7 мая 2017 года вступают в силу новые требования для межсетевых экранов для защиты персональных данных, применяемых в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18.02.2013 № 21.
Приказом ФСТЭК России от 23.03.2017 №49 внесены изменения в приказ ФСТЭК России от 18.02.2013 №21 в части касающегося технических мер защиты персональных данных. Технические меры защиты персональных данных реализуются посредством применения межсетевых экранов, в том числе программных (программно-аппаратных), в которых они реализованы, имеющих необходимые функции безопасности.
При использовании в информационных системах персональных данных (ИСПДн) сертифицированных по требованиям безопасности информации межсетевых экранов:
- в ИСПДн 1 уровня защищенности персональных данных применяются межсетевые экраны не ниже 4 класса;
- в ИСПДн 2 уровня защищенности персональных данных применяются межсетевые экраны не ниже 5 класса;
- в ИСПДн 3 уровня защищенности персональных данных применяются межсетевые экраны 6 класса;
- в ИСПДн 4 уровня защищенности персональных данных применяются межсетевые экраны 6 класса.
Для дифференциации требований к функциям безопасности межсетевых экранов установлено шесть классов защиты межсетевых экранов. Самый низкий класс – шестой, самый высокий – первый.
Выделены следующие типы межсетевых экранов:
- тип «А» – межсетевой экран уровня сети. Межсетевой экран, применяемый на физической границе (периметре) ИСПДн или между физическими границами сегментов ИСПДн. Межсетевые экраны типа «А» могут иметь только программно-техническое исполнение;
- тип «Б» – межсетевой экран уровня логических границ сети. Межсетевой экран, применяемый на логической границе (периметре) ИСПДн или между логическими границами сегментов ИСПДн. Межсетевые экраны типа «Б» могут иметь программное или программно-техническое исполнение;
- тип «В» – межсетевой экран уровня узла. Межсетевой экран, применяемый на узле (хосте) ИСПДн. Межсетевые экраны типа «В» могут иметь только программное исполнение и устанавливаются на мобильных или стационарных технических средствах конкретного узла ИСПДн;
- тип «Г» – межсетевой экран уровня веб-сервера. Межсетевой экран, применяемый на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера;
- тип «Д» – межсетевой экран уровня промышленной сети. Межсетевой экран, применяемый в автоматизированной системе управления технологическими или производственными процессами. Межсетевые экраны типа «Д» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию промышленных протоколов передачи данных (Modbus, Profibus, CAN, HART, IndustrialEthernet и (или) иные протоколы).
Спецификация профилей защиты межсетевых экранов для каждого типа межсетевого экрана и класса защиты межсетевого экрана для обеспечения защиты персональных данных приведена в таблице.
Таблица. Профили защиты межсетевых экранов
Таблица. Профили защиты межсетевых экранов
Класс защиты Тип межсетевого экрана |
6 | 5 | 4 |
Межсетевой экран типа «А» | ИТ.МЭ.А6.ПЗ | ИТ.МЭ.А5.ПЗ | ИТ.МЭ.А4.ПЗ |
Межсетевой экран типа «Б» | ИТ.МЭ.Б6.ПЗ | ИТ.МЭ.Б5.ПЗ | ИТ.МЭ.Б4.ПЗ |
Межсетевой экран типа «В» | ИТ.МЭ.В6.ПЗ | ИТ.МЭ.В5.ПЗ | ИТ.МЭ.В4.ПЗ |
Межсетевой экран типа «Г» | ИТ.МЭ.Г6.ПЗ | ИТ.МЭ.Г5.ПЗ | ИТ.МЭ.Г4.ПЗ |
Межсетевой экран типа «Д» | ИТ.МЭ.Д6.ПЗ | ИТ.МЭ.Д5.ПЗ | ИТ.МЭ.Д4.ПЗ |
Сертифицированные ФСТЭК России межсетевые экраны, которые применяются для защиты ИСПДн до 1 уровня защищенности персональных данных включительно:
- Dionis NX, межсетевой экран уровня сети 2 класса (ИТ.МЭ.А2.ПЗ);
- Континент 3.7, межсетевой экран уровня сети 3 класса (ИТ.МЭ.А3.ПЗ);
- Рубикон, межсетевой экран уровня сети 2 класса (ИТ.МЭ.А2.ПЗ);
- ViPNet Coordinator HW 4, межсетевой экран уровня сети 4 класса (ИТ.МЭ.А4.ПЗ).
Сертифицированные ФСТЭК России межсетевые экраны, которые применяются для защиты ИСПДн до 3 уровня защищенности персональных данных включительно:
- Cisco 2900, межсетевой экран уровня сети и уровня логических границ сети 6 класса (ИТ.МЭ.А6.ПЗ, ИТ.МЭ.Б6.ПЗ).