В серии предыдущих заметок я уже приводил примеры с какими сложностями, дополнительными затратами и ограничениями придется столкнутся организациям, использующим сертифицированный по ГОСТremote VPN по сравнению с счастливыми обладателями альтернативных решений.
Посмотрим теперь сравнение в случае если потребовалась защитить информацию, передаваемую по собственным или арендованным каналам связи с использованием криптографических средств (внутренние каналы связи между объектами сети передачи данных).
Такая необходимость может возникнуть в случаях:
- Если защита любых каналов требуется отраслевым регулятором, вышестоящей организацией или контрагентом, который поручил обработку
- Если каналы связи проходят за границами контролируемой территории (группа не огороженных близко расположенных зданий, распределенные ЦОД в разных концах города, беспроводные каналы связи и т.п.)
- Если необходимость применения криптографической защиты для таких каналов ошибочно определена при моделировании угроз или оценки рисков самой организацией, при этом была переоценена опасность угрозы, эффективность криптографии по ГОСТ и недооценены проблемы и стоимость внедрения сертифицированных средств криптографической защиты.
Возьмем отказоустойчивую быструю сеть передачи данных средней распределенной организации и посмотрим на дизайны получившихся сетей.
Вариант 1 с примирением сертифицированных криптошлюзов (с минимальным возможным влиянием на характеристики СПД)
Вариант 2 с примирением защиты каналов по AES реализованной на аппаратном уровне сетевого оборудования
Сравним плюсы и минусы вариантов:
|
Вариант 1. Защита с использованием криптошлюзов
|
Вариант 2. Защита с использованием возможностей сетевого оборудования
|
Плюсы
|
“Надежный алгоритм” шифрования по ГОСТ 28147-89
Сертифицированное ФСБ Р решение
|
Надежный алгоритм шифрования AES
Более быстрая СПД
Более надежная СПД
Меньшая стоимость создания СПД
Меньшая стоимость обслуживания и поддержки СПД
|
Минусы
|
Более медленная СПД
Менее надежная СПД + СКЗИ
Большая стоимость создания СПД + СКЗИ
Большая стоимость обслуживания и поддержки СПД + СКЗИ
|
Несертифицированное ФСБ Р решение
|
Плюсы второго варианта настолько хороши, что стоит за него побороться.
А вариантов не использовать криптографию внутри сети немало:
- Уменьшить количество информационных потоков, в рамках которых передается информация, подлежащая защите в соответствии c законодательством РФ (например, обезличивая ПДн)
- Обеспечить контролируемость каналов не криптографическими способами. Так как в общем случае жесткий набор мер, которые надо принять для обеспечения контролируемого канала отсутствует, можно проявить творческий подход - разработать внутренний документ, который будет требовать, например, мониторинг портов оборудования, находящегося за пределами КЗ. Если этого мало, то опечатывания + периодического осмотра + пары видеокамер может быть уже достаточно
- При моделировании угроз признать вероятность перехвата информации в каналах между зданиями низкой или “нулевой”, возможный ущерб небольшим, угрозу неактуальной, внешнего нарушителя имеющего физический доступ к каналу между зданиями неактуальным
- При выборе мер защиты не требовать условия, что для нейтрализации угрозы перехвата информации между зданиями необходимо сертифицированное СКЗИ
- При выборе варианта реализации мер защиты использовать подход экономической нецелесообразности решений на криптошлюзах и замены контрмеры на альтернативную
PS: Не имею ничего против сертифицированных СКЗИ, которые применяются для решения узких специфических задач, не вносят больших затруднений и не ухудшают работу основной сети и обладают теми же возможностями, что и несертифицированные решения по защите.