Экспертам аккредитованный испытательных лабораторий и органов по сертификации ФСТЭК России, а так же разработчикам средств защиты информации, возможно, будет полезно познакомиться с профилем защиты на системы обнаружения вторжений уровня сети, разработанным организацией NIAP (National Information Assurance Partnership, регулирует сертификацию средств защиты информации в США) и опубликованном на их официальном сайте (ссылка).

Данный профиль защиты, а точнее пакет расширения (Extended Package), разработан в ходе реформы системы сертификации CommonCriteria. Кратко напомним основные нововведения:

• отказ от понятия «оценочный уровень доверия» (EAL) ‑ новые профили содержат требования доверия, сформулированные на основе «старого» ОУД2 (подробный сравнительный анализ новых и старых требований).
• для обеспечения повторяемости результатов тестирования профили защиты дополняются типовыми методиками испытаний;
•  создаются базовые профили защиты и пакеты расширений базовых профилей.

Например, базовый профиль защиты для сетевых устройств предъявляет функциональные требования безопасности, характерные для всех сетевых устройств (например, межсетевых экранов, систем обнаружения вторжений и др.). Пакет расширения базового ПЗ содержит требования, характерные для конкретного типа СЗИ на базе сетевых устройств. В настоящее время NIAPуже выпустила пакеты расширения для следующих типов сетевых СЗИ: SIP-сервер, межсетевой экран, VPN-шлюз, система обнаружения вторжений (ПЗ можно получить на сайте ).

Из особенностей ПЗ на СОВ можно отметить следующие.

1. Предъявляются требования к наличию методов сигнатурного анализа и анализа аномалий.
2. Функциональные требования безопасности очень детализированные. Например, для требования к сигнатурному методу анализа указаны конкретные поля сетевого пакета, которые должна анализировать СОВ в поисках сигнатур (например, «ICMPv6: Type; Code; and Header Checksum» или «HTTP (web) commands and content: commands including GET and POST, and administrator-defined strings to match URLs/URIs, and web page content»).
3. Указан конкретный перечень сигнатур, которые должна обнаруживать СОВ (например, «TCP NULL flags», «TCPSYN+FINflags» или «TCPFINonlyflags»). Следует отметить, что документ предписывает экспертам испытательных лабораторий установить в ходе тестирования, что СОВ способна выявить все указанные сигнатуры.
4. Указан перечень конкретных действий, которые должна выполнить СОВ при обнаружении вторжения (например, «allow the traffic flow», «sendaTCPresettothesourceaddressoftheoffendingtraffic»)
5. В документе приведен перечень тестов, которые должна выполнить испытательная лаборатория в ходе сертификационных испытаний.

Следует отметить, что существенной разницы в номенклатуре требований NIAPи требований ФСТЭК России, предъявляемых к СОВ, нет.