9 Октября, 2015

ГОСТ шифрование в SAP

Артем Агеев
При построении распределенных корпоративных ИТ систем неизбежно появляется потребность в использовании сертифицированной криптографии. На 90% эта потребность покрывается большим парком различных сертифицированных VPN решений. Однако шифрование на сетевом/транспортном уровне имеет ряд недостатков: удобным можно назвать только site-to-site решения (криптошлюзы), которые не решают проблему внутреннего нарушителя (снифера), открытым остаётся так же вопрос удалённого доступа.

Шифрование на уровне приложений частенько является более экономичным и удобным решением, и тут начинаются проблемы.

95% имеющихся на рынке продуктов, заявляющих о наличии шифрования "по ГОСТу", на деле используют внешние библиотеки (например, КриптоПро CSP). Отсюда и появляется огромная пропасть между двумя понятиями: "Наш продукт реализует шифрование по ГОСТу" и "Наш продукт реализует сертифицированное шифрование".

Если в первом случае использования Crypto API от КриптоПро CSP действительно достаточно, то во втором случае необходимо открыть формуляр на КриптоПро  и прочитать в нём п.1.5:

1.5 При встраивании СКЗИ ЖТЯИ.00083-01 в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России,проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
- если информация конфиденциального характера, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;
- при организации защиты информации конфиденциального характера, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
- при организации криптографической защиты информации конфиденциального характера, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд. 

Таким образом, если в вашей системе будут персональные данные, или ваша компания учавствует в госзакупках  - то пожалуйте в 8 Центр ФСБ России за согласованием.

Несмотря на то, что факт этот известен не первый год , поток маркетингового вранья из уст вендоров не пересыхает. Будьте внимательны и вовремя стряхивайте лапшу с ушей!

PS "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" давно уже устарели