Мониторинг срока действия сертификатов в Windows на NetXMS / Хабр

Введение

Технологии стремительно развиваются с каждым годом: появляются новые способы обработки и хранения данных, процессы переходят на «цифру», разрабатываются новые системы. Параллельно им прогрессируют и способы несанкционированного доступа. Поэтому важной и нужной мерой представляется, в частности, совершенствование регулирования в сфере защиты информации.

В реестре операторов персональных данных Роскомнадзора имеется уже 404 тысячи записей, в реестре федеральных государственных информационных систем Минкомсвязи России — 341 система, по предварительным расчётам ФСТЭК России в стране — 25 тысяч объектов критической информационной инфраструктуры.

После утверждения профилей защиты для продуктов и решений такого рода далеко не все из них были проверены по новым требованиям: в частности, по шести классам защищённости нет ни одного сертифицированного средства защиты информации. Сильно изменились требования к производителям и их разработкам.

В обзоре рассматриваются межсетевые экраны и системы обнаружения вторжений, имеющие действующий сертификат ФСТЭК России, которые допустимо использовать для защиты объектов информатизации по состоянию на февраль 2020 года.

Выбрать подходящий и соответствующий требованиям регулятора продукт для корпоративной сети — проблемная задача для большинства организаций. В обзоре представлены последние изменения требований к этим видам средств защиты, а также приведён перечень из реестра с краткими описаниями решений.

«дионис nx»

Производитель: «ФАКТОР-ТС».

Название в реестре ФСТЭК: программно-аппаратный комплекс «Dionis-NX» с установленным программным обеспечением версий 1.2-6 Hand, 1.2-7 Hand, 1.2-8 Hand UTM и 1.2-12 Hand UTM.

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А2.ПЗ — тип «А», второй класс защиты), Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С2.ПЗ — уровень сети, второй класс защиты).

Схема сертификации: серия; с установленным программным обеспечением версий 1.2-6 Hand, 1.2-7 Hand, 1.2-8 Hand UTM и 1.2-12 Hand UTM.

Сертификат ФСТЭК: № 3530 от 20.02.2021, действует до 20.02.2024.

«с-терра сов 4.2»

Производитель: «С-Терра СиЭсПи».

Название в реестре ФСТЭК: программный комплекс «С-Терра СОВ». Версия 4.2.

Соответствует требованиям документов: Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия; версия 4.2.

Сертификат ФСТЭК: № 4055 от 24.12.2021, действует до 24.12.2023.

«с-терра шлюз 4.2»

Производитель: «С-Терра СиЭсПи».

Название в реестре ФСТЭК: программно-аппаратный комплекс «С-Терра Шлюз». Версия 4.2.

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты; ИТ.МЭ.Б4.ПЗ — тип «Б», четвёртый класс защиты).

Схема сертификации: серия; версия 4.2.

Сертификат ФСТЭК: № 4058 от 27.12.2021, действует до 27.12.2023; № 3998 от 16.08.2021, действует до 16.08.2023.

Check point ngfw

Производитель: Check Point Software Technologies.

Название в реестре ФСТЭК: программный комплекс «Шлюз безопасности Check Point Security Gateway версии R77.30».

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.Б4.ПЗ — тип «Б», четвёртый класс защиты), Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 4208 от 28.01.2020, действует до 28.01.2025.

Реестр российских программ Минкомсвязи: не включён.

Diamond vpn/fw

Производитель: ТСС.

Название в реестре ФСТЭК: многофункциональный комплекс сетевой защиты «Diamond VPN/FW».

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты; ИТ.МЭ.Б4.ПЗ — тип «Б», четвёртый класс защиты; ИТ.МЭ.В4.ПЗ — тип «В», четвёртый класс защиты), Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 4066 от 24.01.2021, действует до 24.01.2024.

Fortigate

Производитель: Fortinet.

Название в реестре ФСТЭК: программно-аппаратный комплекс «FortiGate», функционирующий под управлением операционной системы FortiOS 5.X.

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты; ИТ.МЭ.Б4.ПЗ — тип «Б», четвёртый класс защиты), Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия, под управлением операционной системы FortiOS 6.X.

Сертификат ФСТЭК: № 4222 от 11.02.2020, действует до 11.02.2025.

Реестр российских программ Минкомсвязи: не включён.

Kaspersky industrial cybersecurity

Производитель: «Лаборатория Касперского».

Название в реестре ФСТЭК: программное изделие «Kaspersky Industrial CyberSecurity for Networks».

Соответствует требованиям документов: Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты), ЗБ.

Схема сертификации: серия.

Сертификат ФСТЭК: № 4027 от 25.10.2021, действует до 25.10.2023.

Numa edge

Производитель: «Нума Технологии».

Название в реестре ФСТЭК: программно-аппаратный комплекс Numa Edge.

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты; ИТ.МЭ.Б4.ПЗ — тип «Б», четвёртый класс защиты), ЗБ.

Схема сертификации: серия.

Сертификат ФСТЭК: № 4199 от 26.12.2021, действует до 26.12.2024.

Реестр российских программ Минкомсвязи: не включён.

Pt network attack discovery

Производитель: Positive Technologies.

Название в реестре ФСТЭК: программное изделие «Система обнаружения и предотвращения вторжений Positive Technologies Network Attack Discovery».

Соответствует требованиям документов: Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 4042 от 30.11.2021, действует до 30.11.2023.

Traffic inspector next generation

Производитель: «Смарт-Софт».

Название в реестре ФСТЭК: программно-аппаратный комплекс «Traffic Inspector Next Generation».

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты; ИТ.МЭ.Б4.ПЗ — тип «Б», четвёртый класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 3834 от 04.12.2021, действует до 04.12.2020.

Vipnet ids 2

Производитель: «ИнфоТеКС».

Название в реестре ФСТЭК: программно-аппаратный комплекс ViPNet IDS 2 (версия 2.4).

Соответствует требованиям документов: Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия; версия 2.4.

Сертификат ФСТЭК: № 3804 от 10.10.2021, действует до 10.10.2020.

Vipnet xfirewall 4

Производитель: «ИнфоТеКС».

Название в реестре ФСТЭК: программно-аппаратный комплекс ViPNet xFirewall 4.

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты; ИТ.МЭ.Б4.ПЗ — тип «Б», четвёртый класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 4093 от 13.02.2021, действует до 13.02.2024.

Анализ рынка сертифицированных межсетевых экранов и систем обнаружения вторжений

Вслед за утверждением профилей защиты уже появилось заметное количество решений, сертифицированных по новым требованиям. Однако по некоторым классам продукты отсутствуют или имеют истёкший срок действия сертификата. Для межсетевых экранов это — ИТ.МЭ.А3.ПЗ, ИТ.МЭ.Б1.ПЗ, ИТ.МЭ.Б2.ПЗ, ИТ.МЭ.Б3.ПЗ, ИТ.МЭ.Б5.ПЗ; для систем обнаружения вторжений — ИТ.СОВ.С1.ПЗ и ИТ.СОВ.С6.ПЗ.

По соответствию уровням доверия (состояние — на февраль 2020 года) не сертифицирован ни один продукт, поэтому для обзора выбраны средства защиты из реестра ФСТЭК России. Разработки с недействительными сертификатами или без информации на сайтах производителей не рассматривались.

 Таблица 4. Межсетевые экраны типа «А» с сертификатом ФСТЭК России

Апкш «континент»

Производитель: «Код Безопасности».

Название в реестре ФСТЭК: аппаратно-программный комплекс шифрования «Континент». Версия 3.9.

Соответствует требованиям документов: Требования к средствам обеспечения безопасности информационных технологий по 3 уровню доверия, а также требования к межсетевому экрану типа А 3 класса защиты и требованиям к системам обнаружения вторжений уровня сети 3 класса защиты.

Схема сертификации: серия; версия 3.9.

Сертификат ФСТЭК: № 4145 от 17.07.2021, действует до 17.07.2024.

Аппаратно-программный комплекс «vpn/fw «застава-150»

Производитель: «ЭЛВИС-ПЛЮС».

Название в реестре ФСТЭК: аппаратно-программный комплекс «VPN/FW «ЗАСТАВА-150».

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 4125 от 14.05.2021, действует до 14.05.2024.

Аппаратно-программный комплекс обнаружения компьютерных атак «аргус»

Производитель: «Центр Специальной Системотехники».

Название в реестре ФСТЭК: система обнаружения компьютерных атак «Аргус», версия 1.6.

Соответствует требованиям документов: Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия; версия 1.6.

Сертификат ФСТЭК: № 4048 от 19.12.2021, действует до 19.12.2023.

Реестр российских программ Минкомсвязи: не включён.

Аппаратные межсетевые экраны и шлюзы безопасности huawei

Производитель: Huawei Technologies.

Название в реестре ФСТЭК:

1. Аппаратные межсетевые экраны и шлюзы безопасности Huawei (модель Eudemon 8000E-X3) версии V500.
2. Межсетевой экран серии Huawei (модели: USG6320 (Eudemon200E-N1D), USG6330 (Eudemon200E-N1), USG6350 (Eudemon200E-N2), USG6360, USG6370 (Eudemon200E-N3), USG6380, USG6390 (Eudemon200E-N5), USG6620 (Eudemon1000E-N3), USG6630 (Eudemon1000E-N5), USG6650, USG6660 (Eudemon1000E-N6), USG6670 Eudemon1000E-N7), USG6680 (Eudemon1000E-N7E), USG9560 (Eudemon8000E-X8), USG9580 (Eudemon8000E-X16)) версии V500.

Соответствует требованиям документов:

1. Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А6.ПЗ — тип «А», шестой класс защиты; ИТ.МЭ.Б6.ПЗ — тип «Б», шестой класс защиты).
2. Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты; ИТ.МЭ.Б4.ПЗ — тип «Б», четвёртый класс защиты).

Схема сертификации:

1. Серия, модель Eudemon 8000E-X3 версии V500.
2. Серия, модели: USG6320 (Eudemon200E-N1D), USG6330 (Eudemon200E-N1), USG6350 (Eudemon200E-N2), USG6360, USG6370 (Eudemon200E-N3), USG6380, USG6390 (Eudemon200E-N5), USG6620 (Eudemon1000E-N3), USG6630 (Eudemon1000E-N5), USG6650, USG6660 (Eudemon1000E-N6), USG6670 Eudemon1000E-N7), USG6680 (Eudemon1000E-N7E), USG9560 (Eudemon8000E-X8), USG9580 (Eudemon8000E-X16) версии V500.

Сертификат ФСТЭК:

1. № 3909 от 05.04.2021, действует до 05.04.2021.
2. № 4083 от 04.02.2021, действует до 04.02.2024.

Реестр российских программ Минкомсвязи: не включён.

Информация на сайте производителя:    

Изменения в системе сертификации средств защиты информации, уровни доверия

Средства защиты информации (СЗИ) содержат программный код, в котором могут присутствовать компоненты, позволяющие провести успешную атаку на охраняемые объекты. Не указанные в документации или описанные с искажениями функциональные возможности, использование которых приводит к нарушению информационной безопасности, называются недекларированными.

• «Положение о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27  октября 1995 г. № 199);
• руководящий документ «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (утверждён приказом Гостехкомиссии России от 4 июня 1999 г. № 114).

В 2021 и 2021 годах появились новые документы:

• «Положение о системе сертификации средств защиты информации» (утверждено приказом ФСТЭК России от 3 апреля 2021 г. № 55, вступило в силу 1 августа 2021 г.);
• «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (утверждены приказом ФСТЭК России от 30 июля 2021 г. № 131, вступили в силу 1 августа 2021 г., применяются при проведении сертификационных испытаний с 1 мая 2021 г.);
• «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении» (утверждена ФСТЭК России 11 февраля 2021 г., применяется при проведении сертификационных испытаний с 1 мая 2021 г.).

Перечислим основные изменения:

• Увеличение срока действия сертификата соответствия до 5 лет.
• Возможность применения средств защиты информации по окончании срока  действия сертификата.
• Детализация процедур сертификации и установление сроков их осуществления.
• Определение порядка, согласно которому в сертифицированные СЗИ вносятся изменения.
• Повышение требований, предъявляемых к заявителю на сертификацию и к изготовителю СЗИ.
• Уточнение схем сертификации, введение процедуры проверки технической  поддержки.
• Установление критериев, на основании которых можно отказать в принятии решения о проведении сертификации, приостановить и прекратить действие сертификатов.
• Возможность контроля за проведением сертификации.

Требования к изготовителю средств защиты информации

Производители должны обладать соответствующим разрешением ФСТЭК России в зависимости от того, какого рода данные они собираются охранять: лицензией на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, или на деятельность по разработке и производству средств защиты конфиденциальной информации.

Требования доверия

С 1 мая 2021 года подаются только заявки на сертификацию средств защиты информации по «Требованиям к уровням доверия». Если процесс проверки был запущен до этой даты, то можно завершить сертификацию на соответствие старому руководящему документу по уровню контроля недекларированных возможностей.

Критерии оценки СЗИ и профили защиты не затрагивают уровни доверия и применяются только в части общих предписаний, а также требований к функциям безопасности.

«Требования к уровням доверия» предъявляются к программным и программно-аппаратным средствам технической защиты информации, средствам обеспечения безопасности информационных технологий, включая защищённые СЗИ. Они представляют собой обязательную часть технического регулирования продукции, работ и услуг по защите сведений, составляющих государственную тайну или относящихся к иной информации ограниченного доступа (в том числе — охраняемой в соответствии с российским законодательством).

Таблица 1. Соответствие между уровнями доверия и системами различных типов

*включая информационные системы общего пользования II класса

Согласно сообщению ФСТЭК России от 29 марта 2021 г. № 240/24/1525, действующие сертификаты нужно пересмотреть до 1 января 2020 г., и в результате в них появится информация о соответствии «Требованиям к уровням доверия».  По состоянию на февраль 2020 года эти указания ещё не выполнены. Пока средства защиты находятся в реестре, применять их допустимо, но ФСТЭК России исключит их при необходимости.

Принятие новых требований повышает остроту вопроса о конкуренции на российском рынке программных средств защиты информации. Не каждый продукт отечественного производителя сразу пройдёт сертификацию по обновлённым критериям, не говоря уже о зарубежных решениях. Возможно, что скоро в этом сегменте в России вообще не останется иностранных разработок.

Маршрутизатор доступа «гарда 10g»

Производитель: «Институт Сетевых Технологий».

Название в реестре ФСТЭК: аппаратно-программный комплекс «Маршрутизатор доступа».

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А2.ПЗ — тип «А», второй класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 3886 от 15.02.2021, действует до 15.02.2021.

Реестр российских программ Минкомсвязи: не включён.

Маршрутизаторы esr

Производитель: Предприятие «ЭЛТЕКС».

Название в реестре ФСТЭК: маршрутизатор ESR-1000 с программным обеспечением esr-1000-1.0.7-ST; маршрутизатор ESR-100 с программным обеспечением esr-100-1.0.7-ST; маршрутизатор ESR-200 с программным обеспечением esr-200-1.0.7-ST.

Соответствует требованиям документов: Профиль защиты МЭ (ИТ.МЭ.А5.ПЗ — тип «А», пятый класс защиты).

Схема сертификации: серия; с программным обеспечением esr-1000-1.0.7-ST, с программным обеспечением esr-100-1.0.7-ST, с программным обеспечением esr-200-1.0.7-ST.

Сертификат ФСТЭК: № 3778 от 10.08.2021, действует до 10.08.2020; № 3788 от 10.08.2021, действует до 10.08.2020; № 3789 от 10.08.2021, действует до 10.08.2020.

Межсетевые экраны нового поколения cisco asa серии 5500-x

Производитель: Cisco.

Название в реестре ФСТЭК: межсетевой экран серии Cisco ASA 5500-X (модели: ASA 5506-X, ASA 5508-X, ASA 5516-X) с установленным программным обеспечением Cisco ASA версии 9.х.

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А6.ПЗ — тип «А», шестой класс защиты; ИТ.МЭ.Б6.ПЗ — тип «Б», шестой класс защиты).

Схема сертификации: серия, модели: ASA 5506-X, ASA 5508-X, ASA 5516-X с установленным программным обеспечением Cisco ASA версии 9.х.

Сертификат ФСТЭК: № 3973 от 25.07.2021, действует до 25.07.2021.

Реестр российских программ Минкомсвязи: не включён.

Многофункциональное устройство обеспечения безопасности cisco 5500-x с сервисами firepower

Производитель: Cisco.

Название в реестре ФСТЭК: система обнаружения вторжений Cisco ASA FirePOWER версии 6.2, реализованная адаптивным устройством безопасности серии Cisco ASA 5500-X (модели: ASA 5506-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X SSP10FP10).

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты).

Схема сертификации: серия, версия 6.2.

Сертификат ФСТЭК: № 3904 от 19.03.2021, действует до 19.03.2021.

Реестр российских программ Минкомсвязи: не включён.

Мониторинг срока действия сертификатов в windows на netxms

ExternalParameter = HTTPS.CertificateExpireDateSimple: powershell.exe -File "\servershareNetXMS_CertExpireDateSimple.ps1"

#
# NetXMS agent configuration file
# Created by agent installer at Thu Jun 13 11:24:43 2021
#
 
MasterServers = netxms.corp.testcompany.ru
ConfigIncludeDir = C:NetXMSetcnxagentd.conf.d
LogFile = {syslog}
FileStore = C:NetXMSvar
SubAgent = ecs.nsm
SubAgent = filemgr.nsm
SubAgent = ping.nsm
SubAgent = logwatch.nsm
SubAgent = portcheck.nsm
SubAgent = winperf.nsm
SubAgent = wmi.nsm
 
ExternalParameter = HTTPS.CertificateExpireDateSimple: powershell.exe -File "\servershareNetXMS_CertExpireDateSimple.ps1"

try {
    # Получаем все сертификаты из хранилища сертификатов
    $lmCertificates = @( Get-ChildItem -Recurse -path 'Cert:LocalMachineMy' -ErrorAction Stop )
     
    # Если сертификатов нет, вернуть "10 лет"
    if ($lmCertificates.Count -eq 0) { return 3650 }
 
    # Получаем Expiration Date всех сертификатов
    $expirationDates = @( $lmCertificates | ForEach-Object { return $_.NotAfter } )
 
    # Получаем наиболее близкий Expiration Date из всех
    $minExpirationDate = ($expirationDates | Measure-Object -Minimum -ErrorAction Stop ).Minimum
 
    # Конвертируем наиболее близкий Expiration Date в количество оставшихся дней с округлением в меньшую сторону
    $daysLeft = [Math]::Floor( ($minExpirationDate - [DateTime]::Now).TotalDays )
 
    # Возвращаем значение
    return $daysLeft
}
catch {
    return -1
}

ExternalList = HTTPS.CertificateNames: powershell.exe -File "\servershareNetXMS_CertNames.ps1"
ExternalParameter = HTTPS.CertificateExpireDate(*): powershell.exe -File "\servershareNetXMS_CertExpireDate.ps1" -CertificateId "$1"

#Список возможных имен сертификатов
$nameTypeList = @(
        [System.Security.Cryptography.X509Certificates.X509NameType]::SimpleName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::DnsName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::DnsFromAlternativeName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::UrlName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::EmailName,
        [System.Security.Cryptography.X509Certificates.X509NameType]::UpnName
)
 
#Ищем все сертификаты, имеющие закрытый ключ
$certList = @( Get-ChildItem -Path 'Cert:LocalMachineMy' | Where-Object { $_.HasPrivateKey -eq $true } )
 
#Проходим по списку сертификатов, формируем строку "Имя сертификата - Дата - Thumbprint" и возвращаем её
foreach ($cert in $certList) {
    $name = '(unknown name)'
    try {
        $thumbprint = $cert.Thumbprint
        $dateExpire = $cert.NotAfter
        foreach ($nameType in $nameTypeList) {
            $name_temp = $cert.GetNameInfo( $nameType, $false)
            if ($name_temp -ne $null -and $name_temp -ne '') {
                $name = $name_temp;
                break;
            }
        }
        Write-Output "$($name) - $($dateExpire.ToString('dd.MM.yyyy')) - [T:$($thumbprint)]"
    }
    catch {
        Write-Error -Message "Error processing certificate list: $($_.Exception.Message)"
    }
}

#Определяем входящий параметр $CertificateId
param (
    [Parameter(Mandatory=$false)]
    [String]$CertificateId
)
 
#Проверка на существование
if ($CertificateId -eq $null) {
    Write-Error -Message "CertificateID parameter is required!"
    return
}
 
#По Thumbprint из строки в $CertificateId ищем сертификат и определяем его Expiration Date 
$certId = $CertificateId;
try {
    if ($certId -match '^.*[T:(?<Thumbprint>[A-Z0-9] )]$') {
        $thumbprint = $Matches['Thumbprint']
        $certificatePath = "Cert:LocalMachineMy$($thumbprint)"
         
        if (Test-Path -PathType Leaf -Path $certificatePath ) {
            $certificate = Get-Item -Path $certificatePath;
            $certificateExpirationDate = $certificate.NotAfter
            $certificateDayToLive = [Math]::Floor( ($certificateExpirationDate - [DateTime]::Now).TotalDays )
            Write-Output "$($certificateDayToLive)";
        }
        else {
            Write-Error -Message "No certificate matching this thumbprint found on this server $($certId)"
        }
    }
    else {
        Write-Error -Message "CertificateID provided in wrong format. Must be FriendlyName [T:<thumbprint>]"
    }
}
catch {
    Write-Error -Message "Error while executing script: $($_.Exception.Message)"
}

instance = $1;
 if (instance ~= "^(.*)s-s[T:[a-zA-Z0-9] ]$")
 {
 return %(true, instance, $1);
 }
 return true;

Обзор сертифицированных межсетевых экранов и систем обнаружения вторжений

Всякий производитель старается выделить свой продукт, поэтому в обзоре каждая позиция отображена структурированно, по пунктам:

• название в реестре ФСТЭК России (не всегда совпадает с текущим названием продукта),
• соответствие требованиям документов (при выборе решения важно понимать, какой класс защиты СОВ или МЭ необходим; таблицы соответствия размещены в разделе с описанием требований регуляторов),
• схема сертификации (производители любят рекламировать наличие сертификата у их продукции, но важно знать, какая именно версия имеет соответствующий документ; также распространены ситуации, когда сертифицируется не всё оборудование серии, а только конкретная партия под проект),
• действующий сертификат ФСТЭК России (можно использовать продукт с истёкшим сроком действия сертификата, но не стоит рассчитывать, что он надолго задержится в реестре),
• наличие в реестре российских программ (даёт госзаказчику право закупать СЗИ без дополнительных обоснований необходимости их приобретения),
• информация на сайте производителя (наиболее подробный и актуальный источник сведений).

Программно-аппаратный комплекс «рубикон»

Производитель: Научно-производственное объединение «Эшелон».

Название в реестре ФСТЭК: межсетевой экран и система обнаружения вторжений «Рубикон».

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А2.ПЗ — тип «А», второй класс защиты), Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С2.ПЗ — уровень сети, второй класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 2574 от 17.02.2021, действует до 17.02.2021.

Программно-аппаратный комплекс «рубикон-к»

Производитель: Научно-производственное объединение «Эшелон».

Название в реестре ФСТЭК: межсетевой экран и система обнаружения вторжений «Рубикон-К».

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А2.ПЗ — тип «А», второй класс защиты; ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты; ИТ.МЭ.Б4.ПЗ — тип «Б», четвёртый класс защиты), Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 3290 от 04.12.2021, действует до 04.12.2020.

Программный комплекс «аркан»

Производитель: «АСП ЛАБС».

Название в реестре ФСТЭК: программный комплекс «Аркан».

Соответствует требованиям документов: Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.Д4.ПЗ — тип «Д», четвёртый класс защиты), Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 3976 от 27.07.2021, действует до 27.07.2021.

Реестр российских программ Минкомсвязи: не включён.

Программный комплекс обнаружения вторжений «ребус-сов»

Производитель: Научно-исследовательский институт «Центрпрограммсистем».

Название в реестре ФСТЭК: программный комплекс обнаружения вторжений «Ребус-СОВ».

Соответствует требованиям документов: Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С2.ПЗ — уровень сети, второй класс защиты; ИТ.СОВ.У2.ПЗ — уровень узла, второй класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 3856 от 28.12.2021, действует до 28.12.2020.

Сертифицированные межсетевые экраны и системы обнаружения вторжений зарубежного производства

Агентство Reuters в 2021 году опубликовало статью о том, что российские спецслужбы изучают исходные коды программ, которые используются правительством США. Последнее предполагает, что это делается для разведки и применения найденных уязвимостей.

Российские разработки, в свою очередь, выводятся с американского рынка. Например, в 2021 году власти США ввели официальный запрет на использование продуктов «Лаборатории Касперского»,посчитав, что эти решения представляют угрозу безопасности страны и могут использоваться российскими властями для доступа к правительственным документам США.

Эти события и с каждым годом усиливаемые требования регуляторов делают российский рынок малопривлекательным для зарубежных производителей — как минимум в части государственных и других критически важных информационных систем, для которых защита при помощи сертифицированного оборудования обязательна.

Сертифицированные межсетевые экраны и системы обнаружения вторжений российского производства

Кроме требований к самому средству защиты информации, которые предъявляются при сертификации и ограничивают присутствие зарубежных производителей на российском рынке информационной безопасности, существуют также и директивы по импортозамещению для государственных заказчиков.

С 2021 года в соответствии с постановлением Правительства РФ от 16 ноября 2021 года № 1236 такие заказчики обязаны закупать российское программное обеспечение во всех случаях, кроме тех, когда отечественные разработки с необходимыми функциональными, техническими или эксплуатационными характеристиками отсутствуют.

При этом соответствующую потребность нужно обосновать — в порядке, предусмотренном законом о контрактной системе в сфере государственных закупок. Российским признаётся ПО, сведения о котором внесены в единый реестр российских программ и баз данных. Это ещё больше ограничивает круг продуктов, которые используются при защите государственных систем.

Система обнаружения атак «форпост» версии 3.0

Производитель: «Российские наукоёмкие технологии» (РНТ).

Название в реестре ФСТЭК: система обнаружения компьютерных атак «Форпост», версия 3.0, исполнение 4.

Соответствует требованиям документов: Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия; версия 3.0, исполнение 4.

Сертификат ФСТЭК: № 3813 от 10.09.2021, действует до 10.09.2024.

Система обнаружения вторжений «кречет»

Производитель: Научно-производственное предприятие «Гамма».

Название в реестре ФСТЭК: программное средство системы обнаружения вторжений (СОВ) «Кречет».

Соответствует требованиям документов: Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 3911 от 06.04.2021, действует до 06.04.2021.

Реестр российских программ Минкомсвязи: не включён.

Требования к сертифицированным межсетевым экранам

Текущие требования к межсетевым экранам утверждены ФСТЭК России 12 сентября 2021 года.

Межсетевые экраны типа «А» применяются на физической границе (периметре) информационной системы или между физическими границами её сегментов; брандмауэры типа «Б» — на логической границе или между таковыми; типа «В» — на узле (хосте) информационной системы.

К типу «Г» относятся межсетевые экраны веб-приложений (Web Application Firewall, WAF), которые используются на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов; они могут иметь программное или программно-аппаратное исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от него.

Наконец, продукты типа «Д» — это межсетевые экраны уровня промышленной сети, которые применяются в автоматизированной системе управления технологическими или производственными процессами. Такое решение тоже может быть представлено в программном или программно-техническом исполнении и должно обеспечивать контроль и фильтрацию промышленных протоколов передачи данных.

В этом обзоре рассматриваются только межсетевые экраны типов «А» и «Б».

От класса защиты межсетевого экрана (6-й — самый низкий, 1-й — самый высокий) зависит уровень требований к СЗИ. 

Таблица 2. Соответствие между классами защиты межсетевых экранов и системами различных классов

Требования к сертифицированным системам обнаружения вторжений

Требования к системам обнаружения вторжений (СОВ) утверждены приказом ФСТЭК России № 638 от 6 декабря 2021 года. Профили защиты открыто опубликованы только для четвёртого, пятого и шестого классов защиты, потому что другие связаны с охраной государственной тайны.

Введено два типа систем обнаружения вторжений:

• Система уровня сети подключается к коммуникационному оборудованию (например, коммутатору) и контролирует сетевой трафик, наблюдая за несколькими сетевыми узлами.
• Система уровня узла устанавливается на отдельно взятое устройство и проводит анализ системных вызовов, журналов работы приложений и других источников.

В обзоре мы рассматриваем только СОВ уровня сети.

Так же, как и в случае межсетевых экранов, от класса защиты СОВ зависит уровень предъявляемых требований.

Таблица 3. Соответствие между классами СОВ и системами различных классов

Система защиты от угроз trend micro tippingpoint

Производитель: Trend Micro.

Название в реестре ФСТЭК: HP TippingPoint.

Соответствует требованиям документов: Требования к СОВ, Профили защиты СОВ (ИТ.СОВ.С4.ПЗ — уровень сети, четвёртый класс защиты).

Схема сертификации: серия.

Сертификат ФСТЭК: № 3232 от 12.09.2021, действует до 12.09.2020.

Реестр российских программ Минкомсвязи: не включён.

Выводы

В обзоре рассмотрены сертифицированные российские и зарубежные межсетевые экраны и системы обнаружения вторжений, которые применяются для защиты информационных систем на уровне сети. Также описаны нормативные требования к таким средствам защиты информации.

Поскольку проверка продуктов на уровень доверия ещё не окончена, стоит контролировать их наличие в реестре ФСТЭК России, потому что все позиции, не прошедшие такую проверку, могут быть исключены из него.