Классы защиты информации | Защита информации
Содержание:
Стандарт ISO 15408 описывающий критерии оценки безопасности являлся новым этапом в реализации нормативной базы оценки безопасности ИТ. На основе этого стандарта каждое государство адаптировало его под свои реалии и тенденции.
Классы защищенности для средств вычислительной техники
Согласно нормативному документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» можно выделить семь классов защищенности средств вычислительной техники (СВТ) от НСД к информации. Самый высокий класс — первый, самый низкий — седьмой. Классы делятся на 4 группы которые отличаются между собой качественным уровнем безопасности:
- Четвертая группа — характеризуется верифицированной защитой и содержит только первый класс
- Третья группа характеризуется мандатной защитой и содержит 4,3 и 2 классы
- Вторая группа характеризуется дискреционной защитой и содержит 6 и 5 классы
- Первая группа имеет только 7 класс
В зависимости от грифа секретности информации в АС системе, расположение объектов и условий реализации выбирают определенной класс защищенности. В таблице 1 показан список показателей по классам защищенности СВТ. Обозначения:
- » — «: нет требования к классу
- » + «: новые или дополнительные требования
- » = «: требования совпадают с требованиями предыдущего класса
Таблица 1
Название показателя | 6 | 5 | 4 | 3 | 2 | 1 |
---|---|---|---|---|---|---|
Дискреционный принцип контроля доступа | + | + | + | = | + | = |
Мандатный принцип контроля доступа | — | — | + | = | = | = |
Очистка памяти | — | + | + | + | = | = |
Изоляция модулей | — | — | + | = | + | = |
Маркировка документов | — | — | + | = | = | = |
Защита ввода и вывода на отчуждаемый физический носитель информации | — | — | + | = | = | = |
Сопоставление пользователя с устройством | — | — | + | = | = | = |
Идентификация и аутентификация | + | = | + | = | = | = |
Гарантии проектирования | — | + | + | + | + | + |
Регистрация | — | + | + | + | = | = |
Взаимодействие пользователя с КСЗ | — | — | — | + | = | = |
Надежное восстановление | — | — | — | + | = | = |
Целостность КСЗ | — | + | + | = | = | |
Контроль модификации | — | — | — | — | + | = |
Контроль дистрибуции | — | — | — | — | + | = |
Гарантии архитектуры | — | — | — | — | — | + |
Тестирование | + | + | + | + | + | = |
Руководство для пользователя | + | = | = | = | = | = |
Руководство по КСЗ | + | + | = | + | + | = |
Тестовая документация | + | + | + | + | + | = |
Конструкторская (проектная) документация | + | + | + | + | + | + |
Указанные наборы требований к показателям для каждого класса являются минимально нужными. Седьмой класс присваивают к тем СВТ, к которым требования по защите информации от НСД являются ниже уровней шестого класса.
Классы защищенности для автоматизированных систем
Автоматизированные системы
Нормативной базой является документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Классификация автоматизированных систем и требования по защите информации»
- Создания и анализ исходных данных
- поиск основных признаков АС, нужных для классификации
- анализ выявленных признаков
- присвоение АС определенного класса защиты
К основным параметрам определения класса защищенности АС относятся:
- уровень конфиденциальности информации в АС
- уровень полномочий субъектов доступа АС к конфиденциальной информации
- режим обработки информации в АС ( коллективный или индивидуальный)
Выделяют девять классов защищенности АС от НСД к информации. Каждый класс имеет минимальный набор требования по защите. Классы можно кластеризовать на 3 группы. Каждая группа имеет свою иерархию классов.
- Третья группа — определяет работу одного пользователя допущенного ко всем данным АС, размещенной на носителях одного уровня конфиденциальности. Группа имеет два класса — 3Б и 3А
- Вторая группа — определяет работу пользователей, которые имеют одинаковые права доступа ко всем данным АС, хранимой и (или) обрабатываемой на носителях разного уровня конфиденциальности. Группа имеет два класса — 2Б и 2А
- Первая группа — определяет многопользовательские АС, где одновременно хранится и (или) обрабатываются данные разных уровней конфиденциальности и не все пользователи имеют доступ к ней. Группа имеет пять классов 0 1Д, 1Г, 1В, 1Б, 1А
Требования к АС по защите информации от НСД
Мероприятия по ЗИ от НСД нужно реализовывать вместе с мероприятиями по специальной защите средств вычислительной техники (СВТ) и систем связи от технических методов разведки и промышленного шпионажа.
Обозначения к таблицам:
- » — «: нет требования к текущему классу
- » + «: есть требования к текущему классу
Таблица 2 — Требования к АС
Подсистемы и требования | Группа 3 | Группа 2 | Группа 1 | ||||||
---|---|---|---|---|---|---|---|---|---|
3Б | 3А | 2Б | 2А | 1Д | 1Г | 1В | 1Б | 1А | |
1. Подсистема управления доступом | |||||||||
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||
в систему | + | + | + | + | + | + | + | + | |
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | — | — | — | + | — | + | + | + | + |
к программам | — | — | — | + | — | + | + | + | + |
к томам, каталогам, файлам, записям, полям записей | — | — | — | + | — | + | + | + | + |
Управление потоками информации | — | + | — | — | + | + | + | ||
2. | |||||||||
2.1. Регистрация и учет: | |||||||||
входа (выхода) субъектов доступа в (из) систему(ы) (узел сети) | + | + | + | + | + | + | + | + | + |
выдачи печатных (графических) выходных документов | — | + | — | + | — | + | + | + | + |
запуска (завершения) программ и процессов (заданий, задач) | — | — | — | + | — | + | + | + | + |
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи | — | — | — | + | — | + | + | + | + |
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | — | — | — | + | — | + | + | + | + |
изменения полномочий субъектов доступа | — | — | — | — | — | — | + | + | + |
создаваемых защищаемых объектов доступа | — | — | — | + | — | — | + | + | + |
2. 2. Учет носителей информации | + | + | + | + | + | + | + | + | + |
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | — | + | — | + | — | + | + | + | + |
2.4. Сигнализация попыток нарушения защиты | — | — | — | — | — | — | + | + | + |
3. Криптографическая подсистема | |||||||||
3.1. Шифрование конфиденциальной информации | — | — | — | + | — | — | — | + | + |
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | — | — | — | — | — | — | — | — | + |
3.3. Использование аттестованных (сертифицированных) криптографических средств | — | — | — | + | — | — | — | + | + |
4. Подсистема обеспечения целостности | |||||||||
4.1. Обеспечение целостности программных средств и обрабатываемой информации | + | + | + | + | + | + | + | + | + |
4.2. Физическая охрана средств вычислительной техники и носителей информации | + | + | + | + | + | + | + | + | + |
4.3. Наличие администратора (службы) защиты информации в АС | — | — | — | + | — | — | + | + | + |
4.4. Периодическое тестирование СЗИ НСД | + | + | + | + | + | + | + | + | + |
4.5. Наличие средств восстановления СЗИ НСД | + | + | + | + | + | + | + | + | + |
4.6. Использование сертифицированных средств защиты | — | + | — | + | — | — | + | + | + |
Классы защиты информации
Определение 1
Системой защиты информации является совокупность взаимосвязанных средств, мероприятий и методов, которые направлены на предотвращение искажения, уничтожения или несанкционированного получения конфиденциальной информации, что отображается электромагнитными, световыми и звуковыми волнами, а также вещественными носителями в виде образов, сигналов, символов, процессов и технических решений.
Нормативный документ, который были подписан 30 марта 1992 года по решению Гостехкомиссии России, устанавливает классификацию автоматизированных систем, которые подлежат защите от несанкционированного доступа к конфиденциальной информации, а также требования касательно защиты информации в персональных компьютерах различных классов.
Какие существуют классы защиты информации
Классы защиты информации подразделяются на три группы, которые отличаются особенностями обработки информации в автоматизированных системах (далее – АС). В границах каждой группы соблюдена иерархия требований по защите информации в зависимости от ее конфиденциальности, а также иерархия классов защищенности АС.
Третья группа содержит автоматизированные системы, в которых работает один пользователь, который получил допуск ко всей информации АС, размещенных на носителях одного уровня ценности (конфиденциальности). Данная группа содержит два класса защиты информации – 3А и 3Б.
Вторая группа содержит автоматизированные системы, в которых все пользователи имеют равные пользовательские права доступа ко всей информации АС, которая хранится и обрабатывается на носителях разного уровня конфиденциальности. Данная группа содержит два класса защиты информации – 2А и 2Б.
Первая группа содержит многопользовательские автоматизированные системы, в которых одновременно хранится или обрабатывается информация разных уровней ценности (конфиденциальности). Ко всей информации АС не все пользователи имеют доступ. Данная группа содержит пять классов защиты информации – 1Д, 1Г, 1В, 1Б и 1А.
Характеристика классов защиты информации
Класс защиты информации 3А имеет такие требования:
- Подсистема управления доступом должна выполнять идентификацию и проверку подлинности доступа субъектов при входе в систему по идентификатору и паролю условно-постоянного действия, который должен содержать не менее шести символов.
- Регистрация и учет входа субъектов в систему или узел сети.
- Выдача печатной выходной документации.
- Учет информационных носителей.
- Очистка освобождаемых областей внешних накопителей и оперативной памяти.
- Обеспечение целостности обрабатываемой информации и программных средств.
- Обеспечение физической охраны носителей информации и средств вычислительной техники.
- Наличие службы защиты информации в автоматизированных системах.
- Периодическое тестирование системы защиты информации НСД.
- Наличие средств восстановления системы защиты информации НСД.
- Применение сертифицированных средств защиты.
Класс защиты 1А имеет такие требования:
- Подсистема управления доступом должна осуществлять идентификацию и проверку подлинности при входе в систему по специальным устройствам или биометрическим характеристикам (электронным ключам, жетонам, картам), а также по паролю временного действия, который содержит не менее восьми символов (буквы и цифры).
- Должна производиться аппаратная идентификация, а также проверка подлинности терминалов, узлов сети ЭВМ, внешних устройств, а также каналов связи по уникальным встроенным устройствам.
- Должна проводиться проверка подлинности и идентификации программ, каталогов, записей, файлов, а также полей записей по контрольным суммам.
- Должно проводиться управление информационным потоком при помощи меток конфиденциальности. Уровень значимости накопителей при этом должен быть выше уровня конфиденциальности той информации, которая записывается на него.
- Если говорить о системе регистрации и учета, то должна выполняться регистрация входа субъектов доступа в систему либо инициализации операционной системы и ее программного останова. В момент аппаратного отключения автоматизированных систем регистрация выхода из систем не проводится.
- Должна выполняться регистрация запуска или завершения всех программных комплексов и процессов, которые открыты в автоматизированной системе. В параметрах регистрации необходимо указать дату и время запуска, имя идентификатора программы, результат запуска, имя файла.
- Если говорить о криптографической подсистеме, то должно выполняться шифрование всей конфиденциальной информации, которая записывается на носители данных, что совместно используются различными субъектами доступа (разделяемые), в каналах связи, а также на любые съемные носители данных долговременной внешней памяти с целью хранения за пределами сеансов работы санкционированных субъектов доступа. При этом должна осуществляться автоматическая очистка областей внешней памяти, которая содержала ранее незашифрованную информацию.
- Должны применяться криптографические ключи для шифрования информации, которая принадлежит разным субъектам доступа.
- Должны применяться сертифицированные средства криптографической защиты информации. Их сертификация обычно проводится специализированными предприятиями и специальными сертификационными центрами, которые имеют лицензию на проведение сертификации криптографических средств информационной защиты.
- Целостность программной среды должна выполняться качеством приемки программных средств в автоматизированных системах.
Требования к защите АС по классам защищенности и уровню конфиденциальности
Согласно руководящему документу ФСТЭК: «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» все действующие и проектируемые автоматизированные системы (АС) учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию подлежат классификации. В статье ниже описана классификация АС и требования к ним по защите информации.Используемые сокращения
АС — автоматизированные системы
НСД — несанкционированный доступ
ПД — персональные данные
УЗ — уровень защищенности
РД — руководящий документ
СЗИ — система защиты информации
СЗИ НСД — система защиты информации от несанкционированного доступа
Деление АС на соответствующие классы по условиям их функционирования, необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. Классификация определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
Группировка может выполняться по следующющим признакам:
- наличие в АС информации различного уровня конфиденциальности;
- уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
- режим обработки данных в АС — коллективный или индивидуальный.
- Первая группа — многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.
- Вторая группа — многопользовательские АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.
- Третья группа — однопользовательские АС, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.
- управления доступом;
- регистрации и учета;
- криптографической;
- обеспечения целостности.
Подсистемы и требования | Классы | ||||||||
3Б | 3А | 2Б | 2А | 1Д | 1Г | 1В | 1Б | 1А | |
1. Подсистема управления доступом | |||||||||
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||
в систему | + | + | + | + | + | + | + | + | + |
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | — | — | — | + | — | + | + | + | + |
к программам | — | — | — | + | — | + | + | + | + |
к томам, каталогам, файлам, записям, полям записей | — | — | — | + | — | + | + | + | + |
1. 2. Управление потоками информации | — | — | — | + | — | — | + | + | + |
2. Подсистема регистрации и учета | |||||||||
2.1. Регистрация и учет: | |||||||||
входа/выхода субъектов доступа в/из системы (узла сети) | + | + | + | + | + | + | + | + | + |
выдачи печатных (графических) выходных документов | — | + | — | + | — | + | + | + | + |
запуска/завершения программ и процессов (заданий, задач) | — | — | — | + | — | + | + | + | + |
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | — | — | — | + | — | + | + | + | + |
изменения полномочий субъектов доступа | — | — | — | — | — | — | + | + | + |
создаваемых защищаемых объектов доступа | — | — | — | + | — | — | + | + | + |
2. 2. Учет носителей информации | + | + | + | + | + | + | + | + | + |
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | — | + | — | + | — | + | + | + | + |
2.4. Сигнализация попыток нарушения защиты | — | — | — | — | — | — | + | + | + |
3. Криптографическая подсистема | |||||||||
3.1. Шифрование конфиденциальной информации | — | — | — | + | — | — | — | + | + |
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | — | — | — | — | — | — | — | — | + |
3. 3. Использование аттестованных (сертифицированных) криптографических средств | — | — | — | + | — | — | — | + | + |
4. Подсистема обеспечения целостности | |||||||||
4.1. Обеспечение целостности программных средств и обрабатываемой информации | + | + | + | + | + | + | + | + | + |
4.2. Физическая охрана средств вычислительной техники и носителей информации | + | + | + | + | + | + | + | + | + |
4.3. Наличие администратора (службы защиты) информации в АС | — | — | — | + | — | — | + | + | + |
4.4. Периодическое тестирование СЗИ НСД | + | + | + | + | + | + | + | + | + |
4. 5. Наличие средств восстановления СЗИ НСД | + | + | + | + | + | + | + | + | + |
4.6. Использование сертифицированных средств защиты | — | + | — | + | — | — | + | + | + |
Обозначения:
» — » — нет требований к данному классу;
» + » — есть требования к данному классу.
Также, в соответствии с документом РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии на классы защищенности АС не ниже 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:
- не ниже 4 класса — для класса защищенности АС 1В;
- не ниже 3 класса — для класса защищенности АС 1Б;
- не ниже 2 класса — для класса защищенности АС 1А.
Наглядно, отношение уровней конфиденциалльности к классификации АС, показана в таблице ниже:
Уровень конфиденциальности информации | |||
ОВ | СС | С | Информация ограниченного доступа (СТ, КТ) |
1А, 2А, 3А | 1Б, 2А, 3А | 1В, 2А, 3А | 2Б, 3Б, 1Г, 1Д |
Пересмотр класса защищенности автоматизированной системы производится в том случае, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.
Классификация АСУ ТП
Определение класса защищенности государственной информационной системы осуществляется в соответствии с приказом ФСТЭК РФ от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»
Класс защищенности автоматизированной системы управления (первый класс (К1), второй класс (К2), третий класс (К3)) определяется в зависимости от уровня значимости (критичности) обрабатываемой в ней информации (УЗ).
Уровень значимости (критичности) информации (УЗ) определяется степенью возможного ущерба от нарушения ее целостности (неправомерные уничтожение или модифицирование), доступности (неправомерное блокирование) или конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), в результате которого возможно нарушение штатного режима функционирования автоматизированной системы управления или незаконное вмешательство в процессы функционирования автоматизированной системы управления.
УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, степень ущерба)],
где степень возможного ущерба определяется заказчиком или оператором экспертным или иным методом и может быть:
- высокой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации федерального или межрегионального характера* или иные существенные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;
- средней, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации регионального или межмуниципального характера* или иные умеренные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности;
- низкой, если в результате нарушения одного из свойств безопасности информации (целостности, доступности, конфиденциальности), повлекшего нарушение штатного режима функционирования автоматизированной системы управления, возможно возникновение чрезвычайной ситуации муниципального (локального) характера или возможны иные незначительные негативные последствия в социальной, политической, экономической, военной или иных областях деятельности.
В случае, если для информации, обрабатываемой в автоматизированной системе управления, не требуется обеспечение одного из свойств безопасности информации (в частности конфиденциальности) уровень значимости (критичности) определятся для двух других свойств безопасности информации (целостности, доступности). В этом случае:
УЗ = [(целостность, степень ущерба) (доступность, степень ущерба) (конфиденциальность, не применяется)].
Информация, обрабатываемая в автоматизированной системе управления, имеет высокий уровень значимости (критичности) (УЗ 1), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена высокая степень ущерба.
Информация, обрабатываемая в автоматизированной системе управления, имеет средний уровень значимости (критичности) (УЗ 2), если хотя бы для одного из свойств безопасности информации (целостности, доступности, конфиденциальности) определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая степень ущерба.
Информация, обрабатываемая в автоматизированной системе управления, имеет низкий уровень значимости (критичности) (УЗ 3), если для всех свойств безопасности информации (целостности, доступности, конфиденциальности) определены низкие степени ущерба.
При обработке в автоматизированной системе управления двух и более видов информации (измерительная информация, информация о состоянии процесса) уровень значимости (критичности) информации (УЗ) определяется отдельно для каждого вида информации. Итоговый уровень значимости (критичности) устанавливается по наивысшим значениям степени возможного ущерба, определенным для целостности, доступности, конфиденциальности каждого вида информации.
Класс защищенности автоматизированной системы управления определяется в соответствии с таблицей:
Уровень значимости (критичности)информации | Класс защищенности автоматизированной системы управления |
УЗ 1 | К1 |
УЗ 2 | К2 |
УЗ 3 | К3 |
Сертифицированные средства защиты
Известно, что для защиты ПДн класса К1 средства защиты информации должны иметь НДВ 4. Однако если проводить анализ 58 приказа ФСТЭК, вводящего Положение о ПДн и ранних рабочих документов ФСТЭК, то оказывается, что средства защиты информации должны иметь подтвержденный функционал, соответствия которого я привожу в таблице ниже.
Рабочие документы по защите информации ФСТЭК России
• Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
• Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.
• Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
• Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей.
Соответствия между требованиями к классам ИСПДн
и классам рабочих документов ФСТЭК России
Класс ИСПДн / класс по РД ФСТЭК | К1 | К2 | К3 |
Средства вычислительной техники (СВТ) | 5 | 5 | 5 |
Автоматизированные системы (АС) | 1Г+ | 1Д | 1Д |
Межсетевые экраны (МЭ) | 3 | 4 | 4 |
Недекларированные возможности (НДВ) | 4 | — | — |
Перечень средств защиты
Этот перечень сделан по мотивам информации с сайта http://ispdn.ru , государственного реестра сертифицированных СрЗИ с сайта http://www.fstec.ru/ и данных с web-сайтов производителей. Перечень упорядочен по функционалу и содержит краткую информацию, на что есть сертификаты. Перечень не исчерпывающий, но содержащий основные средства защиты информации.
Список сделан по состоянию на 1 января 2011 года и посвящен очередному откладыванию закона о персональных данных. 🙂
Средства защиты от НСД
SecretNet5.1 (авт, сеть) – НДВ 2, СВТ 3, АС 1Б, К1
SecretNet6 – НДВ 2, СВТ 3, АС 1Б, К1
SecretNet-К 6 – НДВ 4, СВТ 5, АС 1Г, К1
SecurityStudio EndPoint Protection – НДВ 4, МЭ 4, АС 1Г, К1
Соболь – НДВ 2, АС 1Б, К1, ФСБ 1Б
DallasLock– НДВ 2, СВТ 3, К1
SecurityStudio– НДВ 4, СВТ 5
SecurityStudio Trusted Boot Loader – НДВ 3
Security Pack Rus – К2, ФСБ АК2, АК3
Панцирь-К – НДВ 4, СВТ 5, К1, (не работоспособный)
Панцирь-С – НДВ 3, СВТ 4, К1, (не работоспособный)
Страж NT– СВТ 3, НДВ 2, АС 1Б, К1 (не работоспособный)
М506А-XP– ФСБ ФС АК5, КАИ-2.03, АИС 2 (что это такое я пока не знаю)
Аккорд NT/2000 3.0 — СВТ 3, НДВ 4, АС 1Б, К1
Diamond ACS — СВТ 3, НДВ 4, АС 1В 2А 3А, К1
Межсетевое экранирование и VPN
VipNetCustom3. 1 – ОУД 4+, НДВ 3, МЭ 3, АС 1В, К1 (с ограничениями в ТУ), ФСБ как МЭ 4, КС2, КС3
АПКШ Континент 3.5 – МЭ 3, НДВ 3, АС 1В, К1 (с ограничениями в ТУ), ФСБ как МЭ 4, КС1, КС2
Континент-АП 3 – МЭ 4, НДВ 3, АС 1Г, К3 (кроме подключаемых СКЗИ), ФСБ как КС1, КС2
S-terra CSP VPN Gate – МЭ 3, К1, ФСБ КС1, КС2
S-terraCSPVPNServer– МЭ 3, К1 (нет сертификата ФСБ!)
S-terraCSPVPNClient– МЭ 3, К1 (нет сертификата ФСБ!)
VipNet Office Firewall – ФСБ МЭ 4
VipNet Personal Firewall – ФСБ МЭ 4
StoneGateFirewall– МЭ 2, НДВ 4
StoneGateSSLVPN– (12 шт. интереса не представляют)
TrustAccess– НДВ 4, МЭ 2, АС 1Г, К1
TrustAccess-S – НДВ 2, МЭ 2, АС 1Г, К1
Блокпост-Экран 2000/ХР – МЭ 4, К2
UserGate Proxy & Firewall – ОУД 2, МЭ 4, НДВ 4, АС 1Г, К1
Застава-S – МЭ 2, НДВ 2, К1
Застава VPN- МЭ 3, НДВ 3, К1 (нет заключения ФСБ о корректности встраивания криптосредств!)
Altell NEO — МЭ 4 (с ограничениями в ТУ)
Обнаружение вторжений
StoneGateIPS– МЭ 3, НДВ 4, АС 1Г, К1
Форпост 1. 8 – НДВ 3
Cisco IPS 4240 – ТУ (12 шт. Джет)
SecurityStudio EndPoint Protection – есть работающий функционал Agnitum Outpost
Антивирус Касперского Workstation/KIS– есть работающий функционал
VipNetCustom– есть номинальный функционал
Контроль утечек
DeviceLock 6.4 – ОУД 2, НДВ 4, 1Г
ZLock 1.3 – НДВ 3, К2
TrafficMonitor 3.3 – НДВ 4, АС 1Г, К1 (DMв него входит)
Анализ защищенности
MaxPatrol– НДВ 4 (конкурентов нет и не ожидается)
Антивирусы
Kaspersky Administration KIT 6/8 – НДВ 3, ФСБ
Dr.Web 4.44/5 – НДВ 3/2, ФСБ
Eset NOD32 Business Edition 3 – К2
ESET NOD32 Firewall – МЭ 4 (или в МСЭ его)
Eset NOD32 Platinum Pack 4.0 – НДВ 4, АС 1Г, К1
VBA32 – НДВ 4, К1
Токены
eToken5 – ОУД 2, НДВ 4, АС 1Г, К1 (на всё устройство)
eToken Network Logon 5 – ОУД 2, НДВ 4, АС 1Г, К1
ruToken– НДВ 3 (только на ПО)
Шипка – СВТ 5, АС 1Г
Электронные замки
Соболь – НДВ 2, АС 1Б, К1, ФСБ 1Б
Аккорд АМДЗ – ФСБ 3Б
Шифрование томов, дисков, файлов
SecretDiskServerNG– НДВ 4
Secret Disk Server – ОУД 1, АС 1Г, НДВ 4, К2
SafeDisk 4 – ОУД 3+, НДВ 4, СВТ 5, АС 1Г, К1 (с ограничениями в ТУ), ФСБ КС1, КС2
Операционные системы
Windows 7 Pro/Corp/Ult – СВТ 5, АС 1Г, К2
Windows XP Pro (SP2) – ОУД 1, АС 1Г
Windows Vista (без SP/SP1/SP2) – ОУД 1, АС 1Г
Windows Server 2003 SE (SP2/R2/R2SP2) – ОУД 1, АС 1Г
Windows Server 2008 SE – ОУД 1, СВТ 5, АС 1Г, К2
ALT Linux 4. 0 Desktop Pro – НДВ 4, СВТ 5, К2
LinuxXPDesktop 2008 SE– НДВ 4, СВТ 5, АС 1Г, К2
МСВСфера 5.2 Desktop – ОУД 2, НДВ 4, АС 1Г, К1
МСВСфера 5.2 Server– ОУД 2, НДВ 4, АС 1Г, К1
Прочие продуктыMicrosoft
Microsoft Office Pro 2003 SP3 — ОУД 1, АС 1Г
Microsoft Office Pro 2007 без SP/SP1 — ОУД 1, К2
Microsoft SQL Server 2005 SE/EE — ОУД 1, АС 1Г
Microsoft SQL Server 2008 SE/EE — ОУД 1, СВТ 5, АС 1Г, К3
Microsoft ISA Server 2006 SE – ОУД 1, МЭ 4/3 (при ограничениях), АС 1Г
Microsoft Exchange Server 2007 SE/EE – СВТ 5, К2
Прочие продукты
1С Предприятие 8.2 – СВТ 5, НДВ 4, АС 1Г, К1
vGate– НДВ 4, СВТ 5, АС 1Г, К1
Acronis (все продукты) – НДВ 4, АС 1Г, К1 (в перечне пока нет)
VMware vSphere 4 – СВТ 5, АС 1Г, К2
Кратко о выборе сертифицированных СЗИ от НСД. Статьи компании АЛТЭКС-СОФТ
Выбор в пользу тех или иных средств защиты при проектировании информационных систем, обрабатывающих конфиденциальную информацию или персональные данные – ключевая процедура, определяющая не только будущий уровень защищенности и надежности системы, но и легитимность дальнейшей эксплуатации данной системы.
В соответствии с законодательством Российской Федерации, в информационных системах ряда организаций использование сертифицированных программных продуктов является обязательным. К таким организациям относятся:
• государственные организации,• негосударственные организации, работающие со служебной информацией государственных органов,
• организации, работающие с персональными данными.
Данное требование определяется целым рядом положений законодательных и нормативных актов в области защиты информации. В частности:
• Приказом № 17 ФСТЭК России от 11 февраля 2013г. «Требования о защите ин-формации, не составляющей государственную тайну, содержащейся в государственных информационных системах» – основной нормативный документ, регламентирующий вопросы, связанные с защитой информации ограниченного доступа не содержащей сведения, составляющие государственную тайну, включая персональные данные в государственных информационных системах,
«Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании»…»
• Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ « О персональных данных»
«Обеспечение безопасности персональных данных достигается, в частности: …
… 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации».
• Приказ ФСТЭК России от 18.02.2013 № 21 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
«Меры по обеспечению безопасности персональных данных реализуются, в том числе, посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.»
• Закон РФ №5485-I «О государственной тайне» от 21 июля 1993г.
«Средства защиты информации должны иметь сертификат, удостоверяющий их соответствие требованиям по защите сведений соответствующей степени секретности».
и др.
Необходимо отметить, что применение сертифицированных средств защиты само по себе не является достаточным условием выполнения требований вышеприведенных документов к системе безопасности ГИС (АС) или ИСПДн. На самом деле, это целый комплекс организационных и технических мер направленных на приведение информационных систем в соответствие требованиям, и далеко выходящий за рамки темы настоящей статьи.
В ФЗ № 152 «О персональных данных» и в Приказе № 21 ФСТЭК нет однозначных требований к наличию у СЗИ, применяемых для защиты ИСПДн, сертификатов соответствия, полученных в обязательной системы сертификации (ФСТЭК России). В документах используется более либеральные формулировки — применение СЗИ прошедших установленным порядком процедуру оценки соответствия. Это означает, что для защиты ИСПДн в негосударственных организациях могут использоваться СЗИ, прошедшие сертификацию в добровольной системе сертификации или имеющие декларацию соответствия. Данные процедуры сегодня в области ИБ ни как не документированы и носят пока декларативный характер. К тому же, можно предположить, что сертификация в системе ГОСТ Р или декларирование вряд ли окажется существенно проще или дешевле. Так данные процедуры не исключают проведение всего комплекса испытаний начиная с контроля комплектности программной документации и заканчивая проверкой реализации заявленных функций безопасности. Кроме того, проводя испытания самостоятельно, декларант берет основную ответственность на себя. Поэтому можно констатировать, что в ближайшей перспективе в государственных информационных системах или ИСПДн вряд ли в качестве основных СЗИ будут широко использовать несертифицированные СЗИ. Но даже если использование сертифицированных СЗИ не является обязательным, выбор в их пользу предпочтителен, поскольку наличие сертификата – важный фактор обеспечения доверия к приобретаемым средствам защиты, гарантия их качества и безопасности, а также возможность сэкономить, так как уже не требуются никакие дополнительные подтверждения их легитимности.
В большинстве случаев выбор средств защиты информации осуществляться в рамках нескольких десятков сертифицированных решений различных брендов. На самом деле сертифицированы сотни программных и программно-аппаратных средств защиты, однако большая часть была сертифицирована в единичном экземпляре или в составе партии, и приобрести их не представляется возможным. Тем не менее, дефицита на рынке сертифицированных СЗИ нет, можно приобрести средства обеспечивающие защиту от любых угроз и с требуемым уровнем защиты. С полным перечнем сертифицированных СЗИ можно ознакомиться на официальном сайте ФСТЭК России в разделе Государственный реестр сертифицированных средств защиты информации.
Часто проблемы выбора средств защиты связаны ни сколько с техническими аспектами или показателями защищенности, а легитимностью использования СЗИ в системах обрабатывающих конфиденциальную информацию, ПДн или государственную тайну. Даже если СЗИ реализует необходимый функционал защиты и имеет сертификат соответствия требованиям безопасности, это не означает что данное средство применимо для всех случаев ГИС и ИСПДн.
Рассмотрим особенности выбора средств защиты на примере ИСПДн.Выбор СЗИ осуществляется на этапе реализации мер защиты ИСПДн с учетом уровня защищенности системы и наличия актуальных угроз (типов угроз) безопасности ПДн. В общем виде порядок выбора СЗИ можно представить в виде графа, представленного на рисунке 1.
Рис. 1 Порядок выбор СЗИ для построения системы защиты ПДн
Определение уровня защищенности ИСПДн
Постановление правительства № 1119 от 01.11.2012 «Требования к защите персональных данных при их обработке в информационных системах персональных данных» устанавливает 4 уровня защищенности персональных данных, которые определяются видом ИСПДн, типом актуальных угроз и количеством субъектов ПДн, обрабатываемых в информационной системе (см. таблица 1).
Таблица 1Виды ИСПДн | Уровни защиненности ИСПДн | ||
---|---|---|---|
угрозы 1 типа | угрозы 2 типа | угрозы 3 типа | |
ИСПДн-С | 1 | 2 < 100000 > 1 | 3 < 100000 > 2 |
ИСПДн-Б | 1 | Тип ИСПДн | 3 |
ИСПДн-О | 2 | 3 < 100000 > 2 | 4 |
ИСПДн-И | 1 | 3 < 100000 > 2 | 4 < 100000 > 3 |
Где:
Виды ИСПДн
ИСПДн-С — ИСПДн обрабатывающая специальные категории ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни субъектов.
ИСПДн-Б — ИСПДн обрабатывающая биометрические сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
ИСПДн-О — ИСПДн обрабатывающая общедоступные ПДн.
ИСПДн-И — ИСПДн обрабатывающая иные категории ПДн
В этом же Постановлении установлено три типа угроз ПДн:
Угрозы 1-го типа (уровень системы) актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа (уровень приложения) актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа (уровень пользователя) актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности, актуальных для информационной системы, производится оператором ПДн с учетом оценки возможного вреда, который может быть причинен субъектам персональных данных. От типа угрозы будет зависеть не только требуемый уровень защищенности ИСПДн, но и класс используемых для ее защиты СЗИ, и прежде всего, обязательное прохождение СЗИ контроля отсутствия недекларированных возможностей (НДВ).
Под которым понимаются, дополнительные требования ФСТЭК России к проверке программных и программно-аппаратных продуктов, реализующих функции защиты информации на отсутствие умышленных или иных недекларированных возможностей . На практике это исследование исходного текста программ на предмет отсутствия в нем «программных закладок», «троянских коней» и других вредоносных кодов. До недавнего времени данные требования предъявлялись лишь к СЗИ, используемых в системах защиты автоматизированных систем, обрабатывающих государственную тайну. С выходом документов ФСТЭК по защите персональных данных указанные требования распространяются и на СЗИ, применяемые в ИСПДн 1 и 2 уровня защиты. Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (РД НДВ) устанавливает четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований. Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего. Для защиты ПДн и государственных информационных систем, не обрабатывающих государственную тайну, достаточно четвертого уровня контроля.
В предыдущих документах ФСТЭК жестко определял, что для ИСПДн первого класса (К1) необходимы СЗИ прошедшие контроль НДВ. В действующих сегодня требованиях оператор сам вправе определять тип угроз, а соответственно определять – существует угроза НДВ или нет.
Разумно считать, что первый тип угроз может быть актуален только для ИСПДн каким-то образом интересующие спецслужбы: ПДн федерального масштаба, данные первых лиц государства и пр. В качестве аргумента может служить предположение, что разработчиками практически всего системного ПО являются несколько известных западных корпораций, дорожащих своей репутацией. Но, не исключено, что сотрудничающих со спецслужбами государств, резидентами которых они являются. Трудно представить мотивацию этих вендеров, что бы дискредитировать «спроектированные закладки», подвергая свой бизнес огромным рискам.
С угрозами второго типа, ситуация схожа, но имеет свою особенность. Часто в качестве прикладного используется «самописное» или заказное программное обеспечение. И здесь вероятность наличия случайной или преднамеренной «закладки», как ни странно может оказаться выше. Часто недокументированные возможности закладываются исключительно с «добрыми» намерениями, например, для удаленного доступа к компьютеру пользователя, с целью разрешения его проблем.
Определение мер по обеспечению безопасности ПДн
Определившись с уровнем защищенности и угрозами ИСПДн можно переходить к составу мер необходимых для ее защиты. В состав базовых мер Приказом № 21 включены:
идентификация и аутентификация субъектов доступа и объектов доступа,
управление доступом субъектов доступа к объектам доступа,
ограничение программной среды,
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных),
регистрация событий безопасности,
антивирусная защита,
обнаружение (предотвращение) вторжений,
контроль (анализ) защищенности персональных данных,
обеспечение целостности информационной системы и персональных данных,
обеспечение доступности персональных данных,
защита среды виртуализации,
защита технических средств,
защита информационной системы, ее средств, систем связи и передачи данных,
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них,
управление конфигурацией информационной системы и системы защиты персональных данных.
Полный состав мер приведен в приложении № 2 Приказа ФСТЭК России. Чем выше уровень защиты тем шире перечень необходимых мер. Если в предыдущих документах ФСТЭК состав таких мер для соответствующего класса защиты был строго регламентирован, то сейчас Приказ разрешает оператору самостоятельно определять перечень необходимых мероприятий исходя из актуальности угроз, используемых информационных технологий и даже экономической целесообразности.
С учетом структурно-функциональных характеристик системы и актуальных для нее угроз осуществляется адаптация (анализ возможности и целесообразности реализации) базового набора мер. Неактуальные меры исключаются из перечня. Выделяются организационные меры, реализация которых непосредственно связанна с информационными технологиями, но не связанна с техническими аспектами системы защиты или позволяющие заменить технические меры.
Актуализированный базовый перечень мер, может быть расширен дополнительными мерами, а также мероприятиями обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами, в частности, требованиями к средствам криптографической защиты или ГИС.
При невозможности технической реализации отдельных выбранных мер или экономической целесообразности могут разрабатываться компенсирующие меры, направлен-ные на нейтрализацию оставшихся актуальных угроз. В этом случае в ходе разработки системы защиты ПДн должно быть проведено соответствующее обоснование.
Определившись с актуальным перечнем подлежащих реализации технических мер можно приступать к выбору СЗИ. Данный этап является не менее сложным, так как не существует одного комплексного средства, обеспечивающего реализацию защитных мер указанных в Приказе. Как правило, для построения системы защиты ИСПДн используется от нескольких до десятка сертифицированных СЗИ.
Самое простое, обратиться в компанию, занимающуюся оказанием услуг в области защиты информации, которая в соответствии с вашим перечнем требуемых мер сможет подобрать необходимые СЗИ. Скорее всего, будут предложены средства защиты, с которыми компания давно уже работает и на какие она имеет максимальные скидки от поставщиков. Можно выбрать и приобрести самостоятельно, обратившись к реестру сертифицированных СЗИ и затем заказать их у производителя или его партнера.
В Государственном реестре содержится около 2500 записей, однако для приобретения, как отмечалось выше, доступно не более сотни различных типов СЗИ. Тем не менее, выбрать и из этого количества не тривиальная задача, и вот почему.
В сертификатах, выданных до 2013 года обычно, присутствовали сведения о классе ИСПДн, в которых могли использоваться данные СЗИ, и это позволяло однозначно их идентифицировать. В более поздних сертификатах такие записи исчезли. В информационном сообщение ФСТЭК России от 15 июля 2013 г. N 240/22/2637 указано, что возможность применения в ГИС соответствующего класса защищенности и для обеспечения установленного уровня защищенности ПДн сертифицированных средств защиты информации, указывается заявителем (разработчиком, производителем) в эксплуатационной и конструкторской документации на эти средства (формулярах и технических условиях). К сожалению, на публичных ресурсах, такие документы отсутствуют, их можно запросить непосредственно у производителя или их дилеров. Не стоит торопиться с обращением к разработчику, рекомендуется самостоятельно провести еще несколько этапов «фильтрации».
Большую часть Реестра составляют СЗИ, сертифицированные в единичных экземплярах или в ограниченных партиях под нужды конкретных системы. Поэтому стоит рассматривать только СЗИ сертифицированные по схеме сертификация «серия» либо «партия», количество которой не менее 100 экземпляров.
В Реестре содержаться СЗИ сертифицированные еще в 1996 году, очевидно, что данные средства давно сняты с производства, а сертификаты поддерживаются только для продления аттестатов соответствия на системы. В связи этим, рекомендуется ограничить поиск в диапазоне последних 1-2 лет. Срок действия сертификата -3 года, как правило, производитель (заявитель) продлевает сертификаты еще раз, за редким исключение, два раза. Необходимо помнить, если это не сделает производитель, то продлевать сертификат вам придется самостоятельно. Таким образом, чем новее СЗИ и свежее сертификат, тем лучше.
Выбор на следующем шаге будет зависеть от типа актуальных угроз, как уже было сказано выше: для ИСПДн с угрозами 1 и 2 типа необходимы средства защиты прошедшие контроль НДВ. Так как к этапу выбора СЗИ уже определились с уровнем защищенности, а соответственно, типом угроз, то требуется НДВ или нет — вопрос риторический. Если актуальны угрозы первого типа то — СЗИ или системное ПО, если защита строится на его механизмах защиты, должны пройти контроль НДВ. А для второго типа — прикладное программное обеспечение, участвующего в обработке персональных данных.
Сегодня в нормативных документах регуляторов или стандартах отсутствуют однозначные определения современного системного программного обеспечения. Определение ГОСТ 19781-90 «Программа системная – программа, предназначенная для поддержания работоспособности системы обработки информации или повышения эффективности ее использования в процессе выполнения прикладных программ», весьма формально и не вносит ясности. Более точное определение можно прочитать в Википедии: «Системное программное обеспечение — комплекс программ, которые обеспечивают управление компонентами компьютерной системы, такими как процессор, оперативная память, устройства ввода-вывода, сетевое оборудование, выступая как «межслойный интерфейс», с одной стороны которого аппаратура, а с другой — приложения пользователя». К такому ПО можно отнести операционные системы, утилиты, системы программирования (средства разработки), системы управления базами данных, широкий класс связующего (технологического) программного обеспечения. А так же СЗИ реализующие на системном уровне (уровне ядра), защиту операционной системы или подмену его штатных механизмов. Большинство СЗИ, необходимых для построения системы защиты ПДн, можно отнести к системному ПО.
Там же в Википедии: «Прикладная программа или приложение — программа, предназначенная для выполнения определенных пользовательских задач и рассчитанная на непосредственное взаимодействие с пользователем. В большинстве операционных систем прикладные программы не могут обращаться к ресурсам компьютера напрямую, а взаимодействуют с оборудованием и проч. посредством операционной системы.» Другими словами, это то ПО с помощью которого и происходит обработка ПДн. Как правило, эти программы имеют, пусть не такой широкий как операционные системы, арсенал средств (механизмов) защиты. К таким программам можно отнести: офисные пакеты, бухгалтерские программы, CRM-системы и пр. Количество таких программ в Реестре не та велико.
Для систем третьего и четвертого уровней защищенности контроль НДВ программного обеспечения не требуется. Следующим аспектом выбора, является сопоставление класса защиты СЗИ и уровня защищенности ИСПДн. Как уже отмечалось выше, в настоящее время в сертификатах, а соответственно и в Реестре, не указывается применимость СЗИ для соответствующего уровня защищенности. Не смотря на то, что в части сертификатов выписанных до 2013 года присутствовала запись типа, «может использоваться в ИСПДн до 3 класса включительно», это всего лишь означало, что данное средство может использоваться в составе системы защиты ИСПДн, соответствующего класса. Но какие меры защиты оно реализует, можно было понять, только уяснив, на что проходило сертификацию данное средство и прочитав на него паспорт или формуляр. Вероятно поэтому, что бы, не вводить в заблуждение пользователей, перестали делать подобные записи.
— РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ),
— РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (РД ОК),
— РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (РД СВТ МЭ),
— НД Требованиями к системам обнаружения вторжений (НД СОВ),
— НД Требования к средствам антивирусной защиты,
— Технические условия (ТУ).
В документах, за исключением ТУ, СЗИ проранжированы по классам. В каждом документе введена своя шкала защищенности, где первый класс присваивается наиболее защищенным СЗИ, точнее тем, которые проходили испытания по самым жестким условиям, и соответственно, с увеличением порядкового номера класса требования к испытаниям СЗИ смягчаются. Обратную нумерацию имеют только СЗИ сертифицированные в РД ОК (ГОСТ Р ИСО/МЭК 15408), в РД предусмотрено 7 классов — уровней доверия (ОУД), где за самый низкий уровень первый -ОУД1. До недавнего времени, выбор документа, на который сертифицируется СЗИ, было правом Заявителя. Большинство СЗИ сертифицировались на РД СВТ и ТУ, незначительная часть проходило испытания по «общим критериям». И только межсетевые экраны, антивирусы и системы обнаружения вторжений обязаны были сертифицироваться на одноименные документы.
Указания о применимости сертифицированных СЗИ содержаться непосредственно в Приказе ФСТЭК России:а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются:
средства вычислительной техники не ниже 5 класса,
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса,
межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена.
б) для обеспечения 3 уровня защищенности персональных данных применяются:
средства вычислительной техники не ниже 5 класса,
системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена,
межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной сиcтемы с информационно-телекоммуникационными сетями международного информационного обмена.
в) для обеспечения 4 уровня защищенности персональных данных применяются:
средства вычислительной техники не ниже 6 класса,
системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса,
межсетевые экраны 5 класса.
Определившись с формальными признаками СЗИ: доступность на рынке, актуальность сертификата, наличие контроля НДВ (при необходимости), класс защищенности, теперь можно сосредоточиться на его функциональных характеристиках. Как правило, название СЗИ, в лучшем случае, только, в общем, может говорить о назначении средства защиты, за броским наименование, типа Security Point, может находиться все что угодно, каким либо образом связанное с безопасностью. Для того что бы реально понять его возможности, необходимо внимательно прочитать не только заявленные на сайте производителя функциональные характеристики, но и область (условия) применения и ограничения, указанные в эксплуатационной документации и сертификате. Например: «соответствует 3 СВТ с ограничениями» – это свидетельствует о неполном соответствии по каким-либо причинам требованиям РД для соответствующего класса или особым условиям применения СЗИ. Как правило, ограничения приводятся на оборотной стороне Сертификата. Например, для большинства сертифицированных продуктов Microsoft имеются ограничения по применению. В частности, для MicrosoftWindowsXPSP3 в Сертификате записано:
1. При использовании операционной системы должны соблюдаться условия, определенные для среды функционирования в Задании по безопасности MS.Win_XP_SP3.ЗБ.2. Настройки и контроль механизмов защиты безопасности должны производиться в соответствии с Руководство по безопасной настройке и контролю сертифицированной версии. Microsoft® Windows® XP Professional Service Pack 3.
3. Операционная система Microsoft® Windows XP Professional Service Pack 3 должна пройти процедуру контроля соответствия (верификации) сертифицированному эталону.
4. На операционную систему должны быть установлены все актуальные обязательные сертифицированные обновления безопасности.
В данном случае это всего лишь напоминание очевидных мер при эксплуатации СЗИ. Но имеются и существенные ограничения, которые например: предписывают использовать средства защиты в комплексе с какими либо дополнительными СЗИ, задействовать только частичный функционал или устанавливать на ограниченный ряд операционных систем. Важным моментом является область охвата СЗИ реализуемых мер защиты. Защита может быть построена с использованием узкоспециализированных СЗИ, закрывающих одну или несколько мер. Или с использованием комплексных средств типа SecretNet, DallasLock, Аккорд и пр. подобных. Как правило, специализированные средства обладают большей защищенностью и функциональностью. Однако система защиты, построенная на «зоопарке», пусть даже брендовых, СЗИ создаст массу проблем при ее эксплуатации.
Комплексные средства специально разрабатывались для покрытия базовых требований Руководящих документов Регуляторов, пусть даже написанные еще в середине 90-х годов. При наличии одного такого СЗИ и антивируса можно было уже аттестовать автономную АРМ и даже локальную сеть. С выходом последних Приказов ФСТЭК России, меры защиты были подвергнуты существенной актуализации и их количество в несколько раз увеличилось, кроме того, теперь оператор самостоятельно должен адекватно оценивать угрозы и риски, и при необходимости их усиливать. Такой подход, расширил требования к функционалу СЗИ, и для целого ряда мер потребовались дополнительные средства защиты, такие средства анализа защищенности, резервного копирования и восстановления и пр.
Иначе выглядят сертифицированные современные операционные системы. Количество заложенных механизмов защиты значительно шире требований не только РД АС и РД СВТ, но и перечня технических мер, уже перечисленных в Приказах № 21 и # 17. Безусловно, сегодня невозможно на одной лишь операционной системой построить легитимную систему защиты ИСПДн, но максимально широко закрыть требования — реально. В общем виде перечень мер защиты для 3 уровня защищенности ИСПДн и их реализация при помощи сертифицированной операционной системы Microsoft Windows 7 и приведена в таблице.
Требования к ИСПДн 3 уровня защищенности | Средства (механизмы), обеспечивающие выполнение требования |
---|---|
1. Идентификация и аутентификация субъектов и объектов доступа. 2. Управление правами и привилегиями субъектов и объектов доступа. |
Реализуется с помощью установки соответствующих параметров безопасности механизмов «Идентификации и аутентификации» при настройке операционной системы на сертифицированную конфигурацию для пользователей домена (для сетей ЭВМ) и локальных пользователей (на уровне автономных рабочих мест)..В случае использования других элементов общего программного обеспечения (SQL Server, ExchangeServer и др.) дополнительно используются их встроенные механизмы «Идентификация и аутентификация» и «Защита данных пользователя», а также организационные меры. |
3. Запуск только разрешенного к использованию в ИС ПО. 4. Исключение несанкционированного доступа к машинным носителям и хранящимся на них ПДн. |
Настройка системы регистрации и разграничения прав Windows (функция AppLocker Windows 7/2008R2) |
5. Сбор, запись, хранение и защита информации о событиях безопасности | Использование механизмов «Аудитбезопасности» и «Защита данных пользователя» Windows. Контролируется с использованием журнала событий ОС и другого ПО Microsoft. |
6. Антивирусная защита | Использование антивируса MicrosoftForefront или антивирусов других производителей |
7. Обнаружение (предотвращение) вторжений | Настройка «Защитника Windows» и (или) использование сторонник СОВ |
8. Контроль (анализ) защищенности информации | Применение программ Check из состава пакета сертифицированного ПО |
9. Обеспечение целостности ИС и информации | Выполняется встроенными средствами ОС, дополнительно контролируется программой «Check». |
10. Обеспечение доступности информации | Использование механизмы архивации и воcстановления Windows |
11. Защита среды виртуализации | Использование виртуализации Hyper-V из состава сертифицированных версий Windows server 2008/2008R2 |
12. Защита ИС, ее средств, систем связи и передачи данных | Реализуется использованием МЭ Microsoft ISA Server2006 Standard Edition, сертифицированного по 4-муклассу согласно РД МЭ. |
13. Выявление инцидентов и реагирование на них | Настройка «Политик расширенный аудит» Windows |
14. Управление конфигурацией информационной систем и системы защиты персональных данных (УКФ) | Настройка параметров Политик безопасности/Групповых политик безопасности Windows. Применение шаблонов безопасности. Контроль.Аудит и настройка параметров безопасности при помощи программ Check из состава пакета сертифицированного ПО |
Как видно базовые меры закрываются штатными механизмами операционной системы Microsoft Windows 7. Подобным набором механизмов защиты обладают и сертифицированные Linux операционные системы, например: ROSA, МСВСфера.
Еще одним очевидным преимуществом использования встроенных средств (механизмов) защиты является гарантия полной совместимости, устойчивости и быстродействия их работы в составе автоматизированных систем.
Не маловажным фактором является цена решений, при построении систем безопасности на базе встроенных механизмов защиты операционных систем и прикладного ПО, затраты сводятся, в основном, к процедуре проверки соответствия (верификации) установочных дистрибутивов и поддержанию сертифицированных параметров развернутого ПО в процессе эксплуатации. Для построения таких систем не обязательно приобретение нового программного обеспечения, верификации может подлежать имеющееся у пользователя лицензионное ПО. В этом случае, необходимо только его верифицировать (проверить), доукомплектовать необходимой документацией и специальным программным обеспечением, произвести настройку в соответствии с прилагаемым Руководством.
Можно самостоятельно попытаться сертифицировать любое выбранное СЗИ, удовлетворяющее, по Вашему мнению, требованиям руководящих документов ФСТЭК России. В соответствии с Положением о сертификации средств защиты информации (Приказ Гостехкомиссии России № 199 от 27.10.1995), Вам потребуется выступить в роли Заявителя – согласовать со ФСТЭК России ЗБ, ТУ или иной определяющий требования к СЗИ документ, предоставить в Испытательную лабораторию комплект необходимой конструкторской и эксплуатационной документации, образец СЗИ, оплатить все расходы по сертификации. При этом, Вы должны быть лицензиатом ФСТЭК России на деятельность по разработке и производству СЗИ.
В заключение
В данной статье невозможно описать все положения руководящих и нормативных документов ФСТЭК России, все особенности выбора и применения сертифицированных СЗИ. В частности, не рассмотрены вопросы применения криптографических средств защиты, защиты ГИС, сертификация СЗИ для применения в высших органах власти и многое другое. Однако, в ней на наш взгляд. затронуты ключевые моменты, на которые в первую очередь следует обратить внимание при выборе средств защиты.
Если Вы не нашли ответа на свой вопрос, или Вам необходимо посоветоваться со специалистами – свяжитесь с нами, мы постараемся Вам помочь.
2. Требования к показателям защищенности
Принятые сокращения. 1. Общие положения
Руководящий документ Средства вычислительной техники Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации Утверждено решением председателя
ПодробнееРУКОВОДСТВО АДМИНИСТРАТОРА
УТВЕРЖДЕН -ЛУ Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа «АККОРД-X» (версия 1. 0) РУКОВОДСТВО АДМИНИСТРАТОРА Литера О 1 изменения Подпись отв. лица Дата внесения
ПодробнееЛУ
УТВЕРЖДАЮ Генеральный директор OOO «НПП «ИТБ» А.Ю. Щеглов 2016 г. КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ «ПАНЦИРЬ+» ДЛЯ ОС MICROSOFT WINDOWS Настройка и алгоритм контроля доступа к статичным объектам. Создание
ПодробнееПостановление Правительства РФ от г.
Постановление Правительства РФ от 15.09.2008г. 687 Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. Москва «Об утверждении Положения об особенностях обработки персональных
ПодробнееТЕСТИРОВАНИЕ И СЕРТИФИКАЦИЯ
ТЕСТИРОВАНИЕ И СЕРТИФИКАЦИЯ УДК 681306 ФОРМАЛЬНЫЙ БАЗИС И МЕТАБАЗИС ОЦЕНКИ СООТВЕТСТВИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ Максим Иванович Гришин руководитель группы испытаний ЗАО «НПО «Эшелон»
ПодробнееРУКОВОДСТВО АДМИНИСТРАТОРА
ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ УТВЕРЖДЕН -ЛУ Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа АККОРД-NT/2000 (версия 3. 0) РУКОВОДСТВО АДМИНИСТРАТОРА Литера
ПодробнееПОЛОЖЕНИЕ. г. Пятигорск года 57
ПОЛОЖЕНИЕ г. Пятигорск 01.01.2016 года 57 (Рассмотрено на заседании педагогического совета 26.12.2015 года, протокол 6 «О переутверждении локальных актов школы в связи с изменением типа учреждения) об
ПодробнееВерсия 1.0 Стр. 2 из 16
ФГБОУ ВПО СПбГАУ Версия 1.0 Стр. 1 из 16 Версия 1.0 Стр. 2 из 16 СОДЕРЖАНИЕ 1 Назначение и область применения… 4 2 Нормативные ссылки… 5 3 Термины, определения, обозначения и сокращения… 6 4 Общие
ПодробнееРУКОВОДСТВО ОПЕРАТОРА (ПОЛЬЗОВАТЕЛЯ)
ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ УТВЕРЖДЕН -ЛУ Специальное программное обеспечение средств защиты информации от несанкционированного доступа «АККОРД-Win32 K» РУКОВОДСТВО ОПЕРАТОРА (ПОЛЬЗОВАТЕЛЯ)
ПодробнееПодать заявку на получение оперативной лицензии безопасности
Личная информация
Вам необходимо предоставить:
- ваши личные данные
- действующая кредитная карта и достаточные средства для оплаты (Таблица платежей — PDF)
- , если вы являетесь гражданином или постоянным жителем Австралии , оригинальная заверенная копия одного из следующих документов:
- Действующий австралийский паспорт или паспорт, срок действия которого истек в течение последних 2 лет
- полное австралийское свидетельство о рождении (не выписка)
- Свидетельство о гражданстве Австралии.
- , если вы являетесь временным резидентом , — оригинальная заверенная копия одного из следующих документов:
- ImmiCard
- действующий заграничный паспорт (уведомление о выдаче визы неприемлемо).
- , если вы провели более 12 месяцев в стране, отличной от Австралии в течение последних 10 лет, вам понадобится справка из полиции каждой страны, в которой вы проживали с 16 лет, и каждая справка должна:
- были выданы в течение 12 месяцев с момента подачи заявки
- перевести на английский язык (если применимо)
- должен быть подтвержден посольством или консульством страны в Австралии.
- , если вы изменили свое имя , заверенную копию одного или нескольких из следующих документов:
- свидетельство (а) о браке, выданное Регистрацией рождений, смертей и браков Нового Южного Уэльса, или, если заключили брак в другом месте, свидетельство о браке, выданное служащим или церковью
- Свидетельство о смене имени, выданное Регистром рождений, смертей и браков Нового Южного Уэльса
- полное свидетельство о рождении с указанием вашего имени при рождении и вашего нового имени (выписки и памятные свидетельства не принимаются)
- Указ о разводе
- акт опроса зарегистрирован в соответствующем органе
- документ, подтверждающий, что изменение имени было зарегистрировано в Управлении земельных прав.
Требования к обучению и компетентности
Претендентам на Class 1A, 1B, 1C, 1D, 1F необходимо предоставить:
Кандидатам на Class 2A, 2D необходимо предоставить:
- свидетельство о необходимом обучении и опыте, как указано на веб-сайте SLED.
Если на момент подачи заявки вы прошли обучение, но еще не завершили требуемые единицы компетенции, вы все равно можете предоставить свою квалификацию в SLED до 42 дня с даты подачи заявки.Если вы не предоставите свою квалификацию обучения в течение этого срока, ваша заявка будет отозвана.
Квалификация обучения должна быть предоставлена через загрузку подтверждающих документов.
Если вам нужна помощь в заполнении заявки, позвоните в контактный центр SLED по телефону 1300 362 001.
ОБУЧЕНИЕ ПО БЕЗОПАСНОСТИ — Star Training Academy
Продолжительность
Это новая квалификация для входа в отрасль безопасности и для целей лицензирования в Новом Южном Уэльсе, которая началась 1 июля 2020 года.
Согласно законодательству правительства, новая программа должна быть более продолжительной, чем предыдущие программы, а это означает, что новые программы также стоят дороже, чем раньше, и в них добавлены требования для определения права на участие и оценки.
Новая программа состоит из не менее 600 часов общего обучения, включая двухнедельный компонент предварительного обучения, трехнедельный индивидуальный компонент в классе и дополнительное поддерживаемое дистанционное обучение для каждого блока.
600 часов обучения можно пройти за 5 недель, из которых три недели в классе.Для тех кандидатов, которым нужно дополнительное время и которые чувствуют, что они могут быть не готовы к проведению оценки в конце трехнедельного учебного периода, у вас есть до 6 месяцев, чтобы завершить все обучение и оценку, если это необходимо.
Регистрация Процесс
Теперь вы должны посетить вводный курс по безопасности до завершения регистрации. Перед вводным курсом необходимо внести невозвращаемый административный сбор в размере 100 долларов США. Если вы не сдадите экзамен до зачисления, этот взнос не будет возвращен.Он покрывает расходы на персонал, который должен контролировать и проводить вводный инструктаж. Если вы добьетесь успеха, плата будет включена в общую стоимость вашего обучения.
В вводное занятие входит:
- Посещение кампуса для получения всей предварительной информации о студентах: структура оплаты, процесс регистрации, требования к зачислению, порядок и требования к оценке, кодекс поведения, а также дальнейшее обучение и пути карьерного роста.
- Принесение 100 идентификационных баллов на индукцию — подлинные или заверенные подлинники.Свяжитесь с STA, если сомневаетесь в требованиях к удостоверению личности.
- Пройдите тест перед зачислением в SLED (LLN Skills Testing), вы должны пройти его, чтобы быть принятым на курс.
- Принесите оригинал или заверенный оригинал вашего HLTAID003 Provide First Aid. Если у вас нет справки о первой помощи, мы можем сразу же записать вас на обучение.
- Завершите процесс регистрации, если успешно прошли проверку навыков LLN и если вы предоставили все документы и подписали все документы, в том числе прочитав Справочник студента, Политику возврата и оплаты, Условия курса STA, Информационный бюллетень 6 и Подтверждение.
- Оплатите депозит за курс или взнос в полном объеме. Вам необходимо будет внести залог в размере 500 долларов США в счет оплаты обучения, чтобы обеспечить место для обучения и покрыть расходы на материалы перед курсом. После того, как вы получите материалы для подготовки к курсу и зарегистрируетесь, это будет считаться началом курса, и залог в размере не возвращается.
- Получите материалы для предварительного обучения и формирующей оценки и назначьте дату начала практического обучения.
Одним из новых изменений является то, что все потенциальные студенты, обучающиеся по безопасности, должны пройти HLTAID003 Provide First Aid до посещения и иметь возможность записаться на в программы обучения безопасности. У вас должны быть доказательства этого при зачислении. Вы можете зарегистрироваться и пройти курс обучения по оказанию первой помощи в Star Training, если захотите. Мы проводим еженедельные курсы в Гранвилле и Ливерпуле. Чтобы забронировать номер, перейдите на сайт или позвоните по телефону (02) 9897 5622.
Расположение: Гранвиль или Ливерпуль
Стоимость курса: 1050 долларов без первой помощи и 1090 долларов с первой помощью.
Плата за вводный курс: Невозвращаемый взнос в размере 100 долларов США за участие в вводном этапе тестирования навыков перед зачислением.
Даты курсов: Даты наших практических занятий доступны через кнопку «Календарь бронирования» в верхней части страницы. Учитывая высокий спрос на новые программы, мы рекомендуем вам завершить вводную сессию сейчас. Зайдите в любой из кампусов и начните процесс регистрации, чтобы получить место для обучения.
СВЯЗАТЬСЯ С НАМИ СЕЙЧАС, ЧТОБЫ ЗАВЕРШИТЬ ИНДУКТИВНУЮ СЕССИЮ (02) 9897 5622 или admin@startraining. edu.au
- Обратите внимание, что у Star Training нет специальной парковки.Рекомендуется использовать общественный транспорт в течение дня, так как мы находимся всего в 2 минутах ходьбы от железнодорожного вокзала Гранвиль. Если вы едете за рулем, вам нужно будет найти местную платную парковку.
Спецификация межсетевого экрана Cisco ASA 5585-X с отслеживанием состояния
Сегодняшним корпоративным сетям сложно не отставать от мобильной рабочей силы. Пользователи ожидают доступа по запросу со своих многочисленных устройств, даже если количество приложений увеличивается и повышается уровень производительности. И, конечно же, безопасность остается приоритетом. Как вы масштабируете и при этом сохраняете целостность сети? Начните с межсетевого экрана Cisco ® ASA 5585-X, компактного межсетевого экрана с высокой плотностью размещения, который обеспечивает потрясающую масштабируемость, производительность и безопасность, занимая две стойки (2RU).
Используя один блейд-экран межсетевого экрана, Cisco ASA 5585-X удовлетворяет растущие потребности динамично развивающихся организаций, обеспечивая в восемь раз большую плотность производительности, очень большое количество сеансов VPN, вдвое больше соединений в секунду и в четыре раза большую пропускную способность, чем у любой другой конкурентной брандмауэр.
Функции межсетевого экрана
Поддержка функций проверки межсетевого экрана с отслеживанием состояния на уровнях 3 и 4, включая контроль доступа и преобразование сетевых адресов, позволяет организациям поддерживать существующие политики проверки с отслеживанием состояния, которые необходимы для соблюдения нормативных требований и обеспечения безопасности критически важных ресурсов центра обработки данных.
В дополнение к комплексным возможностям проверки с отслеживанием состояния, политики следующего поколения уровня 7 разумно воздействуют на контекстную информацию. Технология Cisco AnyConnect ® предоставляет информацию о типе, местоположении и состоянии конечной точки мобильного устройства до того, как оно получит доступ к сети, чтобы администраторы могли поддерживать высокий уровень видимости, защиты и контроля сети. Каналы аналитики угроз от Cisco Collective Security Intelligence (CSI) используют глобальный след развертываний безопасности Cisco для анализа примерно одной трети мирового интернет-трафика для защиты от новых и возникающих угроз практически в реальном времени.
Гибкие варианты развертывания
Cisco ASA 5585-X поддерживает два аппаратных блейда в одном корпусе 2RU. В нижнем слоте (слот 0) размещается модуль межсетевого экрана ASA с отслеживанием состояния, а в верхнем слоте (слот 1) можно добавить до двух модулей ввода-вывода Cisco ASA 5585-X для обеспечения высокой плотности интерфейсов для критически важных центров обработки данных, которые требуют исключительной гибкости и безопасности.
Кластеризация
Используя программное обеспечение Cisco ASA версии 9.0 и новее, заказчики могут объединить до 16 модулей межсетевого экрана Cisco ASA 5585-X в одном кластере для обеспечения пропускной способности до 640 Гбит / с, 2 миллионов соединений в секунду и более 100 миллионов одновременных соединений. Эта модель «плати по мере роста» позволяет организациям приобретать то, что им нужно сегодня, и динамически добавлять больше, когда их потребности в производительности растут. Для защиты высокопроизводительных центров обработки данных от внутренних и внешних угроз кластер можно расширить, добавив модули IPS.
Программная кластеризация Cisco ASA обеспечивает постоянный коэффициент масштабирования независимо от количества устройств в кластере для линейного и предсказуемого увеличения производительности. Сложность снижается, так как не требуется вносить изменения в существующие сети уровня 2 и уровня 3.Поддержка проектов центров обработки данных на основе системы виртуальной коммутации Cisco Catalyst ® 6500 Series (VSS) и виртуального PortChannel (vPC) Cisco Nexus, а также протокола управления агрегацией каналов (LACP) обеспечивает высокую доступность (HA) и улучшенную сеть интеграция.
Для повышения эффективности работы кластеры Cisco ASA легко управлять и устранять неисправности как единое целое. Политики, переданные на первичный узел, реплицируются на все блоки в кластере. Статистику работоспособности, производительности и емкости всего кластера, а также отдельных блоков в кластере можно оценить с единой консоли управления.Для упрощения обновления устройства поддерживаются обновления программного обеспечения.
Clustering поддерживает HA как в активном / активном, так и в активном / пассивном режимах. Все блоки в кластере активно передают трафик, и вся информация о соединении реплицируется по крайней мере на один другой блок в кластере для поддержки N + 1 HA. Кроме того, поддерживаются одиночный и множественный контексты, а также режимы маршрутизации и прозрачности. Единая конфигурация поддерживается для всех устройств в кластере с помощью автоматической синхронизации конфигурации.Для отслеживания использования ресурсов предоставляется общекластерная статистика.
Интеграция Cisco TrustSec
Используя программное обеспечение Cisco ASA версии 9. 0 и более поздних версий, Cisco ASA 5585-X обеспечивает осведомленность о контексте за счет интеграции брандмауэра на основе идентификации и тегов групп безопасности Cisco TrustSec ® для улучшенной видимости и контроля. Брандмауэр на основе идентификационной информации обеспечивает более гибкий контроль доступа для применения политик на основе идентификационных данных пользователей и групп и точки доступа.Администраторы могут писать политики, соответствующие бизнес-правилам, что повышает безопасность, упрощает использование и требует меньшего количества политик для управления. Точно так же интеграция Cisco TrustSec позволяет встраивать теги групп безопасности в сеть, предоставляя администраторам возможность разрабатывать и применять более точные политики.
Снижение затрат при повышении производительности и безопасности
Межсетевой экран нового поколения Cisco ASA 5585-X обеспечивает превосходную масштабируемость, производительность и безопасность для обработки больших объемов данных без ущерба для производительности. Большинству межсетевых экранов требуется до 16RU и 5100 Вт для масштабирования до уровня производительности, достигаемого Cisco ASA 5585-X всего с 2RU и 785 Вт. Такая производительность помогает предприятиям удовлетворить растущие потребности в сетевых подключениях без необходимости инвестировать в дополнительное пространство в центре обработки данных и нести соответствующие расходы на обслуживание.
На основании тестов, проведенных Cisco, Cisco ASA 5585-X значительно снижает первоначальные затраты на закупку на 80 процентов, затраты на энергопотребление на 85 процентов и требования к пространству в стойке на 88 процентов, а также значительно снижает общую интеграцию и сложность управления и затраты. .Кроме того, вы можете установить до двух модулей межсетевого экрана в одном шасси Cisco ASA 5585-X, обеспечивая масштабируемость до 80 Гбит / с.
В таблице 1 приведены возможности четырех моделей Cisco ASA 5585-X.
Таблица 1. Возможности и возможности межсетевого экрана нового поколения Cisco ASA 5585-X
Элемент | Cisco ASA 5585-X с SSP-10 | Cisco ASA 5585-X с SSP-20 | Cisco ASA 5585-X с SSP-40 | Cisco ASA 5585-X с SSP-60 |
Типичный вариант использования | Кромка | Кромка | Дата-центр | Дата-центр |
Пользователи или узлы | Безлимитный | Безлимитный | Безлимитный | Безлимитный |
Пропускная способность брандмауэра Stateful Inspection (максимальная) [1] | 4 Гбит / с | 10 Гбит / с | 20 Гбит / с | 40 Гбит / с |
Пропускная способность межсетевого экрана с контролем состояния (многопротокольный) [2] | 2 Гбит / с | 5 Гбит / с | 10 Гбит / с | 20 Гбит / с |
Параллельные соединения межсетевого экрана | 1000000 | 2 000 000 | 4 000 000 | 10 000 000 |
Число подключений межсетевого экрана в секунду | 50 000 | 125 000 | 200 000 | 350 000 |
Пакетов (64 байта) в секунду | 1,500,000 | 3 000 000 | 5 000 000 | 9 000 000 |
Контексты безопасности [3] | До 100 | До 250 | До 250 | До 250 |
Аутентификация | Агент Active Directory, LDAP, Kerberos, NTLM | Агент Active Directory, LDAP, Kerberos, NTLM | Агент Active Directory, LDAP, Kerberos, NTLM | Агент Active Directory, LDAP, Kerberos, NTLM |
Максимальная пропускная способность 3DES / AES IPsec VPN [4] | 1 Гбит / с | 2 Гбит / с | 3 Гбит / с | 5 Гбит / с |
Максимальное количество сеансов VPN между клиентами и IPsec IKEv1 4 | До 5000 | До 10 000 | До 10 000 | До 10 000 |
Максимальное количество пользовательских сеансов Cisco AnyConnect или VPN без клиента [5] | До 5000 | До 10 000 | До 10 000 | До 10 000 |
Интерфейсы | 8 портов 10/100/1000, 2 порта 10 Gigabit Ethernet ** (SFP +) | 8 портов 10/100/1000, 2 порта 10 Gigabit Ethernet ** (SFP +) | 6 портов 10/100/1000, 4 порта 10 Gigabit Ethernet (SFP +) | 6 портов 10/100/1000, 4 порта 10 Gigabit Ethernet (SFP +) |
Максимальное количество интерфейсов | 16 портов 10/100/1000, 4 порта 10 Gigabit Ethernet ** (SFP +) (с 2 модулями на шасси) | 16 портов 10/100/1000, 4 порта 10 Gigabit Ethernet ** (SFP +) (с 2 модулями на шасси) | 12 портов 10/100/1000, 8 портов 10 Gigabit Ethernet (SFP +) (с 2 модулями на шасси) | 12 портов 10/100/1000, 8 портов 10 Gigabit Ethernet (SFP +) (с 2 модулями на шасси) |
Встроенные порты управления сетью | 2 порта 10/100/1000 | 2 порта 10/100/1000 | 2 порта 10/100/1000 | 2 порта 10/100/1000 |
Интегрированные сетевые порты | 8 портов 10/100/1000, 2 порта 10 Gigabit Ethernet *** (SFP +) | 8 портов 10/100/1000, 2 порта 10 Gigabit Ethernet *** (SFP +) | 6 портов 10/100/1000, 4 порта 10 Gigabit Ethernet (SFP +) | 6 портов 10/100/1000, 4 порта 10 Gigabit Ethernet (SFP +) |
Максимальное количество интегрированных сетевых портов | 16 портов 10/100/1000, 4 порта 10 Gigabit Ethernet *** SFP + (с 2 модулями на шасси) | 16 портов 10/100/1000, 4 порта 10 Gigabit Ethernet *** SFP + (с 2 модулями на шасси) | 12 портов 10/100/1000, 8 портов 10 Gigabit Ethernet SFP + (с 2 модулями на шасси) | 12 портов 10/100/1000, 8 портов 10 Gigabit Ethernet SFP + (с 2 модулями на шасси) |
Слоты для интерфейсных карт | 2 | 2 | 2 | 2 |
Виртуальные интерфейсы (VLAN) | 1024 | 1024 | 1024 | 1024 |
Масштабируемость | Кластеризация и балансировка нагрузки VPN | Кластеризация и балансировка нагрузки VPN | Кластеризация и балансировка нагрузки VPN | Кластеризация и балансировка нагрузки VPN |
Высокая доступность | Активный / активный [6] и Активный / резервный | Активный / активный 6 и Активный / резервный | Активный / активный 6 и Активный / резервный | Активный / активный 6 и Активный / резервный |
Резервное питание | Поддерживается, второй блок питания опционально | Поддерживается, второй блок питания опционально | Поддерживается, второй блок питания опционально | Поддерживается |
USB 2. 0 портов | 2 | 2 | 2 | 2 |
Последовательные порты | 1 RJ-45, консольный и вспомогательный | 1 RJ-45, консольный и вспомогательный | 1 RJ-45, консольный и вспомогательный | 1 RJ-45, консольный и вспомогательный |
Монтаж в стойку | Да, монтаж в стойку включены | Да, монтаж в стойку включены | Да, монтаж в стойку включены | Да, монтаж в стойку включены |
Память | 6 ГБ (SSP-10) 12 ГБ (с 2 модулями на шасси) | 12 ГБ (SSP-20) 24 ГБ (с 2 модулями на шасси) | 12 ГБ (SSP-40) 36 ГБ (с 2 модулями на шасси) | 24 ГБ (SSP-60) 72 ГБ (с 2 модулями на шасси) |
Минимальная системная флэш-память | 2 ГБ (SSP-10) | 2 ГБ (SSP-20) | 2 ГБ (SSP-40) | 2 ГБ (SSP-60) |
Рабочая температура | от 32 до 104 ° F | от 32 до 104 ° F | от 32 до 104 ° F | от 32 до 104 ° F |
Относительная влажность | от 10 до 90 процентов без конденсации | от 10 до 90 процентов без конденсации | от 10 до 90 процентов без конденсации | от 10 до 90 процентов без конденсации |
Высота | Разработан и испытан для | Разработан и испытан для | Разработан и испытан для | Разработано и испытано для |
Шум | 65 дБа макс. | 65 дБа макс. | 65 дБа макс. | 65 дБа макс. |
Температура | от -40 до + 158 ° F | от -40 до + 158 ° F | от -40 до + 158 ° F | от -40 до + 158 ° F |
Относительная влажность | от 5 до 95 процентов без конденсации | от 5 до 95 процентов без конденсации | от 5 до 95 процентов без конденсации | от 5 до 95 процентов без конденсации |
Высота | от 0 до 30 000 футов (9144 м) | от 0 до 30 000 футов (9144 м) | от 0 до 30 000 футов (9144 м) | от 0 до 30 000 футов (9144 м) |
Диапазон линейного напряжения | от 100 до 240 В переменного тока | от 100 до 240 В переменного тока | от 100 до 240 В переменного тока | от 100 до 240 В переменного тока |
Нормальное сетевое напряжение | от 100 до 240 В переменного тока | от 100 до 240 В переменного тока | от 100 до 240 В переменного тока | от 100 до 240 В переменного тока |
Максимальный ток | 9A (100 В переменного тока), | 9 А (100 В переменного тока), | 9 А (100 В переменного тока), | 9A (100 В переменного тока), |
Частота | от 50 до 60 Гц | от 50 до 60 Гц | от 50 до 60 Гц | от 50 до 60 Гц |
Устойчивое состояние | 320 Вт (только 1 SSP) | 320 Вт (только 1 SSP) | 320 Вт (только 1 SSP) | 320 Вт (только 1 SSP) |
Максимальный пик | 370 Вт (только 1 SSP) | 370 Вт (только 1 SSP) | 370 Вт (только 1 SSP) | 370 Вт (только 1 SSP) |
Максимальное тепловыделение | 3960 БТЕ / час (100 В переменного тока), 5450 БТЕ / час (200 В переменного тока) | 3960 БТЕ / час (100 В переменного тока), 5450 БТЕ / час (200 В переменного тока) | 3960 БТЕ / час (100 В переменного тока), 5450 БТЕ / час (200 В переменного тока) | 3960 БТЕ / час (100 В переменного тока), 5450 БТЕ / час (200 В переменного тока) |
Форм-фактор | 2RU, 19 дюйм. для монтажа в стойку | 2RU, 19 дюйм. для монтажа в стойку | 2RU, 19 дюйм. для монтажа в стойку | 2RU, 19 дюйм. для монтажа в стойку |
Размеры (В x Ш x Г) | 3,47 x 19 x 26,5 дюйма | 3,47 x 19 x 26,5 дюйма | 3,47 х 19 х 26.5 дюймов | 3,47 x 19 x 26,5 дюйма |
Вес | 50 фунтов (22,7 кг) с 1 SSP и одним источником питания 62 фунта (28,2 кг) с 2 модулями на шасси и двумя блоками питания | 50 фунтов (22,7 кг) с 1 SSP и одним источником питания 62 фунта (28,2 кг) с 2 модулями на шасси и двумя блоками питания | 50 фунтов (22. 7 кг) с 1 SSP и одним блоком питания 62 фунта (28,2 кг) с 2 модулями на шасси и двумя блоками питания | 50 фунтов (22,7 кг) с 1 SSP и одним источником питания 62 фунта (28,2 кг) с 2 модулями на шасси и двумя блоками питания |
Безопасность | UL 60950-1, CAN / CSA-C22.2 No. 60950-1 | UL 60950-1, CAN / CSA-C22.2 № 60950-1 | UL 60950-1, CAN / CSA-C22.2 No. 60950-1 | UL 60950-1, CAN / CSA-C22.2 No. 60950-1 |
Электромагнитная совместимость (ЭМС) | 47CFR, часть 15 (CFR 47), класс A, AS / NZS CISPR22, класс A, CISPR2 2, класс A, EN55022, класс A, ICES003, класс A, VCCI, класс A EN61000-3-2, EN61000-3-3, KN22, класс A , CNS13438, класс A, EN50082-1, EN55024, CISPR24, EN300386, KN 61000-4, серия | 47CFR, часть 15 (CFR 47), класс A, AS / NZS CISPR22, класс A, CISPR2 2, класс A, EN55022, класс A, ICES003, класс A, VCCI, класс A EN61000-3-2, EN61000-3-3, KN22, класс A , CNS13438, класс A, EN50082-1, EN55024, CISPR24, EN300386, KN 61000-4, серия | 47CFR, часть 15 (CFR 47), класс A, AS / NZS CISPR22, класс A, CISPR2 2, класс A, EN55022, класс A, ICES003, класс A, VCCI, класс A EN61000-3-2, EN61000-3-3, KN22, класс A , CNS13438, класс A, EN50082-1, EN55024, CISPR24, EN300386, KN 61000-4, серия | 47CFR, часть 15 (CFR 47), класс A, AS / NZS CISPR22, класс A, CISPR2 2, класс A, EN55022, класс A, ICES003, класс A, VCCI, класс A EN61000-3-2, EN61000-3-3, KN22, класс A , CNS13438, класс A, EN50082-1, EN55024, CISPR24, EN300386, KN 61000-4, серия |
Примечание. Показатели производительности были протестированы и подтверждены с помощью программного обеспечения Cisco ASA версии 8.4.
Вес | 11,5 фунтов (5,2 кг) |
Соответствие нормативным требованиям и стандартам | |
Безопасность | UL 60950-1, CAN / CSA-C22.2 No. 60950-1 |
Электромагнитная совместимость (ЭМС) | 47CFR часть 15 (CFR 47) класс A, AS / NZS CISPR22 класс A, |
Модули ввода-вывода Cisco ASA 5585-X
Критически важные центры обработки данных с программным обеспечением Cisco ASA версии 8. 4.4 и более поздних версий можно использовать верхний слот Cisco ASA 5585-X для добавления до двух модулей ввода-вывода Cisco ASA 5585-X для исключительной гибкости и безопасности. С двумя модулями ввода-вывода Cisco ASA 5585-X один Cisco ASA 5585-X может поддерживать до двадцати портов 10 Gigabit Ethernet или до пятидесяти портов 1 Gigabit Ethernet. Используя разделитель Cisco ASA 5585-X, верхний слот делится на два полуслота, при этом каждый модуль ввода-вывода занимает один полуслот. Если установлен только один модуль ввода / вывода, требуется заглушка на половину слота, чтобы закрыть пустой полуплот.
В таблице 2 более подробно описан каждый из модулей ввода-вывода Cisco ASA 5585-X.
Таблица 2. Модули ввода-вывода Cisco ASA 5585-X
Описание продукта | Количество портов | Номер детали продукта | ||
Порты SFP / SFP + | Порты SFP | Порты 10/100 / 1000BASE-T | ||
Варианты конфигурации | ||||
Cisco ASA 5585-X 8-портовый модуль 10 Gigabit Ethernet | 8 | – | – | ASA5585-NM-8-10GE |
Cisco ASA 5585-X 4-портовый модуль 10 Gigabit Ethernet | 4 | – | – | ASA5585-NM-4-10GE |
Cisco ASA 5585-X 20-портовый модуль 1 Gigabit Ethernet | – | 12 | 8 | ASA5585-NM-20-1GE |
Разделитель слота Cisco ASA 5585-X | – | – | – | ASA5585-SEPTUM |
Крышка половинного слота Cisco ASA 5585-X | – | – | – | ASA5585-BLANK-H |
Запасные части | ||||
Cisco ASA 5585-X 8-портовый модуль 10 Gigabit Ethernet | 8 | – | – | ASA5585-NM-8-10GE = |
Cisco ASA 5585-X 4-портовый модуль 10 Gigabit Ethernet | 4 | – | – | ASA5585-NM-4-10GE = |
Cisco ASA 5585-X 20-портовый модуль 1 Gigabit Ethernet | – | 12 | 8 | ASA5585-NM-20-1GE = |
Разделитель слота Cisco ASA 5585-X | – | – | – | ASA5585-SEPTUM = |
Крышка половинного слота Cisco ASA 5585-X | – | – | – | ASA5585-BLANK-H = |
В Таблице 3 перечислены поддерживаемые подключаемые модули SFP расширенного малого форм-фактора 10 Gigabit Ethernet (SFP +) и 1 Gigabit Ethernet.
Таблица 3. Поддерживаемые модули SFP и SFP +
Описание продукта | Номер детали продукта | |
Поддерживаемые модули SFP | Модуль Cisco 1000 Base-SX SFP, MMF, 850 нм, DOM Модуль Cisco 1000 Base-LX / LH SFP, MMF / SMF, 1310 нм, DOM Cisco 1000BASE-T, медный SFP Модуль Cisco 1000BASE-EX SFP , SMF, 1550 нм, DOM Модуль Cisco 1000BASE-ZX SFP, SMF, 1310 нм, DOM | GLC-SX-MMD GLC-LH-SMD GLC-T GLC-ZX-SMD GLC-EX-SMD |
Поддерживаемые модули SFP + | Модули 10G SR SFP + Модуль 10G LRM SFP + Модуль 10G LR SFP + Модуль 10G ER SFP + Кабель 10G BASE-CU SFP + 1 метр, пассивный 10G BASE-CU, пассивный кабель + 3 метра Кабель 10G BASE-CU SFP + 5 метров, пассивныйКабель 10G BASE-CU SFP + 7 метров, активный Кабель 10G BASE-CU SFP + 10 метров, активный | SFP-10G-SR SFP-10G-LRM SFP-10G-LR SFP-10G-ER SFP-h20GB-CU1M SFP-h20GB-CU3M SFP-h20GB-CU3M SFP SFP-h20GB-ACU7M SFP-h20GB-ACU10M |
Дополнительные блоки питания постоянного тока
Поставщики услуг и центры обработки данных, которым требуется оборудование с питанием от центров обработки данных, могут приобрести модули питания для центров обработки данных Cisco ASA 5585-X со встроенными вентиляторами. Эти блоки питания обеспечивают до 1150 Вт мощности центра обработки данных для межсетевых экранов нового поколения Cisco ASA 5585-X. Для каждого шасси Cisco ASA 5585-X требуется два источника питания центра обработки данных. Минимальное необходимое программное обеспечение — это программное обеспечение Cisco ASA версии 8.4.5.
Информация о гарантии
Найдите информацию о гарантии на сайте Cisco.com на странице «Гарантии на продукцию».
Информация для заказа
Помогите клиентам понять все компоненты или детали, которые им необходимо приобрести для установки и использования продукта.
Чтобы разместить заказ, посетите домашнюю страницу Cisco How to Buy.
В таблице 4 перечислены номера деталей для удобства клиентов.
Таблица 4. Информация для заказа
Название продукта | Номер детали продукта |
Cisco ASA 5585-X Firewall Edition Bundles | |
Cisco ASA 5585-X Firewall Edition Пакет SSP-10 включает 8 интерфейсов Gigabit Ethernet, 2 интерфейса SFP Gigabit Ethernet, 2 интерфейса управления Gigabit Ethernet, 5000 одноранговых узлов IPsec VPN, 2 узла Premium VPN, лицензия DES | ASA5585-S10-K8 |
Cisco ASA 5585-X Firewall Edition Пакет SSP-10 включает 8 интерфейсов Gigabit Ethernet, 2 интерфейса Gigabit Ethernet SFP, 2 интерфейса управления Gigabit Ethernet, 5000 одноранговых узлов IPsec VPN, 2 узла Premium VPN, лицензия 3DES / AES | ASA5585-S10-K9 |
Cisco ASA 5585-X Security Plus Firewall Edition Пакет SSP-10 включает в себя 8 интерфейсов Gigabit Ethernet, 2 интерфейса SFP + 10 Gigabit Ethernet, 2 интерфейса управления Gigabit Ethernet, 5000 одноранговых узлов IPsec VPN, 2 одноранговых узла Premium VPN, двойное питание переменного тока, Лицензия 3DES / AES | ASA5585-S10X-K9 |
Cisco ASA 5585-X Firewall Edition Пакет SSP-20 включает 8 интерфейсов Gigabit Ethernet, 2 интерфейса Gigabit Ethernet SFP, 2 интерфейса управления Gigabit Ethernet, 10 000 одноранговых узлов IPsec VPN, 2 узла Premium VPN, лицензия DES | ASA5585-S20-K8 |
Cisco ASA 5585-X Firewall Edition Пакет SSP-20 включает 8 интерфейсов Gigabit Ethernet, 2 интерфейса SFP Gigabit Ethernet, 2 интерфейса управления Gigabit Ethernet, 10 000 одноранговых узлов IPsec VPN, 2 узла Premium VPN, лицензия 3DES / AES | ASA5585-S20-K9 |
Cisco ASA 5585-X Security Plus Firewall Edition Пакет SSP-20 включает 8 интерфейсов Gigabit Ethernet, 2 интерфейса SFP + 10 Gigabit Ethernet, 2 интерфейса управления Gigabit Ethernet, 10 000 одноранговых узлов IPsec VPN, 2 узла VPN Premium, двойное питание переменного тока, Лицензия 3DES / AES | ASA5585-S20X-K9 |
Cisco ASA 5585-X Firewall Edition Пакет SSP-40 включает 6 интерфейсов Gigabit Ethernet, 4 интерфейса SFP + 10 Gigabit Ethernet, 2 интерфейса управления Gigabit Ethernet, 10 000 одноранговых узлов IPsec VPN, 2 узла Premium VPN, лицензия DES | ASA5585-S40-K8 |
Cisco ASA 5585-X Firewall Edition Пакет SSP-40 включает 6 интерфейсов Gigabit Ethernet, 4 интерфейса 10 Gigabit Ethernet SFP +, 2 интерфейса управления Gigabit Ethernet, 10 000 одноранговых узлов IPsec VPN, 2 узла Premium VPN, лицензию 3DES / AES | ASA5585-S40-K9 |
Cisco ASA 5585-X Firewall Edition Пакет SSP-40 включает 6 интерфейсов Gigabit Ethernet, 4 интерфейса 10 Gigabit Ethernet SFP +, 2 интерфейса управления Gigabit Ethernet, 10 000 одноранговых узлов IPsec VPN, 2 узла Premium VPN, | ASA5585-S40-2A-K9 |
Cisco ASA 5585-X Firewall Edition Пакет SSP-60 включает 6 интерфейсов Gigabit Ethernet, 4 интерфейса 10 Gigabit Ethernet SFP +, 2 интерфейса управления Gigabit Ethernet, 10 000 одноранговых узлов IPsec VPN, 2 узла Premium VPN, | ASA5585-S60-2A-K8 |
Cisco ASA 5585-X Firewall Edition Пакет SSP-60 включает в себя 6 интерфейсов Gigabit Ethernet, 4 интерфейса 10 Gigabit Ethernet SFP +, 2 интерфейса управления Gigabit Ethernet, 10 000 одноранговых узлов IPsec VPN, 2 узла Premium VPN, | ASA5585-S60-2A-K9 |
Cisco ASA 5585-X SSL / IPsec VPN Edition Bundles | |
Cisco ASA 5585-X SSL / IPsec VPN Edition Пакет SSP-10 включает 5000 одноранговых узлов IPsec VPN, 5000 узлов Premium VPN, службы межсетевого экрана, 8 интерфейсов Gigabit Ethernet, 2 интерфейса управления, лицензию 3DES / AES | ASA5585-S10-5K-K9 |
Cisco ASA 5585-X SSL / IPsec VPN Edition Пакет SSP-20 включает 10000 одноранговых узлов IPsec VPN, 10000 узлов Premium VPN, службы межсетевого экрана, 8 интерфейсов Gigabit Ethernet, 2 интерфейса управления, лицензия 3DES / AES | ASA5585S20-10K-K9 |
Cisco ASA 5585-X SSL / IPsec VPN Edition Пакет SSP-40 включает 10000 одноранговых узлов IPsec VPN, 10000 узлов Premium VPN, службы межсетевого экрана, 8 интерфейсов Gigabit Ethernet, 2 интерфейса управления, лицензия 3DES / AES | ASA5585S40-10K-K9 |
Cisco ASA 5585-X SSL / IPsec VPN Edition Пакет SSP-60 включает 10000 одноранговых узлов IPsec VPN, 10000 узлов Premium VPN, службы межсетевого экрана, 8 интерфейсов Gigabit Ethernet, 2 интерфейса управления, лицензия 3DES / AES | ASA5585S60-10K-K9 |
Процессоры служб безопасности Cisco ASA 5585-X | |
Процессор служб безопасности Cisco ASA 5585-X 10 (SSP-10) | ASA-SSP-10-K8 = |
Процессор служб безопасности Cisco ASA 5585-X 20 (SSP-20) | ASA-SSP-20-K8 = |
Процессор служб безопасности Cisco ASA 5585-X 40 (SSP-40) | ASA-SSP-40-K8 = |
Процессор служб безопасности Cisco ASA 5585-X 60 (SSP-60) | ASA-SSP-60-K8 = |
Блоки питания постоянного тока Cisco ASA 5585-X | |
Блок питания постоянного тока Cisco ASA 5585 (настраиваемый вариант) | ASA5585-DC-PWR |
Блок питания постоянного тока Cisco ASA 5585 (запасной) | ASA5585-DC-PWR = |
Cisco ASA 5585-X SSP40 Блок питания постоянного тока | ASA5585- S40-2D-K9 |
Cisco ASA 5585-X SSP60 Блок питания постоянного тока | ASA5585- S60-2D-K9 |
Для загрузки программного обеспечения
Посетите Центр программного обеспечения Cisco, чтобы загрузить программное обеспечение Cisco ASA.
Сервис и поддержка
Услуги Cisco помогают защитить инвестиции в сеть, улучшить работу сети и подготовить сеть к новым приложениям, чтобы расширить интеллектуальные возможности сети и повысить эффективность вашего бизнеса.
В фазу «Эксплуатация» жизненного цикла службы входят служба Cisco Security IntelliShield ® Alert Manager, службы Cisco SMARTnet ™ , Cisco SP Base и Cisco Services для IPS. Эти услуги подходят для корпоративных, коммерческих клиентов и поставщиков услуг.
Cisco Security IntelliShield Alert Manager Service предоставляет настраиваемую веб-службу предупреждений об угрозах и уязвимостях, которая позволяет организациям легко получать доступ к своевременной, точной и достоверной информации о потенциальных уязвимостях в своей среде.
Услуги Cisco для IPS поддерживают модули, платформы и связки платформ и модулей, которые поддерживают возможности Cisco IPS. Cisco SMARTnet и Cisco SP Base поддерживают другие продукты этого семейства.
Для получения дополнительной информации
Для получения дополнительной информации перейдите по следующим ссылкам:
● Межсетевые экраны нового поколения Cisco ASA серии 5500-X: http: // www.cisco.com/en/US/products/ps6120/index.html
● Cisco Cloud Web Security: http://www.cisco.com/en/US/products/ps11720/index.html
● Решения Cisco TrustSec: http://www.cisco.com/en/US/netsol/ns1051/index.html
● Cisco AnyConnect: http://www.cisco.com/go/anyconnect
● Руководство по заказу Cisco AnyConnect: http://www.cisco.com/c/en/us/products/security/anyconnect-secure-mobility-client/sales-resources-listing.html
● Cisco Security Manager: http: // www.cisco.com/en/US/products/ps6498/index.html
● Cisco Adaptive Security Device Manager: http://www.cisco.com/en/US/products/ps6121/index.html
● Услуги безопасности Cisco: http://www.cisco.com/en/US/products/svcs/ps2961/ps2952/serv_group_home. html
Управление общественной безопасности | Безопасность и безопасность
Мы ищем поддержку и мнение членов нашего сообщества, чтобы адаптировать наш подход к безопасности и потребностям всех, кто посещает занятия, работает, посещает и живет на территории кампуса.Наша цель — обеспечить безопасный кампус для сообщества колледжа, сотрудничая со всеми заинтересованными сторонами, чтобы постоянно изменять наш подход к безопасности. Создание безопасного кампуса — это задача всего колледжа, которая требует сотрудничества и поддержки всех членов нашего сообщества.
Миссия
Миссия Управления общественной безопасности — повысить качество жизни в университетском городке, обеспечивая безопасную среду для сообщества нашего колледжа. Мы стремимся поддерживать среду, в которой может быть реализована основная образовательная миссия Колледжа.
Видение
Управление общественной безопасности должно превосходно решать как вопросы качества жизни, так и восприятие опасных условий в нашем кампусе. Это видение будет реализовано за счет усовершенствованных технологий безопасности и использования современных стратегий общественной безопасности в соответствии с высочайшими стандартами правоохранительных органов университетского городка. Руководство департамента должно сосредоточиться на создании среды университетского городка, которая решает вопросы безопасности в полном сотрудничестве со всеми членами кампуса и местным сообществом.
Основные ценности
Управление общественной безопасности ориентировано на «обслуживание клиентов». Порядок предоставления наших услуг напрямую влияет на все сообщество кампуса. Члены Департамента стремятся предоставлять услуги с высочайшей степенью честности, заботы и уважения к правам личности.
Общая информация и услуги
Узнайте часы работы колледжа и некоторые услуги, предоставляемые Управлением общественной безопасности
Колледж Статен-Айленда открыт с 6 утра до 12 ночи.Когда колледж закрыт, доступ в кампус можно получить через главные ворота на бульваре Победы. Пожалуйста, остановитесь у главных ворот, предъявите удостоверение личности колледжа и сообщите сотруднику службы безопасности университетского городка, куда вы едете.
Пожалуйста, сообщите в Управление общественной безопасности по доб. 2111, когда вы покидаете кампус. Эти процедуры служат для предупреждения сотрудников общественной безопасности о вашем присутствии на территории кампуса и предназначены для вашей безопасности.
Чтобы обеспечить дополнительную безопасность после наступления темноты, во время вечерних занятий Управление общественной безопасности обеспечивает сопровождение в униформе на парковки, здания, классы и общественный транспорт.Всем, кто хочет воспользоваться услугой сопровождения, следует:Воспользуйтесь любым телефоном в вестибюле и позвоните по доб. 2116 или со своего мобильного телефона наберите 718-982-2116.
Сообщите в Службу общественной безопасности ваше местонахождение и пункт назначения вашего сопровождающего.
Найденное имущество может быть передано любому офицеру в форме или доставлено в Управление общественной безопасности в здании 2А, комната 108.Справки о потерянном имуществе следует направлять в Управление общественной безопасности или по телефону, доб.2116. Все утерянные вещи будут храниться не менее 60 дней.
В конце 60-дневного периода, если право собственности не может быть установлено, и предмет не востребован, он может быть востребован тем, кто нашел предмет. Оставшиеся невостребованными полезные вещи будут переданы в благотворительные организации.
Ключи выдаются преподавателям и сотрудникам Управлением общественной безопасности по адресу 2-A, Rm. 108 в обычные рабочие часы.Преподаватели и сотрудники должны иметь письмо, подписанное руководителем их отдела, с указанием разрешенных ключей. За замену каждого утерянного ключа взимается плата в размере 3 доллара США. Для получения дополнительной информации о ключах отправьте электронное письмо по адресу george. [email protected]
.На территории кампуса есть много мест, недоступных для автомобилей, но хорошо подходящих для велосипедов и Segways®. Эти подразделения состоят из специально обученных сотрудников, получивших сертификаты Международной полицейской ассоциации горных велосипедов (IPMBA) и Segway®.Эти офицеры прошли подготовку по тактике патрулирования, техническому обслуживанию оборудования, безопасности, физической подготовке, правовым вопросам и эксплуатационным законам.
Информация о парковке и автопомощь
Информация о парковке на территории кампуса и о том, как получить помощь с автомобилем.
Программа автомобильной помощи
Управление общественной безопасности будет оказывать помощь людям в университетском городке, которые испытывают определенные автомобильные проблемы, такие как локаут, спущенное колесо или разряженный аккумулятор.Физические лица должны будут подписать форму отказа от ответственности перед тем, как будет оказана автомобильная помощь.
Чтобы получить помощь, позвоните на внутренний номер 2116.
Доступ к парковке для преподавателей и сотрудников
Преподаватели и сотрудники, желающие получить доступ к стоянкам для преподавателей / сотрудников, должны иметь новую идентификационную карту дельфина, которую теперь можно получить в офисе общественной безопасности, 2A, Rm. 108. У них должны быть действующие пропуски парковки для преподавателей / сотрудников, водительские права и регистрация автомобиля.За замену ID-карты взимается плата в размере 10 долларов США.
Парковка для посетителей
Все студенты и сотрудники колледжа должны зарегистрировать свой автомобиль и приобрести пропуск для парковки на территории кампуса. Это относится ко всем студентам и сотрудникам дневной и заочной форм обучения.Парковка для посетителей ограничена парковкой №6. Доступ посетителей на другие стоянки должен быть разрешен начальником Департамента общественной безопасности. Автостоянки открыты с 6 утра до 12 ночи.
Посетители колледжа могут получить однодневное разрешение на парковку, остановившись у будки службы общественной безопасности, расположенной у главного входа с бульвара Победы. или черный вход, расположенный у Форест-Хилл-роуд. Только посетители колледжа могут использовать это разрешение, и любое другое использование является нарушением.
Использование «Пропуска посетителя» в течение дня не заменяет обязательную наклейку и может привести к выдаче повестки. Обратите внимание, что, хотя Посетители ограничены участком № 6, студенты и сотрудники, которые припарковывают там свои автомобили, должны предъявить действительную наклейку CSI Parking Decal.
Запрос на ночную парковку в кампусе
Парковка на территории кампуса предназначена для студентов, преподавателей и сотрудников, которые приобретают и демонстрируют разрешение на парковку.
Экстренная ночная парковка — Запросы на одну (1) ночную экстренную ночную парковку должны получить предварительное разрешение от директора общественной безопасности.
Долгосрочная парковка — только те члены сообщества колледжа, которые приобрели разрешение на парковку и занимаются деятельностью, связанной с колледжем, могут получить разрешение оставить свои автомобили на территории кампуса на длительный период, не превышающий пяти (5) ночей.
Любой запрос на экстренную ночную или долгосрочную парковку должен выполняться в соответствии со следующими шагами:
- Загрузите и заполните все подписи в прилагаемой форме запроса на ночную парковку.
- Запросы на долгосрочную парковку должны быть сначала одобрены начальником отдела, начальником отдела или деканом.
- Затем все запросы должны быть отправлены (факс, электронная почта, доставлены лично) директору общественной безопасности для рассмотрения и утверждения.
- Бланк запроса на ночную парковку также можно получить и заполнить в Управлении общественной безопасности. Корпус 2А — Кабинет 108.
Парковка для персонала / преподавателей № 1 обычно предназначена для ночной парковки. Просьбы оставить автомобиль в другом месте будут рассматриваться в индивидуальном порядке Директором общественной безопасности. Все ценные вещи должны быть удалены из транспортного средства перед тем, как поставить его на стоянку для персонала / преподавателей № 1.
CSI НЕ НЕСЕТ ОТВЕТСТВЕННОСТИ ЗА ЛЮБЫЕ УБЫТКИ ИЛИ УЩЕРБ, КОТОРЫЕ МОГУТ ПРОИЗОЙТИ.
Важные ссылки
Дисквалификация лицензий на безопасность | Ваши права, преступность и закон
РаспечататьЕсли вы совершили правонарушение, это может повлиять на вашу способность получить или иметь лицензию на безопасность.
Некоторые правонарушения настолько серьезны, что вы не можете получить или иметь лицензию на безопасность, если вы ее совершили.
Другие нарушения не лишают вас возможности автоматически, но мы принимаем их во внимание при принятии решения о том, следует ли вам иметь лицензию на охрану или иметь ее.
Если вы подаете заявку на получение лицензии на безопасность как физическое лицо, охранная фирма или исполнительный директор корпорации, то к вам применяются следующие критерии.
Автоматическая дисквалификация
Если вы совершили какое-либо из следующих правонарушений, вы будете автоматически лишены права на получение или обладание лицензией безопасности.
Автоматическая дисквалификация применяется, если вы были осуждены (судимость записана) в течение последних 10 лет:
Тип преступления | Некоторые примеры (но не ограничиваясь только ими) |
---|---|
Любое преступление, указанное в Приложении 1 Уголовного кодекса 1899 |
|
Любое преступление, связанное с оружием, наказывается лишением свободы на срок от 1 года. |
|
Любое правонарушение, связанное с наркотиками, наказывается лишением свободы на срок от 1 года. |
|
Некоторые правонарушения со стороны полиции |
|
Терроризм |
|
Преступление, предусмотренное законом о наказаниях и приговорах 1992 года (s161N) и (s 161Q) |
007 Riotили вымогательство |
Вы по-прежнему автоматически дисквалифицируетесь, если вас осудят за аналогичное преступление за пределами Квинсленда.
Заявки на получение лицензии
Если вы подаете заявку на лицензию, ваша заявка будет отклонена.
Уже лицензировано
Если вас признают виновным в каком-либо из этих правонарушений, пока у вас есть лицензия, ваша лицензия будет автоматически аннулирована.
Если это произойдет, вы:
- не сможете подать апелляцию на отмену.
- будет наказан, если вы работаете без лицензии.
- не может подать заявление на получение лицензии в течение 10 лет с даты вашего осуждения.
Если вам предъявлено обвинение в каком-либо из этих правонарушений, пока у вас есть лицензия, мы можем попросить вас объяснить нам, почему мы не должны приостанавливать или отменять вашу лицензию.
Прочие правонарушения и поведение
Мы по-прежнему можем принимать во внимание другие правонарушения и действия, даже если они не лишают вас автоматически права на получение или владение лицензией безопасности.
Сюда входят:
- преступлений, указанных в таблице выше, которые старше 10 лет
- любые другие преступления, в Квинсленде или где-либо еще, даже если они старше 10 лет
- любые незарегистрированные факты вашей вины (т. Е. Отсутствие судимость записана)
- , если вы:
- проявили недобросовестность или недобросовестность в своих делах
- использовали тактику преследования
- , связанную с преступниками таким образом, который указывает на незаконную деятельность
- воспользовался законами о банкротстве
- если вы представляете риск для общественной безопасности
- , если наличие у вас лицензии не отвечает общественным интересам.
Помните, что мы можем учитывать правонарушения в соответствии с другими законами, помимо Уголовного кодекса и законов о честной торговле.
Например, если вы участвовали в действиях, нарушающих законы на рабочем месте, например, о фиктивных контрактах, мы можем посчитать вас неподходящим для получения лицензии.
Заявки на лицензию
Если вы подаете заявку на лицензию, мы учтем эти факторы при принятии решения.
Нам решать, предоставлять вам лицензию или нет.Если мы решим отклонить вашу заявку на лицензию, мы должны сообщить вам причины нашего решения. Вы можете обжаловать наше решение.
Уже имеет лицензию
Если вам предъявлено обвинение или вы признаны виновным в совершении правонарушения или совершили любое другое ненадлежащее поведение, пока у вас есть лицензия, мы можем попросить вас объяснить нам, почему мы не должны аннулировать вашу лицензию.
Нам решать, подходите ли вы для сохранения лицензии. Если мы решим, что это не так, мы должны указать причины нашего решения.Вы можете обжаловать наше решение.
Цифровая подпись, класс 2A — Msolution
Сертификат цифровой подписи класса 2A:
Сертификаты цифровой подписикласса 2А выдаются только физическим лицам. Сертификат с цифровой подписью класса 2A теперь помогает вам подавать декларации о доходах и электронные формы в Министерство по корпоративным делам. E Подача деклараций о подоходном налоге является обязательной для всех оцениваемых в соответствии с Законом о подоходном налоге, которые обязаны проверять u / s 44AB.
Министерство корпоративных дел (MCA) 21 — Проект управления E требовал, чтобы все документы были поданы корпорациями в электронном виде путем аутентификации с помощью сертификата цифровой подписи класса 2 или выше категории
Где используется
— E Подача декларации о доходах.
— Подача электронных форм в Министерство по корпоративным делам.
— Форма подписи 16 / 16A — TRACES.
— Подписание документов PDF.
— GST (налог на товары и услуги)
Цифровая подпись класса 2 для электронной подачи подоходного налога.
с сертификатом с зашифрованной цифровой подписью на портале электронной подачи подоходного налога стала обязательной с 1 июля 2011 года для фирм и физических лиц, чьи счета подлежат аудиту согласно пункту 44 AB Закона о подоходном налоге 1961 года. Для других лиц, не подпадающих под указанную выше категорию, электронную подачу налоговой декларации можно также подавать с сертификатами цифровой подписи. Если подача осуществляется в электронном виде с использованием цифровой подписи, нет необходимости представлять физическую копию декларации. В противном случае необходимо предоставить физическую распечатанную копию заполненной формы вместе с копией временного номера подтверждения вашего электронного возврата.
Цифровая подпись класса 2 для подачи заявки на DIN от Министерства корпоративных дел
Министерство по корпоративным делам (MCA) в рамках программы MCA21 сделало цифровую подпись обязательной для подачи заявления на получение DIN (идентификационный номер директора).Цифровая подпись класса 2 (RCAI Class 2) является минимальным требованием для подачи онлайн-заявки на нее. Следовательно, всем директорам компании согласно MCA21 требуется сертификат цифровой подписи класса 2.
Цифровая подпись класса 2 для EPFO
Сертификат цифровой подписикласса 2 используется для подачи Участниками требований о передаче в режиме онлайн. Теперь у участника есть возможность подать заявку либо через своего нынешнего работодателя, либо через предыдущего. Участники могут легко просматривать все такие запросы на претензии, проверять / исправлять данные об участниках, утверждать и отправлять запросы онлайн через этот портал.Подача претензий онлайн может осуществляться только с цифровой подписью Уполномоченного лица организации.
Цифровая подпись класса 2 для GST
Сертификат цифровой подписикласса 2 используется для регистрации GST. Как нам известно, регистрация GST становится обязательной для регистрации в государственном НДС / ИНН. Но теперь все конвертируются в GST, цифровая подпись будет использоваться для регистрации GST.
Цифровая подпись класса 2 для подписи формы 16A и TRACES
Сертификат цифровой подписикласса 2 используется для онлайн-регистрации в TRACES и подписания формы 16A для целей TDS.
Необходимые документы
- 1) Форма заявки (должным образом подписанная) — Скачать здесь
- 2) Недавняя фотография паспортного размера (вставлена в форму заявки и подписана рядом с фотографией
- Документы, необходимые для индивидуального рассмотрения дела (самопроверка заявителя)
Подтверждение личности кандидата (любой) Пан Кард | Водительское удостоверение | Карта Адхар | Паспорт | Подтверждение адреса заявителя (любой) Идентификатор двигателя | Карта Адхар | Водительское удостоверение | Паспорт | Телефонный счет | Счет за электричество |
Примечание:- Документы должны быть заверены самостоятельно.
- Документы, заверенные официальным лицом, менеджером банка или почтмейстером.
- Фото крестиком.
- Заполнение форм и подтверждение только от Blue Pen.
- Идентификатор электронной почты и номер мобильного телефона верны и не используются для другого запроса цифровой подписи.
- Телефон Для цифровой подписи класса 2 требуется подтверждение по телефону, отправив SMS на номера + 91-9664166000 и 8546800060 или позвонив по бесплатному номеру 180041
доб 8 с регистрационного номера мобильного телефона - Для получения дополнительной информации вы можете связаться с M SOLUTION (ЦИФРОВАЯ ПОДПИСЬ), ПОСТАВЩИКОМ ЦИФРОВЫХ ПОДПИСЕЙ, МАГАЗИН № 1, НОВЫЕ КВАРТИРЫ JASMINE., BHARDAWADI LANE, S.V. ДОРОГА
АНДГЕРИ (З), МАМБАЙ-400058 ТЕЛЕФОН 022-65647801Класс 2A — Ассоциация тренеров Иллинойса — Софтбол
Ассоциация тренеров Иллинойса 2019
Общегосударственная команда по софтболу, класс 2А
Первая группа
Имя Год Поз. Школа Даниэль Браун 12 -п. Аврора Центральная католическая Кайла Хон 12 -п. Бичер Маргарет Лэндис 11 CF Бичер Кайла Стенгер 12 С Центральный католический город Блумингтона Монтана Ледбеттер 12 P / 1B Бримфилд / Элмвуд Хейли Уоллес 10 SS / P Бримфилд / Элмвуд Кэти Смит 12 SS DuQuoin Мэдисон Эберл 11 P / UT ГХМС Грейс Люке 11 3B / C Округ Гамильтон Мэдлин Райдер 12 SS Гаррисбург Кэрисн Дэвис 12 С Гаррисбург Хлоя Джефферсон 12 SS / C Хершер Али Блисс 12 ИЗ Иллини-Вест Дейтона Дули 12 SS Иллини-Вест Холм Антуанетты 12 -п. Рид Кастер Амелия Томас 12 SS Рокридж Эбигейл Штальхут 12 SS Роксана Бэйли Даулинг 11 SS ул.Джо Огден Ханна Дюкман 11 С Сент-Джо Огден Элис Кнудсен 11 SS Толоно Единство Вторая группа
Имя Год Поз. Школа КБ Кирхнер 10 3Б Альтон Маркетт Рейган Миллер 12 2Б Артур Ловгинтон-Этвуд-Хаммонд Изабель Эрнандес 11 3Б / П Аврора Центральная католическая Алисса Дур 11 -п. Бердстаун Кристина Лоренцатти 11 SS Бичер Кейли Сиппель 11 1Б Бичер Чарли Сарторис 12 SS Центральный католический город Блумингтона Harley Schade 12 IF / P Центральный католический город Блумингтона Эрика Тулен 11 SS Эри-Профетстаун Ханна Харт 11 ИЗ Холл средней школы Колби Тормоз 11 1Б Округ Гамильтон Шлифовальные машины Essence 11 3Б / П Гаррисбург Керриган Пейн 9 -п. Гаррисбург Морган Скивалли 12 -п. Хершер Джейден Стэндиш 11 IF Лексингтон Хэлли Митчелл 10 С Мароа Форсайт Джози Вудром 10 IF / P Нашвилл Кайли Нойман 12 P / SS Дуб Кейлин Леверсон 11 -п. Олимпия Сидни Ашервуд 11 CF Олимпия Дженна Дриш 10 -п. Орион Бейли Косгроув 10 С Пакстон Бакли Лода Bri Roloff 10 3Б Пиаса Юго-западная Тейлор Уитджес 12 P / 1B Пинкнивилл Тейлор Даннер 12 SS ПОРТА Кэди Гаррет 12 CF Рокридж Леа Кендалл 10 ИЗ Рокридж Оливия Стэнглер 12 IF Роксана Кайли Винзор 12 1Б Сенека Мэдисон Крафт 12 SS Стерлинг Ньюман Дженна Джонсон 12 С Стерлинг Ньюман Ханна Нгуен 12 С Тремонт Пейдж МакАллистер 10 -п. Тремонт Дэйли Чамбли 9 -п. Tri City Натали Бейтс 12 2Б Тускола Джейси Эдвардс 11 С Варренсбург Латам Джада Уилсон 12 CF Варренсбург Латам Маган Харрис 12 P / SS Watseka Кучарски Кэти 11 P / 3B Уилмингтон Белла Эджизио 11 CF Уилмингтон Третья группа
- Для получения дополнительной информации вы можете связаться с M SOLUTION (ЦИФРОВАЯ ПОДПИСЬ), ПОСТАВЩИКОМ ЦИФРОВЫХ ПОДПИСЕЙ, МАГАЗИН № 1, НОВЫЕ КВАРТИРЫ JASMINE., BHARDAWADI LANE, S.V. ДОРОГА