почти дословно повторяет рассмотренный выше.
Цель безопасности-5. Выполнение проверок объектов
Объект оценки должен обеспечивать выполнение проверок с целью обнаружения зараженных КВ объектов.
Цель безопасности-6. Режимы выполнения проверок
Объект оценки должен обеспечивать возможность установки режимов выполнения проверок с целью обнаружения зараженных КВ объектов.
Цель безопасности-7. Обработка зараженных объектов
Объект оценки должен обеспечивать возможность удаления (если удаление технически возможно) кода КВ из зараженных объектов.
Дальше по документу идут описания функционала с зависимостями (если они имеются). По сути еще раз повторяется написанное ранее.
5.1.1. Функциональные требования безопасности ОО
5.1.1.3. Проверки объектов заражения (FAV_DET_EXT)
FAV_DET_EXT.1 Базовое обнаружение КВ
FAV_DET_EXT.1.1 ФБО должны выполнять проверки с целью обнаружения КВ в файловых областях носителей информации, [назначение: другие объекты].
Зависимости отсутствуют.
5.1.1.4. Методы проверок объектов заражения (FAV_MTH_EXT)
FAV_MTH_EXT.1 Методы анализа
FAV_MTH_EXT.1.1 ФБО должны выполнять проверки с целью обнаружения КВ в объектах с использованием сигнатурных методов, [назначение: другие методы].
FAV_MTH_EXT.2 Выполнение проверок
FAV_MTH_EXT.2.1 ФБО должны выполнять проверки с целью обнаружения зараженных КВ объектов по команде [назначение: уполномоченные роли] [назначение: другие режимы выполнения проверок].
5.1.1.5. Обработка объектов, подвергшихся воздействию (FAV_ACT_EXT)
FAV_ACT_EXT.1 Удаление КВ
FAV_ACT_EXT.1.1 При обнаружении КВ функции безопасности САВЗ должны выполнять удаление КВ из файлов, системных областей носителей информации [назначение: другие объекты].
Странно. Раньше о системных областях речи не шло. Зато пропало требование о проверке памяти.
5.1.1.6. Обновление БД ПКВ (FAV_UPD_EXT)
FAV_UPD_EXT.1 Обновление БД ПКВ
FAV_UPD_EXT.1.1 ФБО должны обеспечивать получение и установку обновлений БД ПКВ локально без применения средств автоматизации и [назначение: другие режимы выполнения обновлений].
Все! Как мы видим в качестве антивируса нам предлагают использовать антивирусный сканер конца прошлого века — без возможности обнаружения например полиморфных вирусов.
Подведем итог:
- Созданная в соответствии с требованиями профилей система защиты 4го класса не способна противостоять неизвестным угрозам. Скажем пока не дошедшим до аналитиков вредоносным программам;
- Созданная в соответствии с требованиями Профилей система защиты не способна противостоять заражению каким-либо способом;
- Созданная в соответствии с требованиями Профилей система защиты не способна удалить пропущенные, ранее неизвестные вредоносные программы;
- Список угроз, на которые должна реагировать система защиты, не включает многие известные угрозы;
- Система защиты не предусматривает удаления из зараженной системы вредоносных программ, не имеющих механизма заражения — например троянов.
Фактически ИТ.САВЗ.В4.ПЗ/ ИТ.САВЗ.Г4.ПЗ описывают достаточно простой антивирусный сканер. При этом совершенно непонятно, как в случае ИТ.САВЗ.В4.ПЗ противостоять как заражению при работе в Интернет, так и при работе с флешками — постоянной антивирусной защиты не предусматривается.
Напомним, что 4й класс защиты это ИСПДн 1 класса. Что говорится — без комментариев. Единственный плюс в том, что если кому необходимо использовать сертифицированное средство защиты, но полная антивирусная защита на самом деле не требуется или она невозможна, то можно реализовать защиту в соответствии с этим профилем.
Если интересно, то в следующей статье можно рассмотреть, какими же требованиями заполнен типичный профиль защиты (для ИТ.САВЗ.В4.ПЗ/ ИТ.САВЗ.Г4.ПЗ размер документа составляет порядка 48 страниц).
Комментарии (4)
RubyRoid07
15.07.2015 03:04Спасибо за столь развёрнутый ответ! Было очень интересно!
teecat Автор
15.07.2015 09:45Всегда с удовольствием!
На самом деле в реальности все всегда интереснее и круче мифов и теорий заговоров.
RubyRoid07
Скажите, под какой профиль подойдёт антивирус Бабушкина?
teecat Автор
Хороший вопрос!
Скорее всего этот антивирус не пройдет по всяким требованиям аудита и процедурным вопросам. Поэтому посмотрим только на антивирусные свойства:
1. Разницы по требованиям к антивирусному функционалу между 6м, 5м и 4м классами защиты нет вообще — поэтому подаваться можно на любой.
2. Пройдемся по функционалу:
— выполнение проверки с целью обнаружения зараженных КВ объектов в файловых областях носителей информации. Простейший перебор файлов. На что и как они проверяются — не оговаривается
— возможность выполнения проверок с целью обнаружения зараженных КВ объектов по команде. Запустить сканер из крона? Да легко!
— выполнение проверки с целью обнаружения зараженных КВ объектов сигнатурными методами. Качество проверки не оговаривается (кстати на данный момент мне известен всего один РД, регламентирующий этот момент, да и тот по слухам таки не вступил в силу). Соответственно сравниваем с сигнатурой Еикара и радуемся
— получение и установка обновлений БД ПКВ без применения средств автоматизации. Вручную подкладываем новые базы.
Так что сделать «антивирус», соответствующий взглядам регулирующих органов на антивирусную защиту может любой школьник. Сертифицировать пожалуй нет — денег не хватит