03 июля 2013
Проблемы реализации сертифицированного удаленного доступа (Remote VPN) к корпоративной вычислительной сети
Почти в каждом проекте по созданию комплексной системы обеспечения информационной безопасности (ИБ) или системы защиты ПДн возникают вопросы:
- возможно ли организовать удаленный доступ к защищаемым данным?
- будут ли поддерживаться все имеющиеся в организации технические средства, с которых пользователи обрабатывают информацию?
- какие проблемы возникнут при использовании сертифицированных ФСБ решений и криптографических алгоритмов, соответствующих российским ГОСТам?
- какой максимальный класс криптографической защиты может быть обеспечен?
Чтобы упростить поиск ответов на эти вопросы, ниже приведен анализ наиболее известных в России сертифицированных решений класса Remote VPN.
Вопросы необходимости сертификации СКЗИ, функциональные возможности средств защиты в данной статье не рассматриваются, так как это отдельные и большие по объему темы.
Сложности и ограничения
Посмотрим, с какими сложностями и ограничениями сталкиваются пользователи сертифицированных криптографических решений класса Remote VPN по сравнению с пользователями несертифицированных решений класса Remote VPN.
Во-первых, должны учитываться требования нормативных актов РФ (далее пример для операторов ПДн):
- ПП РФ 1119, пункт 13;
- ПКЗ-2005 ФСБ России;
- Приказ 152 ФАПСИ (ФСБ России);
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, ФСБ России;
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, ФСБ России.
Выполнение требований данных нормативных актов повлечет применение большого количества дополнительных мер, разработки и поддержания комплекта документов, приведенного в приложении 3.
Во-вторых, должны учитываться условия и ограничения из документации на Remote VPN:
- Сертификат на СКЗИ Remote VPN (как правило, в нем указывается, что исполнение требований достигается в определенном исполнении продукта и при условии выполнения требований, приведенных в формуляре и, возможно, других документах);
- Формуляр на СКЗИ Remote VPN (как правило, в нем указывается необходимая комплектация исполнения, поддерживаемые ОС, другие ограничения, а так же указывается обязательность соблюдения правил использования СКЗИ);
- Правила использования СКЗИ Remote VPN (документ может называться по-разному для разных СКЗИ, на документ может существовать ссылка из сертификата, формуляра, а так-же он требуется в соответствии с пунктом 46 ПКЗ-2005, но принципы для всех СКЗИ,за небольшими исключениями, схожие).
Во-третьих, должны учитываться условия и ограничения из документации на сертифицированное CSP (так как выделенные криптосервиспровайдеры входят в комплектацию большинства средств VPN, а формуляр Remote VPN ссылается на сертификат и формуляр CSP):
- Сертификат на СКЗИ CSP (ссылка на исполнение и требования формуляра);
- Формуляр на СКЗИ CSP (комплектация, перечень ОС, ограничения и ссылка на правила);
- Правила использования СКЗИ CSP (иногда правила использования Remote VPN напрямую ссылаются на правила использования CSP).
Во-четвертых, должны учитываться условия и ограничения из документации на средства защиты от несанкционированного доступа (НСД) (электронные замки с сертификатами ФСБ, которые перечислены в формулярах на СКЗИ в исполнении по КС2 и выше)
- Сертификат на СЗИотНСДпоФСБ (ссылка на исполнение и требования формуляра);
- Формуляр на СЗИотНСДпоФСБ (комплектация, перечень ОС, ограничения и ссылка на правила);
- Правила использования СЗИотНСДпоФСБ .
В-пятых, должны учитываться необходимость дополнительного сертифицированного удостоверяющего центра (УЦ), так как при использовании аутентификации пользователей или шлюзов по сертификатам (PKI) требуется использование УЦ, сертифицированного по классу не меньшему чем СКЗИ).
Вариант Remote VPN класса КС1
Рассмотрим самый простой вариант Remote VPN класса КС1 и сравним, насколько он сложнее несертифицированного Remote VPN. Для класса КС2 все приведенные условия так же будут справедливы, с добавлением еще нескольких.
- Операционные системы (смотреть таблицы в Приложении 1). Рассмотрев статистику использования ОС и мобильных ОС, можно сделать следующие вывод: примерно 13% наших пользователей с ноутбуками (с операционными системами Windows 8, OS X, Linux) останутся без Remote VPN. С мобильными устройствами совсем беда – есть решение только у одного вендора и только для iOS. То есть «за бортом» остается существенная часть сотрудников.
- В зависимости от решения, по-разному могут быть предъявлены требования к защите от влияния аппаратных компонентов технических средств на функционирование СКЗИ при защите ПДн.
Например, в варианте S-Terra VPN Client (Приложение 2 - 9) для этого требуется проводить тематические исследования BIOS. Стоимость таких работ на порядок больше стоимости самого решения.
В варианте StoneGate VPN Client (Приложение 2 - 12) рекомендуется проводить исследования BIOS ещё и на технических средствах субъектов ПДн, данные которых обрабатываются в организации.
- При подключении технического средства с СКЗИ к сетям связи общего доступа (а Remote VPN и предназначен для работы через такие подключения) требуется использовать сертифицированные средства межсетевого экранирования (Приложение 2 – 13 и Приложение 2 – 15). То есть необходимо либо использовать Remote VPN со встроенным МЭ, либо применять дополнительный.
- При использовании для аутентификации пользователей Remote VPN сертификатов PKI (а именно такой вариант надежнее паролей) необходимо использование Удостоверяющего центра (УЦ), сертифицированного по классу криптографической защиты не меньшему, чем решение Remote VPN (Приложение 2 - 1). При этом для некоторых решений явно разрешено использование предопределенных ключей pre-shared key (Приложение 2 - 11)
- Разворачивание в организации сертифицированного удостоверяющего центра, помимо приобретения лицензий, серверов, АРМ оператора, средств защиты от НСД, влечет за собой в том числе установку сертифицированного ФСБ межсетевого экрана (Приложение 2 - 8).
Итого:
- Использование внешнего сертифицированного УЦ увеличит стоимость решения примерно на 2000 руб. на пользователя ежегодно.
- Использование собственного сертифицированного УЦ увеличит стоимость решения примерно на 2000 руб. на пользователя.
- Использование имеющихся в организации несертифицированных УЦ (таких как Microsoft Active Directory Certificate Cervices) нелегитимно.
- При использовании сертифицированного Remote VPN мы ограничены при определении срока действия сертификата пользователя. Мы обязаны менять его раз в год, а максимальный срок жизни не может превышать 1 год и 3 месяца. (Приложение 2 – 3 и Приложение 2 - 10). В случае с несертифицированным мы можем выбирать срок в соответствии с корпоративной политикой – например 3 года и, соответственно, уменьшить трудозатраты на эксплуатацию решения.
- При хранении закрытых ключей или сертификатов пользователя на локальном диске или реестре (случай, когда не применяются eToken) мы обязаны для технических средств (ноутбуков) принимать меры, аналогичные ключевым носителям (Приложение 2 - 3). А меры по защите ключевых носителей требуются немаленькие, в том числе регистрировать их как носители, регистрировать помещения в которых на них работаем, обеспечивать отсутствие к ним доступа посторонних лиц, убирать во внерабочее время в сейф и т.п.
- При использовании сертифицированных Remote VPN заброшено использование беспроводных каналов связи (Приложение 2-4 и Приложение 2-7). Скажите “нет” WiFi, 3G, 4G, bluetooth, NFC. Что остается мобильному пользователю с ноутбуком?
Также придется отключать беспроводные мышки и клавиатуры.
- При использовании сертифицированного Remote VPN потребуется внедрить обязательные организационные меры, разработать и поддерживать порядка 17 документов (Приложение 3)
Выводы: использование сертифицированного Remote VPN может потребовать приобретение дополнительных продуктов, в несколько раз увеличивающих стоимость поставки. Кроме того, потребуется проведение дополнительных работ, объем которых могут на порядок превосходить работы по внедрению технического решения Remote VPN. И в конечном итоге пользователям придется учитывать все приведенные выше ограничения сертифицированного решения.
Организациям, проводящим анализ рисков и актуальности угроз и выбирающим полностью легитимный сертифицированный Remote VPN надо учитывать, что его стоимость будет в разы превосходить стоимость несертифицированного аналога.
Вариант Remote VPN класса КС2 (и выше)
Для класса КС2 все приведенные условия и ограничения класса КС1также будут справедливы, но добавится ещё одно: в формулярах на все СКЗИ в исполнении КС2 указывается необходимость использование средств защиты от несанкционированного доступа из следующего перечня:
- Программно-аппаратный комплекс с физическим датчиком случайных чисел "Соболь";
- Аппаратно-программный модуль доверенной загрузки универсальный КРИПТОН-ЗАМОК/У;
- Программно-аппаратное средство "Аккорд-АМДЗ";
- Специальный загрузочный носитель - СЗН "МАРШ!-USB".
Возьмем, к примеру, «Аккорд-АМДЗ». Единственными моделями, подходящими для ноутбуков, являются варианты Mini PCI Express и Mini PCI Express half-size. Но и в них поддерживаются далеко не все модели BIOS и аппаратных платформ на ноутбуках. Перечень моделей, протестированных производителем, невелик (порядка 25). Перед каждым проектом нужно собирать подробный перечень моделей и отправлять производителю + время на тестирование + не для всего оно реализуется.
Например, у нашего пользователя есть достаточно популярный MacBook Air . Куда там ставить Mini PCI Express? Его и открывать-то нельзя. А если откроем – увидим, что свободного слота там нет. Операционная система OS X Lion этого ноутбука также не поддерживается.
С «Соболем» ситуация аналогична «Аккорду», даже хуже, потому что модель Mini PCI Express только появилась и даже не сертифицирована ФСБ.
«Криптон» – это вообще только PCI Express и для ноутбуков не подходит.
«МАРШ!» – вроде бы подходит для всех ноутбуков, поддерживающих с USB. Но какие он поддерживает ОС – Fedora и AltLinux? А где же наш Windows 7 Корпоративный (про OS X молчу)? Пересаживать всех пользователей на Linux? Нет – руководство организации на это не пойдет (ведь они же первые используют удаленный доступ с ноутбуков).
Вывод неутешителен: если речь идет о ноутбуках, то решения класса КС2 фактически отсутствуют. С планшетами ситуация ещё хуже.
Возникает вопрос – а кто вообще будет требовать КС2/КС3 для удаленного доступа? Кому пришла в голову “рыть себе яму”?
- Во-первых, такая ситуация возникает, когда пишется модель нарушителя по ФСБ сразу для всей области защиты. КС1 – это нарушитель Н1. Н1 – это нарушитель, не имеющий физического доступа к средствам обработки организации. Н2 отличается от Н1 тем, что может получить физический доступ к средствам обработки организации. Чтобы обосновать Н1, нам фактически придется обосновать, что все сотрудники являются доверенными лицами. Если честно, то после такого сильного утверждения применять средства защиты внутри организации вообще не требуется.
- Во-вторых, требуемый класс защиты часто спускается отраслевым регулятором или вышестоящей организацией.
- В третьих КС2 или даже КС3 может потребоваться в соответствии с будущими документами ФСБ по защите ПДн
В рамках вышеописанного производителям хочу посоветовать внимательно подходить к разработке документов на ваши СКЗИ. Любая лишняя фраза может привести к миллионам дополнительных затрат у пользователей, а то и вовсе к невозможности использования сертифицированного решения.
Сергей Борисов
ведущий инженер по информационной безопасности
компании «Микротест»
Приложение 1
ОС, поддерживаемые СКЗИ
|
Windows |
Linux |
FreeBSD |
Solaris |
iOS |
Mac OS |
КриптоПро CSP 3.6.1 |
Windows 2000 (ia32)
Windows XP/2003/Vista/2008/7/2008R2 (ia32, ia64, x64) |
ALT Linux (ia32, x64);
Debian (ia32, х64);
Trustverse Linux XP (ia32);
Linux Standard Base ISO/IEC 23360 (ia32, x64):
Cent OS (ia32, x64)
Fedora (ia32, x64)
Linpus (ia32)
Mandriva (ia32, x64)
MontaVista Linux (ia32, x64)
Oracle Enterprise Linux (ia32, x64)
Оpen SUSE (ia32, x64)
Red Hat Enterprise Linux (ia32, x64)
SUSE Linux Enterprise (ia32, x64)
SUSE LINUX (ia32)
Ubuntu (ia32, x64)
Xandros (ia32) |
FreeBSD 7/8/9 (ia32, x64) |
Solaris 10/11 (sparc, ia32, x64) |
Apple iOS (ARM)
(только для КС1) |
Mac OS X (x64)
(только для КС1) |
ViPNet CSP 3.2 |
Microsoft XP SP3 (32-разрядная)
Server 2003 (32-разрядная)
Vista SP2 (32/64-разрядная)
Windows 7 (32/64-разрядная)
Windows Server 2008 (32/64-разрядная)
Windows Server 2008 R2 (64-разрядная) |
SuSe Linux Enterprise Server 10
Slackware Linux 12.0
RedHat Enterprise Linux 4
SuSe Linux Enterprise Server 10 SP1,SP2,
SuSe Linux 10.0
Slackware Linux 10.2
Ubuntu 8.04 LTS Desktop
Debian Etch 4.0 r1 Linux XP 2008 Server
Linux XP 2008 Desktop Secure Edition
Open SuSe Linux 11.1 |
- |
- |
- |
- |
С-терра CSP VPN Client 3.11 |
Windows XP Professional, Microsoft Windows Vista, Microsoft Windows 7, Microsoft Windows Server 2003, Microsoft Windows Server 2008 |
Red Hat Enterprise Linux 5 (в том числе производные варианты ОС - CentOS 5, Crossbeam Systems Linux 9) |
- |
- |
- |
- |
Континент-АП 3.6 |
Windows XP Professional SP3 x86
Windows 2003 Server SP2 x86/x64
Windows 2003 Server R2 SP2 x64
Windows Vista SP2 x86/x64 (кроме всех выпусков Starter и Home Edition)
Windows 2008 Server SP2 x86/x64
Windows 2008 Server R2 SP1 x64
Windows 7 SP1 x86/x64 (кроме всех выпусков Starter и Home Edition) |
Альт Линукс СПТ 6.0 Рабочая станция x86/x64 Альт Линукс СПТ 6.0 Сервер x86/x64
Mandriva Spring 2008.1 x86 |
- |
- |
- |
- |
StoneGate Firewall/ VPN Client 5 |
Windows XP,
Windows Vista (32, 64 bit), Windows 7 (32, 64 bit), Windows 8 (32, 64 bit) |
- |
- |
- |
- |
- |
StoneGate SSL VPN Access Client |
Windows 2000, Windows XP, Windows 2003 Server, Windows Vista (32, 64 bit), Windows 7 (32, 64 bit) |
Linux (32, 64 bit) |
|
|
|
|
VipNet Client 3.1 |
Windows 2000/XP/Server 2003/Vista/Server 2008 |
- |
- |
- |
- |
- |
VipNet Client iOS |
- |
- |
- |
- |
версии 4.2.х, 4.3.2, 4.3.3 — для iPad 1, iPhone 3G, iPhone 3GS, iPhone 4;
версия 4.3.3 — для iPad 2;
версия 5.0.1 — для iPad 2, iPhone 4S;
версия 5.1.1 — для iPad 1, iPad 2, iPhone 4, iPhone 4S, iPhone 3GS |
- |
СЗИ от НСД, которые необходимо использовать для классов больших чем КС1 ( для КС2-КС3)
|
Аккорд-АМДЗ |
Соболь |
КРИПТОН-ЗАМОК/У |
МАРШ! |
КриптоПро CSP 3.6.1
(исполнение 2) |
Только для Windows
4012-006-11443195-2005 ТУ |
2.1
УВАЛ.00300-58-01 ТУ
3.0
RU.40308570.501410.001 ПС |
КБДЖ.468243.067 ТУ |
- |
ViPNet CSP 3.2 |
- |
2.1
УВАЛ.00300-58-01 ТУ
3.0
RU.40308570.501410.001 ПС |
- |
- |
С-терра CSP VPN Client 3.11
(для КС2 – КС3) |
4012-006-11443195-2005 ТУ |
2.1
УВАЛ.00300-58-01 ТУ
3.0
RU.40308570.501410.001 |
модификации М-526А, М-526Б, М-526В, М-526Е |
СПДС-USB-01
ТУ 4024-001-70221576-2011 |
Континент-АП 3.6 |
- |
2.1
УВАЛ.00300-58-01 ТУ
3.0
RU.40308570.501410.001 |
- |
- |
StoneGate Firewall/ VPN Client 5 |
4012-006-11443195-2005 ТУ |
2.1
УВАЛ.00300-58-01 ТУ
3.0
RU.40308570.501410.001 |
КБДЖ.468243.067 ТУ |
МАРШ!-USB
ТУ 4024-033-11443195-2010 |
StoneGate SSL VPN Access Client |
4012-006-11443195-2005 ТУ |
2.1
УВАЛ.00300-58-01 ТУ
3.0
RU.40308570.501410.001 |
- |
МАРШ!-USB
ТУ 4024-033-11443195-2010 |
VipNet Client 3.1 |
АПМДЗ «Аккорд 3.2» |
электронный замок «Соболь 2.1» |
- |
- |
Итоговая сводная таблица по клиентам Remote VPN (не шлюзам)
Техническое решение Remote VPN, сертифицированное ФСБ Р |
Операционные системы, для работы в которых сертифицировано решение и максимальный класс криптозащиты |
Наименование,
версия,
№ формуляра |
Используется CSP и учитываются его ограничения |
Используемое средство защиты доступа, сертифицированное ФСБ |
Windows XP |
Windows Vista / 7 |
Windows 8 |
Windows 2003/2008 |
Linux |
FreeBSD |
Solaris |
Mac OS X |
Apple iOS |
CSP VPN Client 3.11
РЛКЕ.00005-02 30 01 |
КриптоПро CSP 3.6 |
- |
КС1 |
КС1 |
- |
КС1 |
- |
- |
- |
- |
- |
Аккорд-АМДЗ |
КС2 |
КС2 |
- |
КС2 |
- |
- |
- |
- |
- |
Соболь 2.1 или 3.0 |
КС2 |
КС2 |
- |
КС2 |
- |
- |
- |
- |
- |
КРИПТОН-ЗАМОК/У |
КС2 |
КС2 |
- |
КС2 |
- |
- |
- |
- |
- |
МАРШ! |
-15 |
-15 |
- |
-15 |
- |
- |
- |
- |
- |
Континент-АП 3.6
RU.88338853.501430.002 30 |
КриптоПро CSP 3.6 R2
и 3.6.1 |
- |
КС1 |
КС1 |
- |
КС1 |
КС1 |
- |
- |
- |
- |
Соболь 2.1 или 3.0 |
КС2 |
КС2 |
- |
КС2 |
КС2 |
- |
- |
- |
- |
StoneGate Firewall/ VPN Client 5
89625543.4012-001 30 02 |
КриптоПро CSP
3.6.1 |
- |
КС1 |
КС1 |
КС1 |
- |
- |
- |
- |
- |
- |
Аккорд-АМДЗ |
КС2 |
КС2 |
КС2 |
- |
- |
- |
- |
- |
- |
Соболь 2.1 или 3.0 |
КС2 |
КС2 |
КС2 |
- |
- |
- |
- |
- |
- |
КРИПТОН-ЗАМОК/У |
КС2 |
КС2 |
КС2 |
- |
- |
- |
- |
- |
- |
МАРШ! |
-15 |
-15 |
-15 |
- |
- |
- |
- |
- |
- |
StoneGate SSL VPN Access Client
89625543.4012-003 30 02 |
КриптоПро CSP
3.6 R2
Валидата CSP 4.0 |
- |
КС1 |
КС1 |
- |
КС1 |
КС1 |
- |
- |
- |
- |
Аккорд-АМДЗ |
КС2 |
КС2 |
- |
КС2 |
КС2 |
- |
- |
- |
- |
Соболь 2.1 или 3.0 |
КС2 |
КС2 |
- |
КС2 |
КС2 |
- |
- |
- |
- |
МАРШ! |
-15 |
-15 |
- |
-15 |
КС2 |
- |
- |
- |
- |
VipNet Client 3.1
ФРКЕ. 00004-04 30 01 |
VipNet. Криптопровадер |
- |
КС1 |
КС1 (только Vista) |
- |
КС1 |
- |
- |
- |
- |
- |
Аккорд-АМДЗ |
КС2 |
КС2 |
- |
КС2 |
- |
- |
- |
- |
- |
Соболь 2.1 |
КС2 |
КС2 |
- |
КС2 |
- |
- |
- |
- |
- |
VipNet Client 3.1 КС3
ФРКЕ.00063-04 30 01 |
VipNet. Криптопровадер |
Аккорд-АМДЗ |
КС3 |
КС3 |
- |
КС3 |
- |
- |
- |
- |
- |
Соболь 2.1 |
КС3 |
КС3 |
- |
КС3 |
- |
- |
- |
- |
- |
VipNet Client iOS ФРКЕ.00072-02 30 01 |
? |
- |
- |
- |
- |
- |
- |
- |
- |
- |
КС1 |
КриптоПро CSP 3.6.1
ЖТЯИ.00050-03 30 01 |
- |
- |
КС1 |
КС1 |
КС1 |
КС1 |
КС1 |
КС1 |
КС1 |
КС1 |
КС11 |
Аккорд-АМДЗ |
КС3 |
КС2 |
КС2 |
КС3 |
КС2 |
КС2 |
КС2 |
КС1 |
КС11 |
Соболь 2.1 или 3.0 |
КС3 |
КС2 |
КС2 |
КС3 |
КС2 |
КС2 |
КС2 |
КС1 |
КС11 |
КРИПТОН-ЗАМОК/У |
КС3 |
КС2 |
КС2 |
КС3 |
КС2 |
КС2 |
КС2 |
КС1 |
КС11 |
VipNet CSP 3.2
ФРКЕ.00061-01-30 01 |
- |
- |
КС1 |
КС1 |
- |
КС1 |
КС1 |
- |
- |
- |
- |
Соболь 2.1 или 3.0 |
КС2 |
КС2 |
- |
КС2 |
КС2 |
- |
- |
- |
- |
1 Только в составе прикладного ПО
Приложение2
Наиболее интересные ограничения и условия
- Криптопро CSP 3.6.1 Формуляр ЖТЯИ.00050-03 30 01.
“1.2 Эксплуатация СКЗИ ЖТЯИ.00050-03 должна проводиться в соответствии с эксплуатационной документацией, предусмотренной настоящим Формуляром
1.4 При эксплуатации СКЗИ ЖТЯИ.00050-03 должны использоваться сертификаты открытых ключей, выпущенные Удостоверяющим центром, сертифицированным по классу защиты не ниже класса защиты используемого СКЗИ.”
- Криптопро CSP 3.6.1 Формуляр ЖТЯИ.00050-03 30 01.
“1.5 При встраивании СКЗИ ЖТЯИ.00050-03 в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований:
- для исполнения 3 (класс защиты КС3) – во всех случаях;
- для исполнений 1 (класс защиты КС1) и 2 (класс защиты КС2) - в следующих случаях:
1) если информация, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;
2) при организации защиты информации, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;”
- Криптопро CSP 3.6.1 Формуляр ЖТЯИ.00050-03 30 01.
“7.8 При эксплуатации СКЗИ ЖТЯИ.00050-03 должны соблюдаться следующие сроки использования пользовательских закрытых ключей и сертификатов: максимальный срок действия закрытого ключа ЭП (ключа ЭП) - 1 год 3 месяца;
Допускается хранение закрытых ключей на HDD ПЭВМ (в реестре ОС Windows, в разделе HDD при работе под управлением других ОС) при условии распространения на HDD или на ПЭВМ с HDD требований по обращению с ключевыми носителями.”
- Криптопро CSP 3.6.1 Руководство администратора. Часть 16. ЖТЯИ.00050-03 90 02
“16. Должна быть запрещена работа СКЗИ при включенных в ПЭВМ штатных средствах выхода в радиоканал
20. ЗАПРЕЩАЕТСЯ использование беспроводных клавиатур и компьютерных мышей”
- Криптопро CSP 3.6.1 Руководство администратора. Часть 16. ЖТЯИ.00050-03 90 02
“17. При функционировании исполнения 2 СКЗИ в программно-аппаратных средах Windows XP/2003 , ОС Solaris 9/10 (sparc, ia32, x64) инициализация ПДСЧ должна производиться с использованием внешней гаммы.”
- Криптопро CSP 3.6.1 Руководство администратора безопасности. Использование СКЗИ под управлением ОС iOS. ЖТЯИ.00050-03 90 02-07
“2. Для операционной системы iOS КриптоПро CSP не поставляется в виде конечного приложения. КриптоПро CSP для iOS представляет собой фреймворк для разработки, который содержит в себе объектный файл, реализующий функции CSP, ресурсы и заголовочные файлы. Фреймворк не имеет механизма самостоятельной установки в операционную систему. Установка осуществляется в составе прикладной программы, разработанной на основе фреймворка теми средствами, которые предлагает разработчик прикладной программы.
- Криптопро CSP 3.6.1 Руководство администратора безопасности. Использование СКЗИ под управлением ОС iOS. ЖТЯИ.00050-03 90 02-07
10. Ежесуточная перезагрузка ПЭВМ.
15. Должна быть запрещена работа СКЗИ при включенных в ПЭВМ штатных средствах выхода в радиоканал.”
- КриптоПро УЦ. Формуляр. ЖТЯИ.00067-02 30 01.
“3. Межсетевой экран должен быть сертифицирован ФСБ России на соответствие требованиям к устройствам типа межсетевой экран по 4 классу защищенности. Не входит в комплект поставки, поставляется по согласованию с заказчиком.”
- С-терра CSP VPN Client 3.11 Правила пользования РЛКЕ.00005-02 90 02.
“4.5…. Для всех исполнений СКЗИ для исключения возможности влияния аппаратных компонентов СФК на функционирование СКЗИ должны быть выполнены следующие требования:
в случае обработки информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, необходимо проводить исследования ПО BIOS СВТ, на котором установлен ПК "CSP VPN Gate", на соответствие требованиям "Временных методических рекомендаций к проведению исследований программного обеспечения BIOS по документированным возможностям"
- С-терра CSP VPN Client 3.11 Правила пользования РЛКЕ.00005-02 90 02.
“4.7 Требования к обращению с ключевыми документами
Требования к ключам регламентируются документом «Руководство администратора безопасности» КриптоПро CSP, согласно которому срок действия открытых и закрытых ключей шифрования – 1 год 3 месяца.”
- StoneGate Firewall/ VPN Client 5. Программный комплекс криптографической защиты «StoneGate Firewall/VPN» версия 5 ПРАВИЛА ПОЛЬЗОВАНИЯ 89625543.4012-001 90 02
“6. …. Аутентификация пользователей при обращении к шлюзу StoneGate Firewall/VPN возможна с использованием метода аутентификации на основе сертификатов. Возможна комбинация методов аутентификации по сертификатам c другими методами для предоставления пользователю доступа к функциям системы.
Аутентификация абонентов при взаимодействии шлюза StoneGate Firewall/VPN с другими шлюзами возможна с использованием методов аутентификации на основе сертификатов и на основе предварительно распределяемых ключей. При использовании метода аутентификации на основе предварительно распределяемых ключей каждая пара шлюзов должна иметь уникальный ключ длиной 256 бит (при использовании для генерирования и распределения ключей для шлюзов StoneGate Firewall/VPN функций системы управления SMC это требование выполняется автоматически)
При использовании для аутентификации абонентов сертификатов, требования к аутентификации аналогичны предъявляемым при функционировании соответствующих используемых в комплексе StoneGate Firewall/VPN исполнений СКЗИ «КриптоПро CSP 3.6.1». При использовании иных методов аутентификации требования к аутентификации определяются настоящими Правилами.
- StoneGate Firewall/ VPN Client 5. Программный комплекс криптографической защиты «StoneGate Firewall/VPN» версия 5 ПРАВИЛА ПОЛЬЗОВАНИЯ 89625543.4012-001 90 02
“6. Если с помощью StoneGate Firewall/VPN обрабатывается информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации, должно быть обеспечено соответствие ПО BIOS СВТ оператора такой информации (включая оператора персональных данных), на котором установлены компоненты комплекса, «Временным методическим рекомендациям к проведению исследований программного обеспечения BIOS по документированным возможностям». Проверка соответствия ПО BIOS СВТ субъекта данных (например, субъекта персональных данных) не требуется, но рекомендуется”
- StoneGate Firewall/ VPN Client 5. Программный комплекс криптографической защиты «StoneGate Firewall/VPN» версия 5 ПРАВИЛА ПОЛЬЗОВАНИЯ 89625543.4012-001 90 02
“6.1 …
- при использовании СКЗИ на ПЭВМ, подключенных к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей должны использоваться дополнительные методы и средства защиты (межсетевые экраны). При этом возможно задействовать функции разграничения сетевого доступа шлюза StoneGate Firewall/VPN (данный функционал имеет сертификат ФСТЭК);”
- Криптопро CSP 3.6.1 Руководство администратора. Часть 16. ЖТЯИ.00050-03 90 02
“15.... при использовании СКЗИ на ПЭВМ, подключенных к общедоступным сетям связи, с целью исключения возможности несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей, должны использоваться дополнительные методы и средства защиты (например: установка межсетевых экранов, организация VPN сетей и т.п.). При этом предпочтение должно отдаваться средствам защиты, имеющим сертификат уполномоченного органа по сертификации.”
- МАРШ!
В настоящее время производитель устанавливает на МАРШ! только Linux. Идет тестирование Windows Embeded. Если МАРШ! будет поставляться в составе с Windows, то условия формуляра позволяют использовать такой вариант для класса КС2
Приложение 3
Типовой комплект документов при использовании сертифицированных СКЗИ для защиты ПДн (ссылки на пункты типовых требований149/6/6-622 ФСБ России по защите ПДн, которые в свою очередь скопированы из приказа 152 ФАПСИ):
- заключение о возможности эксплуатации криптосредств (п. 2.3);
- журнал учета используемых криптосредств (п. 3.4);
- журнал учета технической документации к криптосредствам (п. 3.4);
- приказ о назначении лиц (пользователей криптосредств), допущенных к работе с криптосредствами (п. 2.3);
- документ, устанавливающего порядок обеспечения безопасности ПДн при помощи криптосредств (п. 1.3);
- документ, устанавливающего порядок организации контроля за соблюдением условий использования криптосредств (п. 2.3);
- приказ о назначении ответственного пользователя криптосредств (п. 2.6);
- описание функциональных обязанностей ответственного пользователя криптосредств (п. 2.7);
- лицевые счета на пользователей криптосредств (п. 3.5);
- технический (аппаратный) журнал регистрации разовых ключевых носителей (п. 3.6);
- приказ о назначении комиссии по уничтожению ключевых документов (п. 3.22);
- документ, устанавливающий требования к режимным помещениям, в которых эксплуатируются криптосредства (п. 4.1);
- журнал учета хранилищ (п. 4.5);
- журнал проверок исправности сигнализации (п. 4.7);
- журнал учета ключей от хранилищ ключевых документов и технической документации (п. 4.8);
- журнал службы охраны (п. 4.9).
