среда, 8 октября 2014 г.

Сертифицированные VPN


В этой статье рассмотрим некоторые нюансы, связанные с использованием решений VPN для защиты персональных данных.


VPN подходят для реализации меры ЗИС.3 из 21-го приказа ФСТЭК (защита данных при передачи за пределами контролируемой зоны). Однако, поскольку VPN является криптосредством, то при их использовании мы попадаем под действие 378 приказа ФСБ.
О приказе ФСБ №378 (по защите перс. данных с использованием криптосредств) в сети написано уже достаточно, например у Алексея Лукацкого.

Используемые VPN должны быть сертифицированы по линии ФСБ в качестве средств криптографической защиты информации (СКЗИ). Существуют следующие классы сертифицированных криптосредств, обозначаемых через КС1, КС2, КС3, КВ1, КВ2, КА1 (по последним данным КВ1 и КВ2 объединены в один класс КВ).
Как выбрать сертифицированное решение VPN нужного класса для защиты персональных данных?

1) Для начала, определимся с минимальным классом используемого решения:
Уровень защищенности
 Тип угроз
УЗ 4
УЗ 3
УЗ 2
УЗ 1
Угрозы 1 типа
(НДВ в системном ПО)


КА
КА
Угрозы 2 типа
(НДВ в прикладном ПО)

КВ и выше
КВ и выше
КВ и выше
Угрозы 3 типа
(не связаны с НДВ)
КС1 и выше
КС1 и выше
КС1 и выше

 
Это базовая таблица, которая ограничивает класс применяемых СКЗИ "снизу". То есть, если у нас УЗ3 и актуальны угрозы 2 типа, то необходимо применять СКЗИ класса КВ и выше. Если у нас УЗ4 и актуальны угрозы 3 типа, то требуемый класс - КС1 и выше.
Обратим внимание на словосочетание "... и выше".

2) Разработаем совокупность предположений о возможностях нарушителя.
Дело в том, что конкретный класс СКЗИ будет зависеть от возможностей потенциального нарушителя (модели нарушителя). Возможности потенциального нарушителя и соответствующие им классы СКЗИ подробно расписаны в пунктах 10-14 приказа.

Написание модели нарушителя - тема для отдельного большого поста. Отметим только, что для минимизации издержек желательно в модели всеми силами "отмазываться" от наличия любых внутренних нарушителей, и тем более от нарушителей, являющихся легальными пользователями или администраторами системы. В идеале у нас должен быть актуальным лишь внешний нарушитель, осуществляющий атаки из-за пределов контролируемой зоны, притом никак не связанный со спецслужбами и разработкой СКЗИ. В этом случае мы выйдем на класс СКЗИ КС1. При разработке модели нарушителя нам понадобится определенная фантазия, творческий подход и несколько красивых "магических фраз" :)

3) Подберем решение, соответствующее выбранному классу СКЗИ и нашим техническим требованиям.
Полный перечень сертифицированных решений можно посмотреть в официальном перечне ФСБ
Ниже представлены основные вендоры и максимальные классы, по которым сертифицированы их VPN-решения (по состоянию на сентябрь 2014 года).
 

Класс
S-Terra
(CSP VPN)
Код безопасности
(Континент)
ИнфоТеКС
(ViPNet)
StoneSoft
(StoneGate)
Амикон
(ФПСУ-IP)
Элвис+
(Застава)
Криптоком
(МагПро КриптоПакет)
КС1
+
+
+
+
+
+
+
КС2
+
+
+
+
+
+
+
КС3
+
+
+
-
-
-
-
КВ1
-
-
-
-
-
-
-
КВ2
-
+
+
-
-
-
-
КА1
-
-
-
-
-
-
-

 *после поглощения McAfee заказать сертифицированный StoneGate скорее всего невозможно 
 
Это те решения, с которыми приходилось чаще всего сталкиваться на рынке. Если есть что добавить  - пишите в комментарии.

P.S.
При выборе решения есть множество нюансов, на которые стоило бы обратить внимание.
Во-первых, один и тот же продукт может быть сертифицирован по разным классам, в зависимости от вариантов исполнения. Например, VPN-клиент без модуля доверенной загрузки (АПМДЗ) сертифицирован по классу КС1, а в комплекте с АПМДЗ - уже КС2/КС3. Нам придется внимательно выбрать необходимый вариант исполнения приобретаемого решения.
 Во-вторых, изучим формуляр и правила пользования, в соответствии с которыми должны эксплуатироваться СКЗИ. Убедимся, что мы действительно сможем выполнить указанные там условия.