среда, 8 октября 2014 г.

Сертифицированные VPN


В этой статье рассмотрим некоторые нюансы, связанные с использованием решений VPN для защиты персональных данных.


VPN подходят для реализации меры ЗИС.3 из 21-го приказа ФСТЭК (защита данных при передачи за пределами контролируемой зоны). Однако, поскольку VPN является криптосредством, то при их использовании мы попадаем под действие 378 приказа ФСБ.
О приказе ФСБ №378 (по защите перс. данных с использованием криптосредств) в сети написано уже достаточно, например у Алексея Лукацкого.

Используемые VPN должны быть сертифицированы по линии ФСБ в качестве средств криптографической защиты информации (СКЗИ). Существуют следующие классы сертифицированных криптосредств, обозначаемых через КС1, КС2, КС3, КВ1, КВ2, КА1 (по последним данным КВ1 и КВ2 объединены в один класс КВ).
Как выбрать сертифицированное решение VPN нужного класса для защиты персональных данных?

1) Для начала, определимся с минимальным классом используемого решения:
Уровень защищенности
 Тип угроз
УЗ 4
УЗ 3
УЗ 2
УЗ 1
Угрозы 1 типа
(НДВ в системном ПО)


КА
КА
Угрозы 2 типа
(НДВ в прикладном ПО)

КВ и выше
КВ и выше
КВ и выше
Угрозы 3 типа
(не связаны с НДВ)
КС1 и выше
КС1 и выше
КС1 и выше

 
Это базовая таблица, которая ограничивает класс применяемых СКЗИ "снизу". То есть, если у нас УЗ3 и актуальны угрозы 2 типа, то необходимо применять СКЗИ класса КВ и выше. Если у нас УЗ4 и актуальны угрозы 3 типа, то требуемый класс - КС1 и выше.
Обратим внимание на словосочетание "... и выше".

2) Разработаем совокупность предположений о возможностях нарушителя.
Дело в том, что конкретный класс СКЗИ будет зависеть от возможностей потенциального нарушителя (модели нарушителя). Возможности потенциального нарушителя и соответствующие им классы СКЗИ подробно расписаны в пунктах 10-14 приказа.

Написание модели нарушителя - тема для отдельного большого поста. Отметим только, что для минимизации издержек желательно в модели всеми силами "отмазываться" от наличия любых внутренних нарушителей, и тем более от нарушителей, являющихся легальными пользователями или администраторами системы. В идеале у нас должен быть актуальным лишь внешний нарушитель, осуществляющий атаки из-за пределов контролируемой зоны, притом никак не связанный со спецслужбами и разработкой СКЗИ. В этом случае мы выйдем на класс СКЗИ КС1. При разработке модели нарушителя нам понадобится определенная фантазия, творческий подход и несколько красивых "магических фраз" :)

3) Подберем решение, соответствующее выбранному классу СКЗИ и нашим техническим требованиям.
Полный перечень сертифицированных решений можно посмотреть в официальном перечне ФСБ
Ниже представлены основные вендоры и максимальные классы, по которым сертифицированы их VPN-решения (по состоянию на сентябрь 2014 года).
 

Класс
S-Terra
(CSP VPN)
Код безопасности
(Континент)
ИнфоТеКС
(ViPNet)
StoneSoft
(StoneGate)
Амикон
(ФПСУ-IP)
Элвис+
(Застава)
Криптоком
(МагПро КриптоПакет)
КС1
+
+
+
+
+
+
+
КС2
+
+
+
+
+
+
+
КС3
+
+
+
-
-
-
-
КВ1
-
-
-
-
-
-
-
КВ2
-
+
+
-
-
-
-
КА1
-
-
-
-
-
-
-

 *после поглощения McAfee заказать сертифицированный StoneGate скорее всего невозможно 
 
Это те решения, с которыми приходилось чаще всего сталкиваться на рынке. Если есть что добавить  - пишите в комментарии.

P.S.
При выборе решения есть множество нюансов, на которые стоило бы обратить внимание.
Во-первых, один и тот же продукт может быть сертифицирован по разным классам, в зависимости от вариантов исполнения. Например, VPN-клиент без модуля доверенной загрузки (АПМДЗ) сертифицирован по классу КС1, а в комплекте с АПМДЗ - уже КС2/КС3. Нам придется внимательно выбрать необходимый вариант исполнения приобретаемого решения.
 Во-вторых, изучим формуляр и правила пользования, в соответствии с которыми должны эксплуатироваться СКЗИ. Убедимся, что мы действительно сможем выполнить указанные там условия.


вторник, 12 августа 2014 г.

Сертифицированные системы обнаружения вторжений. Краткий обзор NIPS


В соответствии с 21-м приказом ФСТЭК, используемые в СЗПДн системы обнаружения вторжений (СОВ) должны быть сертифицированы.
В данном посте приведу краткое сравнение имеющихся на рынке на данный момент (август 2014) сертифицированных СОВ. В сравнении учитывались только сетевые системы обнаружения вторжений (NIPS), сертифицированные серией. Обзор сертифицированных HIPS будет позже.
Информация почерпнута только из открытых материалов. 


Если вы считаете, что в таблице нужно что-либо исправить или добавить - отписывайтесь в комментариях к данному посту.


Критерий
VIPNet IDS2000
McAfee Network Security Platform
M-4050
ПАК ФОРПОСТ2000
UserGate Proxy & Firewall 6.0 VPN GOST
Детектор атак «Континент»
 IPC-1000
Реализация сенсора
(ПАК / ПО)
ПАК
ПАК
ПАК / ПО
ПО
ПАК
Метод обнаружения
Сигнатурный
Сигнатурный, Эристический,
Репутационный,
Sandboxing
Сигнатурный
Сигнатурный, Эвристический
Сигнатурный, Эвристический
Централизованное управление
нет
да
да
да
да
Заявленная макс. производительность сенсора
До 6 Гбит/с
До 4,5 Гбит/с
До 6 Гбит/с
н/д
До 600 Мбит/с
Реальная производительность сенсора
н/д
До 3 Гбит/с
н/д
н/д
н/д
Сетевые интерфейсы
2 шт. медн. 1Гбит/с
2 шт. 10Гбит/c SFP+
8 шт. 1Гбит/с SFP
4 шт. 10 Гбит/с XFP
4 шт. медн. 1Гбит/с
2 шт. 10Гбит/c SFP+
-
10 шт. медн.1Гбит/с
Число параллельных сессий
н/д
1500000
н/д
н/д
н/д
Инспекция HTTPS
нет
да
нет
нет
нет
Основные дополнительные возможности
нет
МЭ (в inline-режиме)
 

Встроенный антивирус
 

Защита от бот-сетей
 

Репутационный анализ на основе базы знаний McAfee Global Threat Intelligence,
 

Анализ трафика на основе NetFlow / JFlow
нет
МЭ
 

Встроенный антивирус
 

VPN
 

Биллинговая система
нет
Bypass
нет
Да
нет
нет
нет
Локализация
есть
нет
есть
есть
есть
Сертификация
ФСБ России:
СОА класса В
ФСТЭК:
СОВ по 4 классу
ФСТЭК:
СОВ по 5 классу
ФСБ России:
СОА класса Б
ФСТЭК:
СОВ по 3 классу
ФСТЭК:
СОВ по 4 классу
ФСТЭК:
СОВ по 3 классу
Схема сертификации
Серия
Серия
Серия
Серия
Серия