Требования к 2 классу защищенности МЭ

(2.5.1.) Управление доступом

• МЭ должен обеспечивать фильтрацию на сетевом уровне.
• Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.
• МЭ должен обеспечивать:
  • фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
  • фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
  • фильтрацию с учетом любых значимых полей сетевых пакетов.
  • фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, по крайней мере, учитываются транспортные адреса отправителя и получателя;
  • фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по крайней мере, учитываются прикладные адреса отправителя и получателя;
  • фильтрацию с учетом даты/времени.

Дополнительно МЭ должен обеспечивать:

• возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети;
• возможность трансляции сетевых адресов.

(2.5.2.) Идентификация и аутентификация

МЭ должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.

(2.5.3.) Регистрация

• МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.
• МЭ должен обеспечивать:
  • регистрацию и учет запросов на установление виртуальных соединений;
  • локальную сигнализацию попыток нарушения правил фильтрации.
  • дистанционную сигнализацию попыток нарушения правил фильтрации;
  • регистрацию и учет запрашиваемых сервисов прикладного уровня;
  • программируемую реакцию на события в МЭ.

(2.5.4.) Администрирование: идентификация и аутентификация

• МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его запросах на доступ.
• МЭ должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю временного действия.
• МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась.
• При удаленных запросах на доступ администратора МЭ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.

(2.5.5.) Администрирование: регистрация

• МЭ должен обеспечивать регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузки и инициализации системы и ее программного останова. Регистрация выхода из системы не проводится в моменты аппаратурного отключения МЭ;
• В параметрах регистрации указываются:
  • дата, время и код регистрируемого события;
  • результат попытки осуществления регистрируемого события - успешная или неуспешная;
  • идентификатор администратора МЭ, предъявленный при попытке осуществления регистрируемого события.
  • МЭ должен обеспечивать регистрацию запуска программ и процессов (заданий, задач).
  • МЭ должен обеспечивать регистрацию действия администратора МЭ по изменению правил фильтрации.

(2.5.6.) Администрирование: простота использования

Многокомпонентный МЭ должен обеспечивать возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.

(2.5.7.) Целостность

МЭ должен содержать средства контроля за целостностью своей программной и информационной части по контрольным суммам как в процессе загрузки, так и динамически.

(2.5.8.) Восстановление

МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать оперативное восстановление свойств МЭ.

(2.5.9.) Тестирование

В МЭ должна обеспечиваться возможность регламентного тестирования:

• реализации правил фильтрации (см. п. 2.5.1);
• процесса идентификации и аутентификации (см. п. 2.5.2);
• процесса регистрации (см. п. 2.5.3);
• процесса идентификации и аутентификации администратора МЭ (см. п. 2.5.4);
• процесса регистрации действий администратора МЭ (см. п. 2.5.5);
• процесса контроля за целостностью программной и информационной части МЭ (см. п. 2.5.7);
• процедуры восстановления (см. п. 2.5.8).

(2.5.10.) Руководство администратора МЭ

Должно содержать:

• описание контролируемых функций МЭ;
• руководство по настройке и конфигурированию МЭ;
• описание старта МЭ и процедур проверки правильности старта;
• руководство по процедуре восстановления.

(2.5.11.) Тестовая документация

Должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п. 2.5.9), и результаты тестирования.

(2.5.12.) Конструкторская (проектная) документация

Должна содержать:

• общую схему МЭ;
• общее описание принципов работы МЭ;
• описание правил фильтрации;
• описание средств и процесса идентификации и аутентификации;
• описание средств и процесса регистрации;
• описание средств и процесса контроля за целостностью программной и информационной части МЭ;
• описание процедуры восстановления свойств МЭ.
• Документация должна содержать описание средств и процесса централизованного управления компонентами МЭ.

Ссылки

Порядок проведения сертификации