Сетевая модель OSI: как устроена и где применяется
Узнать большеДля защиты внутренних сетей компаний и конфиденциальной информации используются как базовые, так и более узконаправленные инструменты обеспечения безопасности. К первым относятся межсетевые экраны (файерволы, брандмауэры, МЭ) — программные или программно-аппаратные решения, анализирующие трафик и блокирующие подозрительные пакеты данных. Под такими инструментами подразумевают целый пласт продуктов, каждый из которых выполняет свои защитные функции. При выборе решения под конкретные задачи стоит опираться на типы межсетевых экранов и классы МЭ. О последних подробно расскажем в этой статье.
Сколько существует классов МЭ
Классы — часть классификации ФСТЭК России, диктующая уровень защиты данных. Тут действует простое правило — чем секретнее информация, тем выше должен быть класс МЭ.
Всего выделяют 6 классов МЭ. 1,2 и 3 применяются для защиты сведений, отнесенных к государственной тайне. 4,5,6 предназначены для систем, в которых обрабатываются иные конфиденциальные данные разного уровня защищенности. То есть именно они используются «простыми смертными», а именно — компаниями различного профиля.
Классы межсетевых экранов неразрывно связаны с типами МЭ. Вкратце напомним нюансы последних:
- А — ПАК (программно-аппаратные комплексы), используемые для защиты периметра сети.
- Б — ПАК и виртуальные МЭ, установленные на границах локальных сегментов сетей.
- В — виртуальные инструменты, используемые для защиты отдельных рабочих станций и расположенные в рамках одного узла ИТ-системы.
- Г — все варианты МЭ, используемые для анализа трафика, относящегося к веб-ресурсам и приложениям. Чаще всего представлены классом Web Application Firewall (WAF)
- Д — специализированные виртуальные решения и ПАК, ориентированные на работу с промышленными протоколами.
В большинстве организаций используются такие типы МЭ, как А, Б и В. Для них могут применяться все шесть классов решений, а для Г и Д — только четыре.
И тут возникает вопрос — какие комбинации классов межсетевых экранов и типов использовать (их вариации указаны на изображении ниже). Прямой зависимости между этими классификациями нет, поэтому следует ориентироваться на профили защиты, которых всего 24 (согласно ФСТЭК России). Под какой именно подпадает выбранный продукт, можно узнать у поставщика решения. Это очень важно, поскольку на основании профиля защиты определяются технические требования к межсетевому экрану.
Классы МЭ: особенности и условия применения
Обсудим классы решений не только с точки зрения сфер применения, но с позиции целесообразности, возможных сложностей в реализации.
6 класс
МЭ 6 класса — решения, к которым предъявляется меньше всего требований. Для каких целей они подойдут:
- Защита персональных данных 3 уровня защищенности (общедоступные сведения, предоставленные субъектами, к которым они относятся) и 4 уровня защищенности (персональная информация, которая не относится к специальным персональным данным, биометрическим характеристикам и общедоступным сведениям).
- Защита информационных государственных систем 3 и 4 степени защищенности, где не фигурируют особо секретные данные.
- Защита автоматизированных систем, в рамках которых происходит управление операциями, отнесенными к 3 уровню защищенности (с низкой степенью вероятного ущерба).
Такие МЭ не используются для обеспечения безопасности систем, где фигурирует секретная и особо секретная информация. Во-первых, это не эффективно и нецелесообразно, во-вторых, противоречит требованиям ФСТЭК России.
Для защиты компьютеров конкретных сотрудников, которые работают с данными 3 и 4 уровня защищенности, потребуется решение типа «В» 6 класса (В6). Если необходима защита границ сети, то выбирается инструмент типа «А» того же самого низкого класса (А6). Однако на практике многие компании предпочитают более серьезные профили защиты.
5 класс
Данный класс МЭ предназначен не только для общей защиты ИТ-инфраструктуры, но и для обеспечения безопасности ИСПДн, ГИС и АСУ ТП. Решения показывают высокую эффективность в отношении вышеперечисленных объектов 2 уровня защищенности. То есть межсетевые экраны 5 класса помогут обеспечить безопасность на периметре, несанкционированное вторжение в который приведет не к критичным, но ощутимым последствиям.
4 класс
МЭ 4 класса подходят для использования в ИСПДн, ГИС и АСУ ТП. Они обеспечивают 1 уровень защищенности, то есть помогают предотвратить серьезные угрозы безопасности, которые могут привести к критическим последствиям для организации (например, финансовым или репутационным потерям).
Именно 4 классы межсетевых экранов чаще всего используются организациями, в том числе и крупными. Такие решения оптимальны для компаний с точки зрения соотношения функциональности и стоимости.
3-1 классы
Это список классов МЭ, которые применяются в системах, где в том числе фигурируют данные, подпадающие под категорию государственной тайны. З класс подходит для работы со сведениями под грифом «секретно», 2 — «совершенно секретно» и 1 — «информация особой важности». Компаниям, которые не имеют дела с такими данными, нет смысла использовать дорогостоящие сертифицированные решения. Для обеспечения надежной защиты иных сведений вполне достаточно инструментов из вышеперечисленных классификаций.
Заключение
При выборе средств обеспечения безопасности стоит учитывать не только список классов МЭ, но и тип решения, поскольку именно на этих двух факторах базируются профили защиты. Отечественный продукт Solar NGFW проходит испытания на соответствие профилю защиты ИТ.МЭ.Б4.ПЗ, то есть способен защищать границы сетей на 4 уровне безопасности.
