СОИБ. Проектирование. Чего мы ещё лишаемся требуя использовать сертифицированную криптографию
В серии предыдущих заметок я уже
приводил примеры с какими сложностями, дополнительными затратами и
ограничениями придется столкнутся организациям, использующим сертифицированный
по ГОСТ remote VPN по сравнению с счастливыми
обладателями альтернативных решений.
Посмотрим теперь сравнение в случае
если потребовалась защитить информацию, передаваемую по собственным или
арендованным каналам связи с использованием криптографических средств (внутренние
каналы связи между объектами сети передачи данных).
Такая необходимость может возникнуть в
случаях:
·
Если защита любых каналов требуется отраслевым
регулятором, вышестоящей организацией или контрагентом, который поручил
обработку
·
Если каналы связи проходят за границами
контролируемой территории (группа не огороженных близко расположенных зданий, распределенные
ЦОД в разных концах города, беспроводные каналы связи и т.п.)
·
Если необходимость применения
криптографической защиты для таких каналов ошибочно определена при
моделировании угроз или оценки рисков самой организацией, при этом была
переоценена опасность угрозы, эффективность криптографии по ГОСТ и недооценены
проблемы и стоимость внедрения сертифицированных средств криптографической
защиты.
Возьмем отказоустойчивую быструю сеть
передачи данных средней распределенной организации и посмотрим на дизайны
получившихся сетей.
Вариант
1
с примирением сертифицированных криптошлюзов (с минимальным возможным влиянием
на характеристики СПД)
Вариант
2
с примирением защиты каналов по AES
реализованной
на аппаратном уровне сетевого оборудования
Сравним плюсы и минусы вариантов:
|
|
Вариант 1. Защита с использованием
криптошлюзов
|
Вариант 2. Защита с использованием возможностей
сетевого оборудования
|
|
Плюсы
|
“Надежный
алгоритм” шифрования по ГОСТ 28147-89
Сертифицированное
ФСБ Р решение
|
Надежный
алгоритм шифрования AES
Более
быстрая СПД
Более
надежная СПД
Меньшая
стоимость создания СПД
Меньшая
стоимость обслуживания и поддержки СПД
|
|
Минусы
|
Более
медленная СПД
Менее
надежная СПД + СКЗИ
Большая
стоимость создания СПД + СКЗИ
Большая
стоимость обслуживания и поддержки СПД + СКЗИ
|
Несертифицированное
ФСБ Р решение
|
Плюсы второго варианта настолько
хороши, что стоит за него побороться.
А вариантов не использовать
криптографию внутри сети немало:
·
Уменьшить количество информационных потоков, в
рамках которых передается информация, подлежащая защите в соответствии c законодательством РФ (например,
обезличивая ПДн)
·
Обеспечить контролируемость каналов не
криптографическими способами. Так как в общем случае жесткий набор мер, которые
надо принять для обеспечения контролируемого канала отсутствует, можно проявить
творческий подход - разработать внутренний документ, который будет требовать,
например, мониторинг портов оборудования, находящегося за пределами КЗ. Если
этого мало, то опечатывания + периодического осмотра + пары видеокамер может
быть уже достаточно
·
При моделировании угроз признать вероятность
перехвата информации в каналах между зданиями низкой или “нулевой”, возможный
ущерб небольшим, угрозу неактуальной, внешнего нарушителя имеющего физический доступ
к каналу между зданиями неактуальным
·
При выборе мер защиты не требовать условия, что
для нейтрализации угрозы перехвата информации между зданиями необходимо
сертифицированное СКЗИ
·
При выборе варианта реализации мер защиты
использовать подход экономической нецелесообразности решений на криптошлюзах и
замены контрмеры на альтернативную
PS: Не имею ничего против сертифицированных СКЗИ, которые
применяются для решения узких специфических задач, не вносят больших
затруднений и не ухудшают работу основной сети и обладают теми же
возможностями, что и несертифицированные решения по защите.
Комментарии
Если все-таки рассматривать вопрос возможности применения несертифицированной криптографии, когда вопрос об использовании вообще криптографии уже решен, то следует заглянуть в ПКЗ-2005. Если речь идет о защите информации ограниченного доступа и выполняются условия п.3, то однозначно придется использовать сертифицированную, кроме редких, отдельно согласованных с ФСБ случаев или очень волосатой лапы ))
Если нам нужна быстрая отказоустойчивая сеть, то вероятнее всего придется в документах которые касаются защиты информации ограниченного доступа отказаться от СКЗИ на каналах внутренней сети вообще.
Тебе ли этого не знать.
2. На счет легитимности использования несертифицированных СКЗИ - при ввозу мы всё равно обязаны согласовать с ФСБ и получить разрешение на ввоз. Детально описываем всю ситуацию. Если разрешение получено - значит и использовать можно.
3. А вообще, хотелось бы чтобы до лиц участвующих в комиссиях по совершенствованию законодательства дошло, что рядом избыточных требований можно существенно замедлить развитие ИТ.
И все требования законодательства должны быть обоснованы, оценены и оценен эффект от них на различные круги лиц.