СОИБ. Проектирование. Сертифицированный защищенный удаленный доступ (Remote VPN) часть 0

Написал продолжение статьи о сертифицированном Remote VPN, и понял что слишком много текста. Поэтому разбил ещё на 2 части. Данную заметку логически нужно читать первой, поэтому назовем её - часть 0. 

Хочется собрать в одном месте полный набор требований и ограничений, с которыми сталкиваются пользователи сертифицированных криптографических решений типа Remote VPN по сравнению с пользователями несертифицированных решений Remote VPN.

Во-первых, учитываем требования нормативных актов РФ (пример для операторов ПДн):

·       ПП РФ 1119, пункт 13

·       ПКЗ-2005 ФСБ России

·       Приказ152 ФАПСИ (ФСБ России)

·       Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России

·       Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России

Для того чтобы быстро понять какой объем мер требуют данные акты, можно посмотреть статьи Артема Агеева эту и эту.

Во-вторых, учитываем условия и ограничения из документации на Remote VPN:

·       Сертификат на СКЗИ Remote VPN (как правило, там указывается в каком именно исполнении достигается соответствие требованиям и при условии выполнения  требований, приведенных в формуляре и возможно других документах)

·       Формуляр на СКЗИ Remote VPN (как правило, там указывается необходимая комплектация исполнения, поддерживаемые ОС, другие ограничения а так-же указывается обязательность соблюдения правил использования. ниже я приведу несколько интересных цитат)

·       Правила использования СКЗИ Remote VPN (документ может называться по разному для разных СКЗИ, на документ может ссылка из сертификата, формуляра, а так-же он требуется в соответствии с пунктом 46 ПКЗ-2005, но принципы для всех СКЗИ схожие, за небольшими исключениями. в части 2 я приведу несколько интересных цитат)

В-третьих, учитываем условия и ограничения из документации на сертифицированное CSP (так как выделенные криптосервиспровайдеры входят в комплектацию большинства средств VPN, формуляр Remote VPN ссылается на сертификат и формуляр CSP):

·       Сертификат на СКЗИ CSP (ссылка на исполнение и требования формуляра)

·       Формуляр на СКЗИ CSP  (комплектация, перечень ОС, ограничения и ссылка на правила)

·       Правила использования СКЗИ CSP (иногда правила использования Remote VPN напрямую ссылаются на правила использования CSP)

В-четвертых, учитываем условия и ограничения из документации на средства защиты от НСД (электронные замки, с сертификатами ФСБ,  которые перечислены в формулярах на СКЗИ в исполнении по КС2 и выше)

·       Сертификат на СЗИотНСДпоФСБ (ссылка на исполнение и требования формуляра)

·       Формуляр на СЗИотНСДпоФСБ  (комплектация, перечень ОС, ограничения и ссылка на правила)

·       Правила использования СЗИотНСДпоФСБ

В-пятых, учитываем необходимость дополнительного сертифицированного УЦ (так как при использовании аутентификации пользователей или шлюзов по сертификатам (PKI) требуется использование УЦ, сертифицированного по классу не меньшему чем  СКЗИ – цитата в следующей части)

То есть, пользователь сертифицированных Remote VPN обязан учесть всё вышеперечисленное.
Пользователь обычных Remote VPN (не защищающий ПДн) всё вышеперечисленное учитывает в лучшем случае как рекомендации, а может и забыть как страшный сон и делать как ему нравится, в том числе и использовать "лучшие мировые практики".

PS: В следующей части будут приведены примеры наиболее интересные и сложные требования и ограничений, которые необходимо выполнять пользователям сертифицированных Remote VPN, а так-же некоторые полезные сводные таблицы по решениям Remote VPN, CSP, СЗИ от НСД, ОС.