СОИБ. Проектирование. Сертифицированный защищенный удаленный доступ (Remote VPN) часть 0

Написал продолжение статьи о сертифицированном Remote VPN , и понял что слишком много текста. Поэтому разбил ещё на 2 части. Данную заметку логически нужно читать первой, поэтому назовем её - часть 0.

Хочется собрать в одном месте полный набор требований и ограничений, с которыми сталкиваются пользователи сертифицированных криптографических решений типа Remote VPN по сравнению с пользователями несертифицированных решений Remote VPN.

Во-первых, учитываем требования нормативных актов РФ (пример для операторов ПДн):

• ПП РФ 1119, пункт 13
• ПКЗ-2005 ФСБ России
• Приказ152 ФАПСИ (ФСБ России)
• Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России
• Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России

Для того чтобы быстро понять какой объем мер требуют данные акты, можно посмотреть статьи Артема Агеева эту и эту .

Во-вторых, учитываем условия и ограничения из документации на Remote VPN:

• Сертификат на СКЗИ Remote VPN (как правило, там указывается в каком именно исполнении достигается соответствие требованиям и при условии выполнения требований, приведенных в формуляре и возможно других документах)
• Формуляр на СКЗИ Remote VPN (как правило, там указывается необходимая комплектация исполнения, поддерживаемые ОС, другие ограничения а так-же указывается обязательность соблюдения правил использования. ниже я приведу несколько интересных цитат)
• Правила использования СКЗИ Remote VPN (документ может называться по разному для разных СКЗИ, на документ может ссылка из сертификата, формуляра, а так-же он требуется в соответствии с пунктом 46 ПКЗ-2005, но принципы для всех СКЗИ схожие, за небольшими исключениями. в части 2 я приведу несколько интересных цитат)

В-третьих, учитываем условия и ограничения из документации на сертифицированное CSP(так как выделенные криптосервиспровайдеры входят в комплектацию большинства средств VPN, формулярRemote VPN ссылается на сертификат и формуляр CSP):

• Сертификат на СКЗИ CSP (ссылка на исполнение и требования формуляра)
• Формуляр на СКЗИ CSP (комплектация, перечень ОС, ограничения и ссылка на правила)
• Правила использования СКЗИ CSP (иногда правила использования Remote VPN напрямую ссылаются на правила использования CSP)

В-четвертых, учитываем условия и ограничения из документации на средства защиты от НСД(электронные замки, с сертификатами ФСБ, которые перечислены в формулярах на СКЗИ в исполнении по КС2 и выше)

• Сертификат на СЗИотНСДпоФСБ (ссылка на исполнение и требования формуляра)
• Формуляр на СЗИотНСДпоФСБ (комплектация, перечень ОС, ограничения и ссылка на правила)
• Правила использования СЗИотНСДпоФСБ

В-пятых, учитываем необходимость дополнительного сертифицированного УЦ (так как при использовании аутентификации пользователей или шлюзов по сертификатам (PKI) требуется использование УЦ, сертифицированного по классу не меньшему чем СКЗИ – цитата в следующей части)

То есть, пользователь сертифицированных Remote VPN обязан учесть всё вышеперечисленное.
Пользователь обычных Remote VPN (не защищающий ПДн) всё вышеперечисленное учитывает в лучшем случае как рекомендации, а может и забыть как страшный сон и делать как ему нравится, в том числе и использовать "лучшие мировые практики".

PS: В следующей части будут приведены примеры наиболее интересные и сложные требования и ограничений, которые необходимо выполнять пользователям сертифицированных Remote VPN, а так-же некоторые полезные сводные таблицы по решениям Remote VPN, CSP, СЗИ от НСД, ОС.