В этой статье рассмотрим некоторые нюансы, связанные с использованием решений VPN для защиты персональных данных.
VPN подходят для реализации меры ЗИС.3 из 21-го приказа ФСТЭК (защита данных при передачи за пределами контролируемой зоны). Однако, поскольку VPN является криптосредством, то при их использовании мы попадаем под действие 378 приказа ФСБ.
О приказе ФСБ№378 (по защите перс. данных с использованием криптосредств) в сети написано уже достаточно, например у Алексея Лукацкого.
Используемые VPN должны быть сертифицированы по линии ФСБ в качестве средств криптографической защиты информации (СКЗИ). Существуют следующие классы сертифицированных криптосредств, обозначаемых через КС1, КС2, КС3, КВ1, КВ2, КА1 (по последним данным КВ1 и КВ2 объединены в один класс КВ).
Как выбрать сертифицированное решение VPN нужного класса для защиты персональных данных?
1) Для начала, определимся с минимальным классом используемого решения:
Уровень защищенности Тип угроз | УЗ 4 | УЗ 3 | УЗ 2 | УЗ 1 |
Угрозы 1 типа (НДВ в системном ПО) | КА | КА | ||
Угрозы 2 типа (НДВ в прикладном ПО) | КВ и выше | КВ и выше | КВ и выше | |
Угрозы 3 типа (не связаны с НДВ) | КС1 и выше | КС1 и выше | КС1 и выше |
Это базовая таблица, которая ограничивает класс применяемых СКЗИ "снизу". То есть, если у нас УЗ3 и актуальны угрозы 2 типа, то необходимо применять СКЗИ класса КВ и выше. Если у нас УЗ4 и актуальны угрозы 3 типа, то требуемый класс - КС1 и выше.
Обратим внимание на словосочетание "... и выше".
2) Разработаем совокупность предположений о возможностях нарушителя.
Дело в том, что конкретный класс СКЗИ будет зависеть от возможностей потенциального нарушителя (модели нарушителя). Возможности потенциального нарушителя и соответствующие им классы СКЗИ подробно расписаны в пунктах 10-14 приказа.
Написание модели нарушителя - тема для отдельного большого поста. Отметим только, что для минимизации издержек желательно в модели всеми силами "отмазываться" от наличия любых внутренних нарушителей, и тем более от нарушителей, являющихся легальными пользователями или администраторами системы. В идеале у нас должен быть актуальным лишь внешний нарушитель, осуществляющий атаки из-за пределов контролируемой зоны, притом никак не связанный со спецслужбами и разработкой СКЗИ. В этом случае мы выйдем на класс СКЗИ КС1. При разработке модели нарушителя нам понадобится определенная фантазия, творческий подход и несколько красивых "магических фраз" :)
Написание модели нарушителя - тема для отдельного большого поста. Отметим только, что для минимизации издержек желательно в модели всеми силами "отмазываться" от наличия любых внутренних нарушителей, и тем более от нарушителей, являющихся легальными пользователями или администраторами системы. В идеале у нас должен быть актуальным лишь внешний нарушитель, осуществляющий атаки из-за пределов контролируемой зоны, притом никак не связанный со спецслужбами и разработкой СКЗИ. В этом случае мы выйдем на класс СКЗИ КС1. При разработке модели нарушителя нам понадобится определенная фантазия, творческий подход и несколько красивых "магических фраз" :)
3) Подберем решение, соответствующее выбранному классу СКЗИ и нашим техническим требованиям.
Полный перечень сертифицированных решений можно посмотреть в официальном перечне ФСБ
Ниже представлены основные вендоры и максимальные классы, по которым сертифицированы их VPN-решения (по состоянию на сентябрь 2014 года).
Класс | S-Terra (CSP VPN) | Код безопасности (Континент) | ИнфоТеКС (ViPNet) | StoneSoft (StoneGate) | Амикон (ФПСУ-IP) | Элвис+ (Застава) | Криптоком (МагПро КриптоПакет) |
КС1 | + | + | + | + | + | + | + |
КС2 | + | + | + | + | + | + |
Красная или синяя таблетка?
В Матрице безопасности выбор очевиден 
Булат ШамсутдиновЖурнал информационной безопасности |