Главная » Блоги Экспертов И ИТ-Компаний » Сертифицированные VPN

Сертифицированные VPN

В этой статье рассмотрим некоторые нюансы, связанные с использованием решений VPN для защиты персональных данных.
index.jpg
VPN подходят для реализации меры ЗИС.3 из 21-го приказа ФСТЭК (защита данных при передачи за пределами контролируемой зоны). Однако, поскольку VPN является криптосредством, то при их использовании мы попадаем под действие 378 приказа ФСБ.
О приказе ФСБ №378 (по защите перс. данных с использованием криптосредств) в сети написано уже достаточно, например у Алексея Лукацкого.
Используемые VPN должны быть сертифицированы по линии ФСБ в качестве средств криптографической защиты информации (СКЗИ). Существуют следующие классы сертифицированных криптосредств, обозначаемых через КС1, КС2, КС3, КВ1, КВ2, КА1 (по последним данным КВ1 и КВ2 объединены в один класс КВ).
Как выбрать сертифицированное решение VPN нужного класса для защиты персональных данных?
1) Для начала, определимся с минимальным классом используемого решения:
Уровень защищенности
 Тип угроз
УЗ 4
УЗ 3
УЗ 2
УЗ 1
Угрозы 1 типа
(НДВ в системном ПО)
КА
КА
Угрозы 2 типа
(НДВ в прикладном ПО)
КВ и выше
КВ и выше
КВ и выше
Угрозы 3 типа
(не связаны с НДВ)
КС1 и выше
КС1 и выше
КС1 и выше
 
Это базовая таблица, которая ограничивает класс применяемых СКЗИ "снизу". То есть, если у нас УЗ3 и актуальны угрозы 2 типа, то необходимо применять СКЗИ класса КВ и выше. Если у нас УЗ4 и актуальны угрозы 3 типа, то требуемый класс - КС1 и выше.
Обратим внимание на словосочетание "... и выше".
2) Разработаем совокупность предположений о возможностях нарушителя.
Дело в том, что конкретный класс СКЗИ будет зависеть от возможностей потенциального нарушителя (модели нарушителя). Возможности потенциального нарушителя и соответствующие им классы СКЗИ подробно расписаны в пунктах 10-14 приказа.Написание модели нарушителя - тема для отдельного большого поста. Отметим только, что для минимизации издержек желательно в модели всеми силами "отмазываться" от наличия любых внутренних нарушителей, и тем более от нарушителей, являющихся легальными пользователями или администраторами системы. В идеале у нас должен быть актуальным лишь внешний нарушитель, осуществляющий атаки из-за пределов контролируемой зоны, притом никак не связанный со спецслужбами и разработкой СКЗИ. В этом случае мы выйдем на класс СКЗИ КС1. При разработке модели нарушителя нам понадобится определенная фантазия, творческий подход и несколько красивых "магических фраз" :)
3) Подберем решение, соответствующее выбранному классу СКЗИ и нашим техническим требованиям.
Полный перечень сертифицированных решений можно посмотреть в официальном перечне ФСБ
Ниже представлены основные вендоры и максимальные классы, по которым сертифицированы их VPN-решения (по состоянию на сентябрь 2014 года). 
Класс
S-Terra
(CSP VPN)
Код безопасности
(Континент)
ИнфоТеКС
(ViPNet)
StoneSoft
(StoneGate)
Амикон
(ФПСУ-IP)
Элвис+
(Застава)
Криптоком
(МагПро КриптоПакет)
КС1
+
+
+
+
+
+
+
КС2
+
+
+
+
+
+
+
КС3

Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
5 лет назад | тэги: Нормативка, СКЗИ, ФСБ
Комментарии
Другие публикации
RU, Казань
Специалист по информационной безопасности, руководитель проектов
Информационные технологии

Специалист по информационной безопасноти, руководитель проектов




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>