Результаты анализа возможности выполнения требований нормативных документов с помощью механизмов защиты сертифицированного программного обеспечения компании VMware Inc.

1. Сведения о сертификатах соответствия.
Сертификатами соответствия, выданными в системе сертификации ФСТЭК России, подтверждено соответствие техническим условиям на продукты и требованиям к 6 уровню доверия1 следующего программного обеспечения
VMware Inc.:
- программного комплекса для создания и управления виртуальной инфраструктурой VMware vSphere (далее – ПК VMware vSphere), сертификат № 4319 от 05.11.2020 г.;
- программного комплекса для автоматизации и управления ресурсами виртуальной инфраструктуры VMware vRealize Automation (далее – ПК VMware vRealize Automation), сертификат № 4378 от 11.03.2021 г.;
- программного комплекса VMware Horizon с системой идентификации и аутентификации VMware Workspace ONE Access (далее – ПК VMware Horizon), сертификат № 4396 от 27.04.2021 г.

Сертификатом соответствия № 4398 от 30.04.2021 г., выданным в системе сертификации ФСТЭК России, подтверждено соответствие программной платформы VMware NSX-T Data Center (далее – ПП VMware NSX-T Data Center) требованиям к межсетевым экранам типа «Б»2 шестого класса защиты и требованиям к 6 уровню доверия.

2. Анализ применимости сертифицированных продуктов в зависимости от уровня доверия.
В соответствии с положениями нормативного документа, устанавливающего требования к уровням доверия, средства, соответствующие 6 уровню доверия, применяются:
- в государственных информационных системах (ГИС) 3 класса защищенности (в соответствии с требованиями Приказа ФСТЭК № 173);
- в информационных системах персональных данных (ИСПДн) при необходимости обеспечения 3 и 4 уровней защищенности персональных данных (в соответствии с требованиями Приказа ФСТЭК № 214);
- на значимых объектах критической информационной инфраструктуры (КИИ) 3 категории (в соответствии с требованиями Приказа ФСТЭК № 2395);
- в автоматизированных системах управления производственными и технологическими процессами (АСУТП) 3 класса защищенности (в соответствии с требованиями Приказа ФСТЭК № 316).

Вывод по результатам анализа. Учитывая, что все продукты компании VMware Inc. сертифицированы на соответствие требованиям, предъявляемым к 6 уровню доверия, они могут использоваться для защиты информации, обрабатываемой:
- в ГИС 3 класса;
- в ИСПДн 3 и 4 уровней защищённости;
- на значимых объектах КИИ 3 категории;
- в АСУТП 3 класса.

3. Анализ применимости сертифицированных продуктов в зависимости от реализуемых механизмов защиты.

3.1. Для продуктов, сертифицированных на соответствие требованиям технических условий.
Обеспечение безопасности АСУТП, являющихся значимыми объектами КИИ Российской Федерации, осуществляется в соответствии с требованиями Приказа ФСТЭК № 239.

В свою очередь, для обеспечения безопасности значимых объектов КИИ, являющихся ИСПДн, требования Приказа ФСТЭК № 239 применяются с учетом требований Приказа ФСТЭК № 11197. Меры по обеспечению безопасности персональных данных при их обработке в ИСПДн для каждого из уровней защищенности персональных данных, установленных в Приказе ФСТЭК № 1119, определены в Приказе ФСТЭК № 21.

Для обеспечения безопасности значимых объектов КИИ, являющихся ГИС, требования Приказа ФСТЭК № 239 применяются с учетом требований Приказа ФСТЭК № 17.

В соответствии с требованиями Приказов ФСТЭК России №№ 17 и 21:
- в ИСПДн 4 уровня защищённости должны реализовываться меры защиты среды виртуализации ЗСВ.1 и ЗСВ.2;
- в ГИС 3 класса и ИСПДн 3 уровня защищённости должны реализовываться меры защиты среды виртуализации ЗСВ.1, ЗСВ.2, ЗСВ.3, ЗСВ.9 и ЗСВ.10.

Анализ выполнения мер защиты среды виртуализации программным обеспечением, сертифицированным на соответствие требованиям технических условий (ПК VMware vSphere, ПК VMware vRealize Automation, ПК VMware Horizon), с указанием в соответствии с какими мерами реализуется мера защиты среды виртуализации8, представлен в таблице ниже.



Условные обозначения, используемые в таблице:
«+» – мера реализуется сертифицированным программным обеспечением;
«*» – мера связана с обеспечением защиты среды эксплуатации программного изделия;
«**» – мера не является обязательной для реализации в информационных системах до 3 класса защищенности ГИС и до
3 уровня защищенности ИСПДн включительно. Соответствующие механизмы защиты не сертифицированы;
«***» – мера не является обязательной для реализации в информационных системах до 3 класса защищенности ГИС, до
3 уровня защищенности ИСПДн, до 3 категории КИИ и до 3 класса АСУТП включительно. Соответствующие механизмы защиты не сертифицированы.
Вывод по результатам анализа. Совместно с наложенными средствами антивирусной защиты в виртуальной инфраструктуре встроенных механизмов защиты программного обеспечения VMware, сертифицированного на соответствие требованиям технических условий (ПК VMware vSphere, а также ПК VMware vRealize Automation и ПК VMware Horizon, используемых в среде функционирования сертифицированного ПК VMware vSphere), достаточно для реализации:
- ВСЕХ требований по защите среды виртуализации в ГИС 3 класса и в ИСПДн 3 и 4 уровней защищённости;
- установленных требований по идентификации и аутентификации, управлению доступом, регистрации событий безопасности (аудиту безопасности) и управлению перемещением виртуальных машин в средах виртуализации, используемых на объектах КИИ 3 категории и в АСУТП 3 класса защищенности (см. таблицу выше).

Условие использования наложенных средств антивирусной защиты, необходимое для реализации требования ЗСВ.9 «Реализация и управление антивирусной защитой в виртуальной инфраструктуре», не является преимуществом конкурентных решений. Реализация данного условия требуется как в случае использования сертифицированного программного обеспечения VMware, так и в случаях использования «наложенных» средств защиты систем виртуализации.

3.2. Для ПП VMware NSX-T Data Center, сертифицированной на соответствие требования к межсетевым экранам типа «Б» шестого класса защиты.

Вывод по результатам анализа. В соответствии с требованиями нормативных документов ФСТЭК России, механизмов защиты межсетевых экранов типа «Б» шестого класса защиты достаточно для реализации ВСЕХ требований, предъявляемых к межсетевым экранам уровня логических границ сети:
- в ГИС 3 класса;
- в ИСПДн 3 и 4 уровней защищённости;
- в КИИ 3 категории;
- в АСУТП 3 класса защищенности.

В случае необходимости реализации в информационной системе требований, предъявляемых к информационным системам более высокого класса (уровня защищенности, категории, класса защищенности), могут быть применены подходы, описанные по ссылке.


Примечания:
1 «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утвержденные приказом ФСТЭК России от 02.06.2020 г. № 76.
2 «Профиль защиты межсетевых экранов типа «Б» шестого класса защиты. ИТ.МЭ.Б6.ПЗ», утвержденный ФСТЭК России 12.09.2016 г.
3 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17 (в ред. Приказов ФСТЭК России от 15.02.2017 г. № 27, от 28.05.2019 г. № 106).
4 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные приказом ФСТЭК России от 18.02.2013 г. № 21 (в ред. Приказа ФСТЭК России от 23.03.2017 г. № 49).
5 «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры российской федерации», утвержденные приказом ФСТЭК России от 25.12.2017 г. № 239.
6 «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», утвержденные приказом ФСТЭК России от 14.03.2014 г. № 31 (в ред. Приказов ФСТЭК России от 23.03.2017 г. № 49,
от 09.08.2018 г. № 138, от 15.03.2021 г. № 46).
7 «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные постановлением Правительства Российской Федерации от 1.11.2012 г. № 1119.
8 Зависимости мер класса ЗСВ установлены в соответствии с нормативным документом «Меры защиты информации в государственных информационных системах», утвержденным приказом ФСТЭК России от 11.02.2014 г.