СОИБ. Проектирование. Сертифицированный защищенный удаленный доступ (Remote VPN) часть 2
В этот раз рассмотрим самый простой
вариант Remote VPN
КС1 и сравниваем – на сколько он сложнее
чем вообще не сертифицированный Remote
VPN
1.
Операционные системы (смотреть таблицы в
Приложении 1). Если мы посмотрим на статистику использования ОС и мобильных ОС
можно сделать следующие вывод - примерно 13% наших пользователей с ноутбуками
(с операционными системами Windows
8,
OS X, Linux) останутся
без Remote VPN. С
мобильными устройствами совсем беда – есть решение только у одного вендора и
только для iOS. То есть за бортом остается ощутимая часть сотрудников.
В не сертифицированном варианте покрытие ОС и технических средств почти 100%
В не сертифицированном варианте покрытие ОС и технических средств почти 100%
2.
В зависимости от решения по разному могут быть
предъявлены требования к защите от влияния
аппаратных компонентов технических средств на функционирование СКЗИ при защите
ПДн.
Например,
в варианте С-терра VPN
Client (Приложение 2 - 9) для этого
требуется проводить тематические исследования BIOS. Стоимость таких работ на порядок больше чем стоимость самого
решения.
В
варианте Stonegate
VPN Client (Приложение 2 - 12) рекомендуется проводить
исследования BIOS
ещё
и на технических средствах субъектов ПДн,
данные которых обрабатываются у нас!! :O (кто мог такое придумать, это ж работа для
исследователей BIOS на годы
вперед обеспечена)
3.
При подключении технического средства с СКЗИ к
сетям связи общего доступа (а Remote
VPN и
предназначен для работы через такие подключения) требуется использовать
сертифицированные средства межсетевого экранирования (Приложение 2 – 13 и
Приложение 2 – 15). То есть либо использовать Remote VPN со
встроенным МЭ либо применять дополнительный.
4.
Для защиты среды в которой работает сертифицированное
СКЗИ должны использоваться сертифицированные ФСТЭК и ФСБ средства антивирусной
защиты из перечня (Касперский, Nod32, Dr. Web)
(Приложение 2 – 16). Есть вероятность что придется менять наш любимый
антивирус. Ещё и перечень ОС, под которыми работают сертифицированные
антивирусы ограничен (см.
соответствующие формуляры на антивирусы) и не позволяет нам использовать их на
экзотических ОС (определенные Linux, Mac
OS, iOS,)
5.
При использовании для аутентификации
пользователей Remote
VPN сертификатов
PKI (а именно такой вариант более надежен,
по сравнению с паролями) необходимо использование Удостоверяющего центра,
сертифицированного по классу криптографической защиты, не меньшему чем решение Remote VPN (Приложение 2 - 1) при этом для некоторых решений явно разрешено использование
предопределенных ключей pre-shared key (Приложение 2 - 11)
6.
Разворачивание в организации
сертифицированного удостоверяющего центра, помимо приобретения лицензий, серверов,
АРМ оператора, средств защиты от НСД, влечет за собой в том числе установку МЭ,
сертифицированного ФСБ (Приложение 2 - 8).
Итого:
Использование
внешнего сертифицированного УЦ увеличит стоимость решения примерно на 2000 руб.
на пользователя ежегодно.
Использование
собственного сертифицированного УЦ увеличит стоимость решения примерно на 2000
руб. на пользователя.
Использование
имеющихся в организации несертифицированных УЦ (таких как Microsoft Active
Directory Certificate Cervices) нелегитимно.
7.
При использовании сертифицированного Remote VPN мы ограничены при определении срока
действия сертификата пользователя. Мы обязаны менять его раз в год, а
максимальный срок жизни не может превышать 1 год и 3 месяца. (Приложение 2 – 3
и Приложение 2 - 10). В случае с несертифицированным мы можем выбирать срок в
соответствии с корпоративной политикой – например 3 года и соответственно
уменьшить трудозатраты на эксплуатацию решения.
8.
При хранении закрытых ключей или сертификатов пользователя
на локальном диске или реестре (случай когда не применяются eToken) мы обязаны для технических средств (ноутбуков)
принимать меры, аналогичные ключевым носителям (Приложение 2 - 3). А меры по
защите ключевых носителей требуются немаленькие (смотреть содержание
нормативных актов из Части 0), в том числе регистрировать их как носители,
регистрировать помещения в которых на них работаем, обеспечивать отсутствие к
ним доступа посторонних лиц, убирать во внерабочее время в сейф и т.п.
9.
При использовании сертифицированных Remote VPN заброшено использование беспроводных каналов
связи (Приложение 2-4 и Приложение 2-7). Скажите “нет” WiFi, 3G, 4G, bluetooth, NFC. Что остается мобильному пользователю с
ноутбуком?
Так-же
придется отключать беспроводные мышки и клавиатуры.
10.
При использовании сертифицированного Remote VPN потребуется внедрить обязательные
организационные меры, разработать и поддерживать порядка 17 документов
(Приложение 3)
Выводы: использование сертифицированного Remote VPN может потребовать приобретение
дополнительных продуктов в несколько раз увеличивающих стоимость поставки, потребует
проведение дополнительных работ, которые могут на порядок превосходить работы
по внедрение самого технического решения Remote VPN и
пользователям придется учитывать все приведенные выше ограничения
сертифицированного решения.
Организациям, внедряющим полностью
легитимный сертифицированный Remote
VPN надо учитывать, что его стоимость
будет в разы превосходить стоимость несертифицированного аналога и использовать
это при выборе контрмер и определении необходимости сертифицированного ФСБ Р
решения.
Производителям хочу посоветовать
внимательно подходить к разработке документов на ваши СКЗИ. Любая лишняя фраза
может привести к миллионам дополнительных
затрат у пользователей, а то и вовсе к невозможности использования сертифицированного
решения.
PS: Наверное вам интересно, почему в названии статьи Remote VPN а не просто VPN? Ведь большинство пунктов справедливо для любого
сертифицированного VPN
решения.
Отвечу: при использовании криптошлюзов и Site-to-Site VPN, их количество на порядок меньше чем пользователей и соответственно
добавленные расходы на сертифицированный VPN не так сильно выделяются на общем фоне
проекта, а ограничения к ОС и условиям работы почти не сказываются, потому что
на криптошлюзы (в отличает от ноутбуков, планшетов и смарт-фонов) приобретаются
в рамках самого проекта и уже содержат необходимую ОС и преднастроены для
соблюдения ограничений.
Приложение
1.
ОС, поддерживаемые СКЗИ
СЗИ от НСД, которые необходимо использовать
для классов больших чем КС1 ( для КС2-КС3)
Итоговая сводная таблица по клиентам Remote VPN (не шлюзам)
Приложение2.
Наиболее интересные ограничения и
условия (прошу внимательно прочитать и проверить что у вас они соблюдаются):
1. Криптопро CSP 3.6.1 Формуляр ЖТЯИ.00050-03 30 01.
“1.2 Эксплуатация
СКЗИ ЖТЯИ.00050-03 должна проводиться в
соответствии с эксплуатационной документацией, предусмотренной настоящим
Формуляром
1.4 При эксплуатации
СКЗИ ЖТЯИ.00050-03 должны использоваться сертификаты открытых ключей,
выпущенные Удостоверяющим центром, сертифицированным по классу защиты не ниже
класса защиты используемого СКЗИ.”
2. Криптопро CSP
3.6.1 Формуляр ЖТЯИ.00050-03
30 01.
“1.5 При встраивании
СКЗИ ЖТЯИ.00050-03 в прикладные системы необходимо проводить оценку влияния
аппаратных, программно-аппаратных и программных средств сети (системы)
конфиденциальной связи, совместно с которыми предполагается штатное
функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований:
- для исполнения 3
(класс защиты КС3) – во всех случаях;
- для исполнений 1
(класс защиты КС1) и 2 (класс защиты КС2) - в следующих случаях:
1) если информация, обрабатываемая
СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;
2) при организации
защиты информации, обрабатываемой СКЗИ, в федеральных органах исполнительной
власти, органах исполнительной власти субъектов Российской Федерации;”
3. Криптопро CSP
3.6.1 Формуляр ЖТЯИ.00050-03
30 01.
“7.8 При эксплуатации
СКЗИ ЖТЯИ.00050-03 должны соблюдаться следующие сроки использования
пользовательских закрытых ключей и сертификатов: максимальный срок действия
закрытого ключа ЭП (ключа ЭП) - 1 год 3 месяца;
Допускается хранение
закрытых ключей на HDD ПЭВМ (в реестре ОС Windows, в разделе HDD при работе под
управлением других ОС) при условии распространения на HDD или на ПЭВМ с HDD
требований по обращению с ключевыми носителями.”
4. Криптопро CSP
3.6.1 Руководство администратора. Часть 16. ЖТЯИ.00050-03 90 02
“16.
Должна быть запрещена работа СКЗИ при включенных в ПЭВМ штатных средствах
выхода в радиоканал
20.
ЗАПРЕЩАЕТСЯ использование беспроводных клавиатур и компьютерных мышей”
5. Криптопро CSP
3.6.1 Руководство администратора. Часть 16. ЖТЯИ.00050-03 90 02
“17.
При функционировании исполнения 2 СКЗИ в программно-аппаратных средах Windows
XP/2003 , ОС Solaris 9/10 (sparc, ia32, x64) инициализация ПДСЧ должна
производиться с использованием внешней гаммы.”
6. Криптопро CSP 3.6.1 Руководство
администратора безопасности. Использование СКЗИ под управлением ОС iOS. ЖТЯИ.00050-03 90 02-07
“2.
Для операционной системы iOS КриптоПро CSP не поставляется в виде конечного
приложения. КриптоПро CSP для iOS представляет собой фреймворк для разработки,
который содержит в себе объектный файл, реализующий функции CSP, ресурсы и
заголовочные файлы. Фреймворк не имеет механизма самостоятельной установки в
операционную систему. Установка осуществляется в составе прикладной программы,
разработанной на основе фреймворка теми средствами, которые предлагает
разработчик прикладной программы.
7. Криптопро CSP 3.6.1 Руководство
администратора безопасности. Использование СКЗИ под управлением ОС iOS. ЖТЯИ.00050-03 90 02-07
10.
Ежесуточная перезагрузка ПЭВМ.
15.
Должна быть запрещена работа СКЗИ при включенных в ПЭВМ штатных средствах
выхода в радиоканал.”
8. КриптоПро УЦ. Формуляр.
ЖТЯИ.00067-02 30 01.
“3.
Межсетевой экран должен быть сертифицирован ФСБ России на соответствие
требованиям к устройствам типа межсетевой экран по 4 классу защищенности. Не
входит в комплект поставки, поставляется по согласованию с заказчиком.”
9.
С-терра
CSP VPN Client 3.11 Правила пользования РЛКЕ.00005-02 90 02.
“4.5….
Для всех исполнений СКЗИ для исключения возможности влияния аппаратных
компонентов СФК на функционирование СКЗИ должны быть выполнены следующие
требования:
в
случае обработки информации, подлежащей обязательной защите в соответствии с
законодательством Российской Федерации, необходимо проводить исследования ПО
BIOS СВТ, на котором установлен ПК "CSP VPN Gate", на соответствие
требованиям "Временных методических рекомендаций к проведению исследований
программного обеспечения BIOS по документированным возможностям"
10. С-терра CSP VPN Client 3.11 Правила
пользования РЛКЕ.00005-02 90 02.
“4.7
Требования к обращению с ключевыми документами
Требования
к ключам регламентируются документом «Руководство администратора безопасности»
КриптоПро CSP, согласно которому срок действия открытых и закрытых ключей
шифрования – 1 год 3 месяца.”
11. StoneGate Firewall/ VPN Client 5. Программный
комплекс криптографической защиты «StoneGate Firewall/VPN» версия 5 ПРАВИЛА
ПОЛЬЗОВАНИЯ 89625543.4012-001 90 02
“6.
…. Аутентификация пользователей при обращении к шлюзу StoneGate Firewall/VPN
возможна с использованием метода аутентификации на основе сертификатов.
Возможна комбинация методов аутентификации по сертификатам c другими методами
для предоставления пользователю доступа к функциям системы.
Аутентификация
абонентов при взаимодействии шлюза StoneGate Firewall/VPN с другими шлюзами
возможна с использованием методов аутентификации на основе сертификатов и на
основе предварительно распределяемых ключей. При использовании метода
аутентификации на основе предварительно распределяемых ключей каждая пара
шлюзов должна иметь уникальный ключ длиной 256 бит (при использовании для
генерирования и распределения ключей для шлюзов StoneGate Firewall/VPN функций
системы управления SMC это требование выполняется автоматически)
При
использовании для аутентификации абонентов сертификатов, требования к
аутентификации аналогичны предъявляемым при функционировании соответствующих
используемых в комплексе StoneGate Firewall/VPN исполнений СКЗИ «КриптоПро CSP
3.6.1». При
использовании иных методов аутентификации требования к аутентификации
определяются настоящими Правилами.
12. StoneGate Firewall/ VPN Client 5. Программный
комплекс криптографической защиты «StoneGate Firewall/VPN» версия 5 ПРАВИЛА
ПОЛЬЗОВАНИЯ 89625543.4012-001 90 02
“6.
Если с помощью StoneGate Firewall/VPN обрабатывается информация, подлежащая
обязательной защите в соответствии с законодательством Российской Федерации,
должно быть обеспечено соответствие ПО BIOS СВТ оператора такой информации
(включая оператора персональных данных), на котором установлены компоненты
комплекса, «Временным методическим рекомендациям к проведению исследований
программного обеспечения BIOS по документированным возможностям». Проверка
соответствия ПО BIOS СВТ субъекта данных (например, субъекта персональных
данных) не требуется, но рекомендуется”
13. StoneGate Firewall/ VPN Client 5. Программный
комплекс криптографической защиты «StoneGate Firewall/VPN» версия 5 ПРАВИЛА
ПОЛЬЗОВАНИЯ 89625543.4012-001 90 02
“6.1
…
-
при использовании СКЗИ на ПЭВМ, подключенных к общедоступным сетям связи, с
целью исключения возможности несанкционированного доступа к системным ресурсам
используемых операционных систем, к программному обеспечению, в окружении
которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей
должны использоваться дополнительные методы и средства защиты (межсетевые
экраны). При этом возможно задействовать функции разграничения сетевого доступа
шлюза StoneGate Firewall/VPN (данный функционал имеет сертификат ФСТЭК);”
14. Криптопро CSP
3.6.1 Руководство администратора. Часть 16. ЖТЯИ.00050-03 90 02
“15....
при использовании СКЗИ на ПЭВМ, подключенных к
общедоступным сетям связи, с целью исключения возможности несанкционированного
доступа к системным ресурсам используемых операционных систем, к программному обеспечению,
в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны
указанных сетей, должны использоваться дополнительные методы и средства защиты (например:
установка межсетевых экранов, организация VPN сетей и т.п.). При этом
предпочтение должно отдаваться средствам защиты, имеющим сертификат уполномоченного органа по
сертификации.”
15. МАРШ!
В
настоящее время производитель устанавливает на МАРШ! только Linux. Идет
тестирование Windows Embeded. Если МАРШ! будет поставляться в составе с
Windows, то условия формуляра позволяют
использовать такой вариант для класса КС2
16. Криптопро CSP
3.6.1 Формуляр ЖТЯИ.00050-03
30 01.
“2. При эксплуатации
СКЗИ ЖТЯИ.00050-03 должны выполняться следующие требования:
…4. СКЗИ должно использоваться со средствами антивирусной защиты. Класс
антивирусных средств защиты определяется условиями эксплуатации СКЗИ в
автоматизированных системах”
Криптопро CSP
3.6.1 Руководство администратора. Часть 16. ЖТЯИ.00050-03 90 02
“13….Программное
обеспечение СКЗИ ЖТЯИ.00050-03 должно использоваться со средствами антивирусной
защиты, сертифицированными ФСТЭК и ФСБ России:
Антивирус
Касперского
Антивирус
Dr.Web
Антивирус
NOD32.”
Приложение
3.
Типовой комплект документов при
использовании сертифицированных СКЗИ для защиты ПДн (ссылки на пункты типовых
требований149/6/6-622 ФСБ России по защите ПДн, которые в свою очередь
скопированы из приказа 152 ФАПСИ):
·
заключение о возможности эксплуатации
криптосредств (п. 2.3);
·
журнал учета используемых криптосредств (п.
3.4);
·
журнал учета технической документации к
криптосредствам (п. 3.4);
·
приказ о назначении лиц (пользователей
криптосредств), допущенных к работе с криптосредствами (п. 2.3);
·
документ, устанавливающего порядок обеспечения
безопасности ПДн при помощи криптосредств (п. 1.3);
·
документ, устанавливающего порядок организации
контроля за соблюдением условий использования криптосредств (п. 2.3);
·
приказ о назначении ответственного
пользователя криптосредств (п. 2.6);
·
описание функциональных обязанностей
ответственного пользователя криптосредств (п. 2.7);
·
лицевые счета на пользователей криптосредств
(п. 3.5);
·
технический (аппаратный) журнал регистрации
разовых ключевых носителей (п. 3.6);
·
приказ о назначении комиссии по уничтожению
ключевых документов (п. 3.22);
·
документ, устанавливающий требования к
режимным помещениям, в которых эксплуатируются криптосредства (п. 4.1);
·
журнал учета хранилищ (п. 4.5);
·
журнал проверок исправности сигнализации (п.
4.7);
·
журнал учета ключей от хранилищ ключевых
документов и технической документации (п. 4.8);
·
журнал службы охраны (п. 4.9).
Комментарии
Что касается ViPNet УЦ, КриптоПро УЦ. Следует добавить одно важное ограничение: при подключении этих УЦ к сетям связи общего пользования нужно применять криптошлюзы с сертификатом KB2! В формулярах не обозначено, для каких целей такое подключение может использоваться (ну там удаленные точки регистрации, либо просто публикация CRL). Видимо, по-любому KB2.
Еще одно: в формуляре КриптоПро УЦ с уровнем KC3 есть требование обязательной синхронизации времени всех средств УЦ.
С уважением.
Антивирус Касперского
Антивирус Dr.Web
Антивирус NOD32"
Т.е. антивирус должен быть сертифицирован и ФСТЭК и ФСБ? В качестве примера приведены 3 линейки, но ведь Нод не серт. ФСБ! Может там должно быть ФСТЭК или ФСБ?
Цитата приведена точная.
Перечень законченный.
Но у NOD32 нет сертификата ФСБ.