СОИБ. Проектирование. Сертифицированный защищенный удаленный доступ (Remote VPN) часть 0


Написал продолжение статьи о сертифицированном Remote VPN, и понял что слишком много текста. Поэтому разбил ещё на 2 части. Данную заметку логически нужно читать первой, поэтому назовем её - часть 0. 

Хочется собрать в одном месте полный набор требований и ограничений, с которыми сталкиваются пользователи сертифицированных криптографических решений типа Remote VPN по сравнению с пользователями несертифицированных решений Remote VPN.

Во-первых, учитываем требования нормативных актов РФ (пример для операторов ПДн):
·       ПП РФ 1119, пункт 13
·       ПКЗ-2005 ФСБ России
·       Приказ152 ФАПСИ (ФСБ России)
·       Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России
·       Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России
Для того чтобы быстро понять какой объем мер требуют данные акты, можно посмотреть статьи Артема Агеева эту и эту.

Во-вторых, учитываем условия и ограничения из документации на Remote VPN:
·       Сертификат на СКЗИ Remote VPN (как правило, там указывается в каком именно исполнении достигается соответствие требованиям и при условии выполнения  требований, приведенных в формуляре и возможно других документах)
·       Формуляр на СКЗИ Remote VPN (как правило, там указывается необходимая комплектация исполнения, поддерживаемые ОС, другие ограничения а так-же указывается обязательность соблюдения правил использования. ниже я приведу несколько интересных цитат)
·       Правила использования СКЗИ Remote VPN (документ может называться по разному для разных СКЗИ, на документ может ссылка из сертификата, формуляра, а так-же он требуется в соответствии с пунктом 46 ПКЗ-2005, но принципы для всех СКЗИ схожие, за небольшими исключениями. в части 2 я приведу несколько интересных цитат)

В-третьих, учитываем условия и ограничения из документации на сертифицированное CSP (так как выделенные криптосервиспровайдеры входят в комплектацию большинства средств VPN, формуляр Remote VPN ссылается на сертификат и формуляр CSP):
·       Сертификат на СКЗИ CSP (ссылка на исполнение и требования формуляра)
·       Формуляр на СКЗИ CSP  (комплектация, перечень ОС, ограничения и ссылка на правила)
·       Правила использования СКЗИ CSP (иногда правила использования Remote VPN напрямую ссылаются на правила использования CSP)

В-четвертых, учитываем условия и ограничения из документации на средства защиты от НСД (электронные замки, с сертификатами ФСБ,  которые перечислены в формулярах на СКЗИ в исполнении по КС2 и выше)
·       Сертификат на СЗИотНСДпоФСБ (ссылка на исполнение и требования формуляра)
·       Формуляр на СЗИотНСДпоФСБ  (комплектация, перечень ОС, ограничения и ссылка на правила)
·       Правила использования СЗИотНСДпоФСБ

В-пятых, учитываем необходимость дополнительного сертифицированного УЦ (так как при использовании аутентификации пользователей или шлюзов по сертификатам (PKI) требуется использование УЦ, сертифицированного по классу не меньшему чем  СКЗИ – цитата в следующей части)

То есть, пользователь сертифицированных Remote VPN обязан учесть всё вышеперечисленное.
Пользователь обычных Remote VPN (не защищающий ПДн) всё вышеперечисленное учитывает в лучшем случае как рекомендации, а может и забыть как страшный сон и делать как ему нравится, в том числе и использовать "лучшие мировые практики".

PS: В следующей части будут приведены примеры наиболее интересные и сложные требования и ограничений, которые необходимо выполнять пользователям сертифицированных Remote VPN, а так-же некоторые полезные сводные таблицы по решениям Remote VPN, CSP, СЗИ от НСД, ОС.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его
Далее...