Написал продолжение статьи о сертифицированном Remote VPN , и понял что слишком много текста. Поэтому разбил ещё на 2 части. Данную заметку логически нужно читать первой, поэтому назовем её - часть 0.
Хочется собрать в одном месте полный набор требований и ограничений, с которыми сталкиваются пользователи сертифицированных криптографических решений типа Remote VPN по сравнению с пользователями несертифицированных решений Remote VPN.
Во-первых, учитываем требования нормативных актов РФ (пример для операторов ПДн):
- ПП РФ 1119, пункт 13
- ПКЗ-2005 ФСБ России
- Приказ152 ФАПСИ (ФСБ России)
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. ФСБ России
Для того чтобы быстро понять какой объем мер требуют данные акты, можно посмотреть статьи Артема Агеева эту и эту .
Во-вторых, учитываем условия и ограничения из документации на Remote VPN:
- Сертификат на СКЗИ Remote VPN (как правило, там указывается в каком именно исполнении достигается соответствие требованиям и при условии выполнения требований, приведенных в формуляре и возможно других документах)
- Формуляр на СКЗИ Remote VPN (как правило, там указывается необходимая комплектация исполнения, поддерживаемые ОС, другие ограничения а так-же указывается обязательность соблюдения правил использования. ниже я приведу несколько интересных цитат)
- Правила использования СКЗИ Remote VPN (документ может называться по разному для разных СКЗИ, на документ может ссылка из сертификата, формуляра, а так-же он требуется в соответствии с пунктом 46 ПКЗ-2005, но принципы для всех СКЗИ схожие, за небольшими исключениями. в части 2 я приведу несколько интересных цитат)
В-третьих, учитываем условия и ограничения из документации на сертифицированное CSP(так как выделенные криптосервиспровайдеры входят в комплектацию большинства средств VPN, формулярRemote VPN ссылается на сертификат и формуляр CSP):
- Сертификат на СКЗИ CSP (ссылка на исполнение и требования формуляра)
- Формуляр на СКЗИ CSP (комплектация, перечень ОС, ограничения и ссылка на правила)
- Правила использования СКЗИ CSP (иногда правила использования Remote VPN напрямую ссылаются на правила использования CSP)
В-четвертых, учитываем условия и ограничения из документации на средства защиты от НСД(электронные замки, с сертификатами ФСБ, которые перечислены в формулярах на СКЗИ в исполнении по КС2 и выше)
- Сертификат на СЗИотНСДпоФСБ (ссылка на исполнение и требования формуляра)
- Формуляр на СЗИотНСДпоФСБ (комплектация, перечень ОС, ограничения и ссылка на правила)
- Правила использования СЗИотНСДпоФСБ
В-пятых, учитываем необходимость дополнительного сертифицированного УЦ (так как при использовании аутентификации пользователей или шлюзов по сертификатам (PKI) требуется использование УЦ, сертифицированного по классу не меньшему чем СКЗИ – цитата в следующей части)
То есть, пользователь сертифицированных Remote VPN обязан учесть всё вышеперечисленное.
Пользователь обычных Remote VPN (не защищающий ПДн) всё вышеперечисленное учитывает в лучшем случае как рекомендации, а может и забыть как страшный сон и делать как ему нравится, в том числе и использовать "лучшие мировые практики".
Пользователь обычных Remote VPN (не защищающий ПДн) всё вышеперечисленное учитывает в лучшем случае как рекомендации, а может и забыть как страшный сон и делать как ему нравится, в том числе и использовать "лучшие мировые практики".
PS: В следующей части будут приведены примеры наиболее интересные и сложные требования и ограничений, которые необходимо выполнять пользователям сертифицированных Remote VPN, а так-же некоторые полезные сводные таблицы по решениям Remote VPN, CSP, СЗИ от НСД, ОС.