tag:blogger.com,1999:blog-10399665633027277742024-03-13T21:51:41.064-07:00Блог Александра ВеселоваПро отечественный VPN и не толькоAlexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.comBlogger26125tag:blogger.com,1999:blog-1039966563302727774.post-67169280030311885292020-05-11T23:17:00.000-07:002020-05-11T23:17:36.200-07:00Блог переезжает!<div dir="ltr" style="text-align: left;" trbidi="on">
<div>
Как и любой мини-ремонт, обновление дизайна переросло в глобальную переделку, итого - блог переехал с blogspot на свой домен.</div>
<div>
<br /></div>
<div>
Все посты посты из blogspot относительно нормально прошли процедуру экспорта-импорта, данные не потерялись. Теперь blogspot станет архивом, новые материалы будут появляться на <a href="https://aveselov.ru/" target="_blank">aveselov.ru</a>. Добро пожаловать!</div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com1tag:blogger.com,1999:blog-1039966563302727774.post-67275965661938850112020-01-13T13:45:00.000-08:002020-01-13T20:12:26.261-08:00ГОСТ VPN: квантовая криптография<div dir="ltr" style="text-align: left;" trbidi="on">
Долгое время квантовая физика казалась наукой, которой пока нет места в средствах информационной безопасности. Судя по учащающимся новостям – время пришло 😃<br />
<div>
<a name='more'></a><br /></div>
Классическая криптография базируется на принципе: необходимо обеспечить защиту на таком уровне, чтобы расшифрование без знания секретного ключа занимало неприемлемо длительное время. С распространением квантовых компьютеров произойдет значительное удешевление вычислительных ресурсов для выполнения ресурсоемких атак по перебору. Соответственно, классическая криптография начнет сдавать позиции – асимметричные криптографические алгоритмы (DH, RSA, ГОСТ 34.10) будут скомпрометированы, а стойкость симметричных (AES, ГОСТ 28147, ГОСТ 34.12/13) значительно понизится.<br />
<br />
Протоколы, использующие классическую криптографию, такие как TLS/SSL и IPsec, тоже окажутся под угрозой и потребуют глубокой модернизации. Предлагаемое на данный момент решение проблемы в сетевых протоколах – использование гибридной схемы, где квантовая криптография используется для выработки ключей, заменяя потенциально опасные асимметричные алгоритмы, а симметричные остаются «как есть». Это позволит в значительной степени решить существующие на данный момент проблемы, но позже, с ростом производительности квантовых компьютеров, потребуется создание либо принципиально новых протоколов, либо глубокая модернизация существующих.<br />
<br />
<h3 style="text-align: left;">
Как это работает?</h3>
<br />
Речь идет не о квантовом шифровании, а о квантовом распределении ключей (КРК). В основе КРК лежит физическое свойство фотона – любое взаимодействие с ним при передаче изменяет его состояние. Таким образом, злоумышленник не может незаметно подменить или перехватить фотон.<br />
<br />
Рассмотрим принцип действия на примере VPN-шлюзов. Так как использование квантового оборудования – это дорогое удовольствие, оно устанавливается не массово. В отечественных криптошлюзах КРК чаще всего используется для высокопроизводительных решений – в этом случае подразумевается наличие оптического канала связи и VPN-оборудование настолько дорогое, что КРК не сильно увеличивает совокупную стоимость.<br />
<br />
К каждому криптошлюзу по обычному Ethernet подключается устройство КРК (QKD-over-Ethernet). Устройства КРК на разных площадках соединены по отдельному оптическому каналу, который не требует дополнительной защиты. Через устройства КРК происходит аутентификация криптошлюзов и выработка общего ключа, который используется для шифрования трафика симметричными алгоритмами.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://1.bp.blogspot.com/-0eqT6v-3RME/XhzbcVs_BgI/AAAAAAAAZlA/mgn31mvMe_AYZPvzk5dv36SLqU3s4UxKQCLcBGAsYHQ/s1600/sxema-10G_kvant-kanal%2B%25281%2529.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="535" data-original-width="802" height="265" src="https://1.bp.blogspot.com/-0eqT6v-3RME/XhzbcVs_BgI/AAAAAAAAZlA/mgn31mvMe_AYZPvzk5dv36SLqU3s4UxKQCLcBGAsYHQ/s400/sxema-10G_kvant-kanal%2B%25281%2529.jpg" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Схема использования КРК в криптошлюзах</td></tr>
</tbody></table>
<div>
<br /></div>
<div>
Добавление нового компонента в систему VPN-шлюзов несет и новые риски. Первый момент – стабильность оптического канала связи. При превышении определенного порога потерь устройства КРК не смогут провести аутентификацию и выработать ключевую информацию. В гибридной схеме эта проблема может быть решена традиционной аутентификацией по основному каналу связи с асимметричной криптографией, но тогда вновь возникает проблема с безопасностью. Второй момент – надежность реализации. Отрасль относительно новая, и некоторые уязвимости пока могут быть неочевидны. Одна из первых реализаций QKD уже <a href="https://www.securitylab.ru/news/397300.php" target="_blank">подвергалась взлому</a> в 2010 году, и похожие новости появляются <a href="http://www.vad1.com/lab/" target="_blank">до сих пор</a> . В области комплаенса пока разработан один документ – летом 2017 года ФСБ России <a href="http://www.fsb.ru/fsb/science/single.htm%21id%3D10438445%40fsbResearchart.html" target="_blank">утвердила </a>«Временные требования к квантовым криптографическим системам выработки и распределения ключей для средств криптографической защиты информации, не содержащей сведений, составляющих государственную тайну» (ВТ ККС ВРК (СКЗИ)). Документ отсутствует в открытом доступе, он доступен разработчикам СКЗИ по запросу. Остальная нормативная и технологическая база пока в процессе формирования. </div>
<div>
<br /></div>
<div>
<h3 style="text-align: left;">
Кто этим занимается?</h3>
<div>
<br /></div>
<div>
Квантовые технологии – отдельное направление в рамках национальной программы «Цифровая экономика». В 2019-2021 годах на создание испытательных лабораторий <a href="https://www.cnews.ru/news/top/2020-01-03_vlasti_vkladyvayut_v_kiberbezopasnost" target="_blank">запланировано финансирование</a> в размере 506 млн. рублей.</div>
</div>
<div>
<br /></div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://1.bp.blogspot.com/-1KEJzyfb9Ns/Xhzjh5sMGdI/AAAAAAAAZlM/H2r3vq-YHR4-ke7gqZ3KIaB3SN8R65FTwCLcBGAsYHQ/s1600/qkd_table.PNG" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="419" data-original-width="1600" height="104" src="https://1.bp.blogspot.com/-1KEJzyfb9Ns/Xhzjh5sMGdI/AAAAAAAAZlM/H2r3vq-YHR4-ke7gqZ3KIaB3SN8R65FTwCLcBGAsYHQ/s400/qkd_table.PNG" width="400" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Затраты федерального проекта «Информационная безопасность» на квантовую криптографию (100+ млн руб.)</td></tr>
</tbody></table>
<div>
<br /></div>
<div>
Наиболее часто в контексте КРК в российской прессе упоминаются две компании – Российский Квантовый Центр (<a href="https://rqc.ru/" target="_blank">РКЦ</a>) и дочерняя структура <a href="http://goqrate.com/" target="_blank">Qrate</a>, а также <a href="https://quantum.msu.ru/ru/index.php" target="_blank">Центр квантовых технологий МГУ имени М.В. Ломоносова</a>. Реже встречается информация про <a href="http://news.ifmo.ru/ru/science/photonics/news/6645/" target="_blank">Университет ИТМО</a> в Санкт-Петербурге, <a href="https://kai.ru/quantumcenter" target="_blank">Казанский квантовый центр</a> и московскую компанию <a href="http://www.scontel.ru/company/" target="_blank">СКОНТЕЛ</a>.</div>
<div>
<div>
<br /></div>
<h3 style="text-align: left;">
Примеры реализаций</h3>
<div>
<br /></div>
<div>
<ol style="text-align: left;">
<li>В конце 2016 года первый тест КРК был проведен QRate и С-Терра в Газпромбанке. Доработанное решение представили в мае 2018 года. <a href="https://ria.ru/20180522/1521067350.html" target="_blank">Подробнее</a></li>
<li>В декабре 2017 года КРК появилось в Сбербанке: QRate и АМИКОН. <a href="https://www.forbes.ru/tehnologii/355369-sberbank-zashifrovalsya-kompaniya-provela-kvantovuyu-liniyu-mezhdu-ofisami" target="_blank">Подробнее</a></li>
<li>В мае 2018 года проведены испытания QRate и С-Терра в лаборатории Ростелекома, через полгода эксперимент проведен уже на реальных каналах связи. <a href="http://tdaily.ru/news/2019/01/29/rostelekom-ispytal-kvantovuyu-zashchitu-dannyh" target="_blank">Подробнее</a></li>
<li>В декабре 2018 года Инфотекс совместно с МГУ представили квантовый телефон – это наглядная демонстрация решения прикладной задачи с помощью КРК. <a href="https://www.vedomosti.ru/technology/articles/2019/05/28/802676-poyavilsya-telefon-s-kvantovim-shifrovaniem" target="_blank">Подробнее</a></li>
<li>В июне 2019 года на площадке Петербургского международного экономического форума (ПМЭФ) QRate и С-Терра представили взаимодействие трех объектов в топологии «звезда». <a href="https://tass.ru/ekonomika/6522564" target="_blank">Подробнее</a></li>
<li>В августе 2019 года в РЖД создан департамент квантовых коммуникаций, который займется реализацией защищенной квантовой сети. Предположительно, это самый крупный проект такого рода, <a href="https://www.rzd-partner.ru/zhd-transport/comments/departament-kvantovykh-kommunikatsiy-rzhd-nakhoditsya-v-stadii-formirovaniya/" target="_blank">инвестиции до 2024 года оцениваются в 43 млрд рублей</a>. <a href="https://www.cnews.ru/news/top/2019-08-14_v_rossii_poyavyatsya_kvantovye_seti_s_fotonnym_shifrovaniem" target="_blank">Подробнее</a></li>
<li>В сентябре 2019 года Казанский квантовый центр, «Ростелеком» и «Таттелеком» успешно провели эксперимент по распределению квантовых ключей на волоконно-оптической линии связи (ВОЛС) протяженностью 143 километра. В этом эксперименте использовалось оборудование СКОНТЕЛ и система КРК университета ИТМО. <a href="https://www.cnews.ru/news/top/2019-09-25_v_rossii_zarabotala_samaya" target="_blank">Подробнее</a></li>
</ol>
</div>
<div>
<br /></div>
<h3 style="text-align: left;">
Преимущества и недостатки</h3>
<div>
<br /></div>
<div>
Преимуществами КРК являются:</div>
<div>
<br /></div>
<div>
•<span style="white-space: pre;"> </span><b>Надежная защита на физическом уровне.</b> Физика – сила, лишь бы не подкачала реализация.</div>
<div>
•<span style="white-space: pre;"> </span><b>Перспективная замена асимметричной криптографии.</b> По оценкам аналитиков сферы применения и распространённость будут увеличиваться.</div>
<div>
•<span style="white-space: pre;"> </span><b>Возможность комбинирования с уже существующими продуктами.</b> Уже сейчас есть примеры совместных решений в части СКЗИ.</div>
<div>
<br /></div>
<div>
Технология, конечно, не без минусов:</div>
<div>
<br /></div>
<div>
•<span style="white-space: pre;"> </span><b>Дорогое и далеко не массовое оборудование.</b> С развитием и распространением технологии эта проблема должна решиться. </div>
<div>
•<span style="white-space: pre;"> </span><b>Ограничение по дистанции организации соединения отдельных устройств КРК</b> (обычно до 100 км). На большем расстоянии потребуются специальные промежуточные «повторители».</div>
<div>
•<span style="white-space: pre;"> </span><b>Необходимость наличия надежного оптического канала связи.</b> Между квантовыми генераторами нельзя использовать медные каналы связи. Оптику в каждый дом!)</div>
<div>
•<span style="white-space: pre;"> </span><b>«Отсутствие» процедуры сертификации в ФСБ России.</b> На данный момент нормативная база сформирована не в полной мере, при сертификации должны быть учтены ВТ ККС ВРК и соответствие требованиям ТЗ, которое в свою очередь базируется на модели угроз конкретного заказчика. Примеров сертификации универсального сертифицированного решения на российском рынке пока нет (в отличии от обычных СКЗИ без КРК).</div>
<div>
<br /></div>
<h3 style="text-align: left;">
Резюме</h3>
<div>
<br /></div>
<div>
Угроза, нависшая над классической криптографией, заставляет искать обходные варианты. Один из них –добавление КРК к асимметричным криптоалгоритмам в сетевых протоколах. Симметричная криптография хоть и слабеет, но может использоваться, в т.ч. в комбинации с КРК. А другой – постквантовая криптография, но в этом направлении пока нет стандартизованных алгоритмов, да и сам процесс очень ресурсоемкий.</div>
<div>
<br /></div>
<div>
В настоящее время комбинированный подход с КРК довольно дорогостоящий и может использоваться в прикладных задачах только в виде инвестиций государства. При этом необходима соответствующая нормативная база, формирование которой входит в программу «Цифровая Экономика». Думаю, что в этом году может получиться перейти от анонсирования тестов СКЗИ с КРК к примерам промышленной эксплуатации, возможно даже с сертифицированным оборудованием.</div>
</div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-38884808597122354742019-07-05T02:08:00.000-07:002019-07-05T02:08:09.263-07:00Переход на ГОСТ 34.12/13<div dir="ltr" style="text-align: left;" trbidi="on">
01 июля 2019 года ФСБ России опубликовала <a href="http://www.fsb.ru/fsb/science/single.htm%21id%3D10438446%40fsbResearchart.html" target="_blank">Извещение о порядке использования алгоритма блочного шифрования ГОСТ 28147-89</a><br />
<br />
<a name='more'></a><i>На основании проведенного анализа и в связи с вводом в действие межгосударственных стандартов ГОСТ 34.12-2018 и ГОСТ 34.13.2018 ФСБ России устанавливает следующий порядок использования алгоритма блочного шифрования ГОСТ 28147-89.</i><br />
<i><br /></i>
<i>1.<span style="white-space: pre;"> </span>Средства криптографической защиты информации, предназначенные для защиты информации, не содержащей сведений, составляющих государственную тайну, реализующие, в том числе алгоритм ГОСТ 28147-89, не должны разрабатываться после 1 июня 2019 года, за исключением случаев, когда алгоритм ГОСТ 28147-89 в таких средствах предназначен для обеспечения совместимости с действующими средствами, реализующими этот алгоритм.</i><br />
<i><br /></i>
<i>2.<span style="white-space: pre;"> </span>Использование алгоритма ГОСТ 28147-89 после 1 июня 2019 года для обеспечения совместимости с действующими криптографическими средствами должно быть обоснованно заказчиком и согласованно с Центром защиты информации и специальной связи ФСБ России.</i><br />
<i><br /></i>
<i>3.<span style="white-space: pre;"> </span>В средствах криптографической защиты информации, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, техническое задание на разработку которых утверждено после 1 июня 2019 года, в случае необходимости использования блочного шифра для обеспечения конфиденциальности или целостности информации должна быть предусмотрена реализация алгоритма шифрования информации в соответствии с ГОСТ 34.12-2018 и ГОСТ 34.13-2018 хотя бы по одному из определяемых стандартами вариантов.</i><br />
<div>
<br /></div>
<br />
Для начала нужно внести ясность в отличие ГОСТ Р 34.12-2015 и ГОСТ 34.12-2018.<br />
<br />
ГОСТ <b>Р</b> 34.12-2015 – российский стандарт, ГОСТ 34.12-2018 – межгосударственный. В межгосударственный внесена <a href="http://protect.gost.ru/document1.aspx?control=31&baseC=6&page=4&month=4&year=2019&search=&id=232640" target="_blank">поправка</a>, которая позволяет поставить между ним и российским знак равенства. Аналогично и для других ГОСТ:<br />
<div>
<br /></div>
<div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-WoXChNjHrgk/XR8PD03-S8I/AAAAAAAAX0c/mSN3m0LBc4MHkjlJVKo7VUyHYcIBoWayQCEwYBhgL/s1600/new_gost_2.PNG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="307" data-original-width="1029" height="118" src="https://1.bp.blogspot.com/-WoXChNjHrgk/XR8PD03-S8I/AAAAAAAAX0c/mSN3m0LBc4MHkjlJVKo7VUyHYcIBoWayQCEwYBhgL/s400/new_gost_2.PNG" width="400" /></a></div>
<br /></div>
<div>
<h4 style="text-align: left;">
Что влечет за собой данное извещение?</h4>
<div>
<b><br /></b>
<b>ФСБ России.</b> Больше не согласовывает ТЗ на СКЗИ, не поддерживающие ГОСТ 34.12/13. В установленном порядке согласовывает/не согласовывает использование ГОСТ 28147-89 в новых изделиях.</div>
<div>
<br /></div>
<div>
<b>Производители.</b> Должны реализовать ГОСТ 34.12/13 в изделиях, если ТЗ на разработку согласовывается с ФСБ России после 1 июня 2019 года. В противном случае регулятор не согласует ТЗ. При этом в ряде случаев ГОСТ 28147-89 по-прежнему необходим для совместимости с более ранними версиями изделий и плавной миграции заказчиков на новые ГОСТ.</div>
<div>
<br /></div>
<div>
<b>Заказчики.</b> Если планируется разработка СКЗИ для конкретного заказчика и в этом СКЗИ необходима поддержка алгоритма ГОСТ 28147-89, то необходимо дополнительное согласование с ФСБ России.</div>
<div>
<br /></div>
<div>
<b>Пользователи.</b> В извещении отсутствует упоминание о пользователях. Регулятор не запретил использование существующих СКЗИ, не поддерживающих ГОСТ 34.12/13. Использовать СКЗИ с ГОСТ 28147-89 допускается как в новых, так в существующих системах. По крайней мере до окончания срока действия сертификата соответствия.</div>
<div>
</div>
<div>
Миграцию с ГОСТ Р 34.10-2001 на ГОСТ Р 34.10-2012 планировалось провести за 5 лет, но она <a href="https://alexanderveselov.blogspot.com/2018/10/3410-2012.html" target="_blank">затянулась на 6</a>. Судя по всему, для перехода с ГОСТ 28147-89 на ГОСТ 34.12/13 будет объявлен похожий переходный период.</div>
<div>
<br /></div>
<div>
В сегменте отечественного VPN на данный момент ГОСТ 34.12/13 не поддерживается в ViPNet Coordinator HW 4 от ИнфоТеКС и АПКШ Континент 3.7/3.9 от Кода Безопасности, поддерживается в Квазар от СПБ и С-Терра Шлюз 4.2 от С-Терра.</div>
<div>
<br /></div>
<div>
<br /></div>
</div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-44123185318478397752019-05-27T14:00:00.000-07:002020-02-24T11:40:12.926-08:00Список НПА, в которых требуется использование СКЗИ<div dir="ltr" style="text-align: left;" trbidi="on">
Для ряда организаций использование средств криптографической защиты информации (СКЗИ), сертифицированных ФСБ России, является необходимым. Собрал нормативку с требованиями в одной заметке.<br />
<br />
<h2 style="text-align: left;">
<a name='more'></a>Государственные органы</h2>
<div style="text-align: left;">
<a href="http://clsz.fsb.ru/docs/gov/u334.htm" target="_blank">Указ Президента Российской Федерации от 3 апреля 1995 г. № 334</a></div>
<div style="text-align: left;">
<br /></div>
2. <b>Запретить использование</b> государственными организациями и предприятиями в информационно - телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, <b>не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации</b>, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.<br />
<br />
<i>*Указ Президента РФ от 11 марта 2003 г. N 308 "О мерах по совершенствованию государственного управления в области безопасности Российской Федерации":</i><br />
<i>Функции ФАПСИ переданы ФСБ России</i><br />
<div>
<br /></div>
<h2 style="text-align: left;">
Федеральные органы исполнительной власти (ИС общего пользования)</h2>
<a href="https://rg.ru/2010/10/22/vidak-dok.html" target="_blank">Приказ ФСБ России, ФСТЭК России №416/489</a><br />
<br />
<div>
<div>
17.1. В информационных системах общего пользования I класса:</div>
<div>
использование средств защиты информации от неправомерных действий, <b>сертифицированных ФСБ России</b> и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);</div>
<div>
<br /></div>
<div>
<i>Аналогично для 17.2. В информационных системах общего пользования II класса</i></div>
</div>
<div>
<br /></div>
<h2 style="text-align: left;">
ПДн</h2>
<a href="https://rg.ru/2014/09/17/zashita-dok.html" target="_blank">Приказ ФСБ России №378</a><br />
<br />
9. в) использования для обеспечения требуемого уровня защищенности персональных данных при их обработке в информационной системе <b>СКЗИ класса КС1</b> и выше.<br />
<br />
<i>Далее выбор конкретного класса в зависимости от возможностей атакующего</i><br />
<div>
<br /></div>
<h2 style="text-align: left;">
Единая биометрическая система</h2>
<div>
<a href="https://www.cbr.ru/Queries/UniDbQuery/File/50883/625" target="_blank">Указание Банка России №4859-У/01/01/782-18</a></div>
<div>
<div>
<br /></div>
<div>
<i>Пример – актуальные угрозы безопасности при взаимодействии между структурными подразделениями организации (п. 11 – КС2, п.12 – КС3)</i></div>
<div>
<br /></div>
<div>
1.2 при сборе биометрических ПДн в государственных органах, банках и иных организациях, включая сбор биометрических ПДн и передачу собранных биометрических ПДн между структурными подразделениями государственного органа, банка и иной организации, -угроза нарушения целостности (подмены, удаления) биометрических ПДн, нарушения конфиденциальности (компрометации) биометрических ПДн, нарушения достоверности биометрических ПДн (внесение фиктивных биометрических ПДн), в том числе путем реализации целенаправленных действий с использованием возможностей, указанных <b>в пункте 11 приложения к приказу ФСБ России N 378</b> (в случае применения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса) и <b>в пункте 12 приложения к приказу ФСБ России N 378</b> (в случае неприменения средств (систем) защиты информации от несанкционированного доступа, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации не ниже четвертого класса);</div>
<div>
<br /></div>
</div>
<div>
<br /></div>
<div>
<h2 style="text-align: left;">
Энергетика</h2>
<div>
<a href="https://rg.ru/2019/02/21/minenergo-prikaz-1015-site-dok.html" target="_blank">Приказ Министерства Энергетики №1015 от 06.11.2018</a></div>
<div>
<br /></div>
<div>
14. Для предотвращения угроз информационной безопасности Систем Удаленного Мониторинга и Диагностики (СУМиД) в отношении аппаратной инфраструктуры СУМиД субъектом электроэнергетики должна обеспечиваться безопасность ее функционирования.</div>
<div>
Для обеспечения безопасности функционирования аппаратной инфраструктуры СУМиД субъект электроэнергетики должен:</div>
<div>
<...></div>
<div>
•<span style="white-space: pre;"> </span>применять средства защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации, <b>сертифицированные в соответствии с Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом регулировании</b>"</div>
</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<h2 style="text-align: left;">
Здравоохранение</h2>
<h3 style="text-align: left;">
<a href="https://www.garant.ru/hotlaw/federal/1278214/" target="_blank">Приказ Минздрава №911н от 24.12.2018</a></h3>
<div>
Касается всех медицинских и фармацевтических организаций (323-ФЗ)</div>
<div>
<br />
9. Программно-технические средства информационных систем должны:<br />
а) располагаться на территории Российской Федерации;<br />
б) соответствовать требованиям, предусмотренным постановлением Правительства Российской Федерации от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд»;<br />
в) <b>быть сертифицированными Федеральной службой безопасности Российской Федерации и (или) Федеральной службой по техническому и экспортному контролю</b> в отношении входящих в их состав средств защиты информации, включающих программно-аппаратные средства, средства антивирусной и криптографической защиты информации и средства защиты информации от несанкционированного доступа, уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации (в том числе сведения, составляющие врачебную тайну);<br />
<br />
<i>Данный приказ вступает в силу с 1 января 2020 года.</i><br />
<i><br /></i></div>
</div>
<div>
<h3 style="text-align: left;">
<a href="https://portal.egisz.rosminzdrav.ru/files/%D0%A0%D0%B5%D0%B3%D0%BB%D0%B0%D0%BC%D0%B5%D0%BD%D1%82_%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D1%8F_%D0%BA_%D0%97%D0%A1%D0%9F%D0%94_%D0%9C%D0%B8%D0%BD%D0%B7%D0%B4%D1%80%D0%B0%D0%B2%D0%B0_%D0%9E%D0%A3%D0%972017.docx" target="_blank">Регламент предоставления услуги подключения к ЗСПД Министерства Здравоохранения РФ региональных медицинских организаций</a></h3>
<div>
<br /></div>
<div>
Документ определяет общие положения и правила по построению процесса подключения региональных ОУЗ/ФГУ к информационным системам и ресурсам Единой Государственной информационной системы здравоохранения Российской Федерации (далее – ЕГИСЗ), развернутой на инфраструктуре и вычислительных мощностях федерального центра обработки данных (далее - ФЦОД) Минздрава России с применением средств криптографической защиты передаваемой информации, <b>сертифицированных на соответствие требованиям ФСБ России к средствам криптографической защиты информации (далее – СКЗИ) по классу КС3</b> и требованиям ФСТЭК России по 3-му классу к межсетевым экранам (МЭ).<br />
<br /></div>
</div>
<div>
<h2 style="text-align: left;">
Финансовые организации</h2>
<div>
<br /></div>
<h3 style="text-align: left;">
<a href="https://www.garant.ru/products/ipo/prime/doc/72104924/" target="_blank">Положение Банка России от 09.01.2019 № 672-П «О требованиях к защите информации в платежной системе Банка России»</a></h3>
<div>
<br /></div>
<div>
14.2. Участники СБП (сервиса быстрых платежей) и ОПКЦ (операционный центр, платежный клиринговый центр) должны обеспечивать защиту электронных сообщений при передаче между участниками СБП и ОПКЦ:</div>
<div>
<br /></div>
<div>
применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, <b>прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.</b></div>
</div>
<div>
<br />
<i>Данный пункт в</i><i>ступает в силу с 1 июля 2021 года.</i><br />
<i><br /></i></div>
<div>
<div>
<i>Аналогично для пунктов:</i></div>
<div>
<i>14.3. Участники ССНП (сервиса срочного перевода и сервиса несрочного перевода) должны обеспечивать защиту электронных сообщений при их передаче в Банк России (д</i><i>анный пункт </i><i>вступает в силу с 1 июля 2021 года)</i></div>
<div>
<i>14.4. ОПКЦ должен обеспечивать защиту электронных сообщений при их передаче в Банк России (д</i><i>анный пункт </i><i>вступает в силу с 1 июля 2020 года)</i></div>
</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<h3 style="text-align: left;">
<a href="https://allgosts.ru/03/060/gost_r_57580.1-2017" target="_blank">ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер"</a></h3>
<div>
<br /></div>
<div>
8.3.1 Деятельность в рамках направления «Реализация» выполняется по результатам выполнения направлений «Планирование» и (или) «Совершенствование» (см. 8.2 и 8.5 настоящего стандарта соответственно).</div>
<div>
В рамках направления «Реализация» финансовая организация обеспечивает:</div>
<div>
<…></div>
<div>
применение средств защиты информации, <b>прошедших в установленном порядке процедуру оценки соответствия</b> [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации;</div>
<div>
<br /></div>
<div>
РЗИ.14 Применение <b>СКЗИ, имеющих класс не ниже КС2</b> * (для УЗ-1)</div>
<div>
<br /></div>
<div>
<i>* - В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.</i></div>
</div>
<div>
<br /></div>
<div>
<h3 style="text-align: left;">
<a href="http://www.garant.ru/products/ipo/prime/doc/72146408/" target="_blank">Положение Банка России от 17.04.2019 N 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»</a></h3>
<div>
(ссылка на ГОСТ Р 57580.1-2017)</div>
<div>
<br /></div>
<div>
3.1. <u>Кредитные организации</u> должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации <b>ГОСТ Р 57580.1-2017</b> "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).</div>
</div>
<div>
<br />
<i>Данный пункт вступает в силу с 1 января 2021 года.</i><br />
<i><br /></i></div>
<div>
<h3 style="text-align: left;">
<a href="https://www.garant.ru/products/ipo/prime/doc/72146094/" target="_blank">Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» </a></h3>
<div>
(ссылка на ГОСТ Р 57580.1-2017)</div>
<div>
<br /></div>
<div>
5. Защита информации в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых осуществляется некредитными финансовыми организациями (далее при совместном упоминании - объекты информационной инфраструктуры), должна осуществляться <u>некредитной финансовой организацией</u> в соответствии с требованиями национального стандарта Российской Федерации <b>ГОСТ Р 57580.1-2017</b> "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер"<br />
<br />
<i>Данный пункт вступает в силу с 1 января 2021 года.</i></div>
</div>
<div>
<br /></div>
<div>
<h2 style="text-align: left;">
Страховые компании</h2>
<div>
<a href="https://www.cbr.ru/Queries/UniDbQuery/File/47448/17" target="_blank">«Базовый стандарт совершения страховыми организациями операций на финансовом рынке»</a></div>
<div>
(ссылка на ГОСТ Р 57580.1-2017)</div>
<div>
<br /></div>
<div>
3. ТРЕБОВАНИЯ К ЗАЩИТЕ ИНФОРМАЦИИ</div>
<div>
3.1. При обеспечении защиты информации, полученной страховщиком при осуществлении им страховой деятельности, включая обеспечение целостности указанной информации, ее доступности и конфиденциальности, защите персональных данных получателей финансовых услуг страховщик обязан соблюдать требования, определенные законодательством Российской Федерации, иными нормативно-правовыми актами и национальными стандартами, в том числе:</div>
<div>
<…></div>
<div>
- <b>ГОСТ Р 57580.1-2017</b> Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. 16 - ГОСТ Р 57580.2 Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия.</div>
</div>
<div>
<br />
<h2 style="text-align: left;">
Транспорт</h2>
<br />
<a href="https://www.garant.ru/hotlaw/federal/1286286/" target="_blank">Постановление Правительства РФ от 24 июля 2019 г. N 955 "Об утверждении требований к автоматизированной информационной системе оформления воздушных перевозок, к базам данных, входящим в ее состав, к информационно-телекоммуникационной сети, обеспечивающей работу указанной автоматизированной информационной системы, к ее оператору, а также мер по защите информации, содержащейся в ней, и порядка ее функционирования"</a><br />
<br />
13. Меры по защите информации, содержащейся в автоматизированных<br />
системах, реализуются операторами автоматизированных систем посредством<br />
обеспечения конфиденциальности и целостности информации, передаваемой<br />
через общедоступные каналы связи, с применением <b>сертифицированных средств</b><br />
<b>криптографической защиты информации</b>.<br />
<br />
<i>Постановление вступает в силу с 31 октября 2021 г.</i><br />
<i><br /></i></div>
<div>
<h2 style="text-align: left;">
КИИ, ГосСОПКА</h2>
<div>
<a href="http://publication.pravo.gov.ru/Document/View/0001201905310017?index=12&rangeSize=1" target="_blank">Приказ ФСБ России № 196 "Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты"</a></div>
<div>
<br /></div>
<div>
20. Криптографические средства защиты информации, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, должны быть <b>сертифицированы в системе сертификации средств защиты информации</b>.</div>
</div>
<div>
<br /></div>
<div>
<h2 style="text-align: left;">
Центры мониторинга</h2>
<div>
<a href="https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/438-perechen-utverzhden-direktorom-fstek-rossii-3-aprelya-2012-g" target="_blank">Перечень контрольно-измерительного и испытательного оборудования ФСТЭК России</a></div>
<div>
<br /></div>
<div>
27. Средства защиты каналов передачи данных</div>
<div>
Должны обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, используемой для управления информационной безопасностью, и информационными системами, в отношении которых осуществляется мониторинг.</div>
<div>
<b>Должны иметь сертификаты соответствия ФСБ России</b></div>
</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<h2 style="text-align: left;">
Электронное правительство</h2>
<h3 style="text-align: left;">
<br /></h3>
<h3 style="text-align: left;">
Подключение к СМЭВ</h3>
<div>
<a href="https://smev.gosuslugi.ru/portal/api/files/get/231827" target="_blank">Приказ Минкомсвязи России от 23.06.2015 № 210</a></div>
<div>
<br /></div>
<div>
120. Все каналы связи системы взаимодействия, выходящие за пределы контролируемых зон</div>
<div>
участников взаимодействия, должны быть защищены с помощью<b> сертифицированных средств </b><b>криптографической защиты информации, удовлетворяющих установленным требованиям к средствам криптографической защиты информации класса не ниже КСЗ</b> и находящихся в пределах контролируемых зон участников взаимодействия.</div>
<div>
121. Доступ к электронным сервисам информационных систем участников взаимодействия должен осуществляться с использованием сертифицированных средств межсетевого экранирования.</div>
</div>
<div>
<br />
<h3 style="text-align: left;">
Требования к ИС организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие ИС, используемых для предоставления государственных и муниципальных услуг в электронной форме</h3>
<a href="https://digital.gov.ru/ru/documents/4099/" target="_blank">Приказ Минкомсвязи России от 09.12.2013 №390</a><br />
<br />
<b>При подключении к закрытому контуру инфраструктуры взаимодействия,</b> представляющему собой совокупность информационных систем, технических устройств и каналов связи, используемых для взаимодействия органов и организаций, указанных в пункте 1 Положения об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие <b>информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме, </b><…>, и доступ к которому предоставляется лицам, прошедшим процедуры идентификации и аутентификации в установленном оператором инфраструктуры взаимодействия порядке, <b>защита каналов связи должна быть осуществлена средствами криптографической защиты, сертифицированными по классу не ниже КС3</b>.<br />
<br />
<h2 style="text-align: left;">
Подключение к ФГИС ЕГРН (Единый государственный реестр недвижимости Росреестра)</h2>
</div>
<div>
<br />
<a href="https://rosreestr.ru/upload/Doc/10-upr/%D0%A1%D0%BE%D0%B3%D0%BB%D0%B0%D1%88%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BE_%D0%B2%D0%B7%D0%B0%D0%B8%D0%BC%D0%BE%D0%B4%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B8.docx" target="_blank">СОГЛАШЕНИЕ о взаимодействии при подключении Пользователя к веб-сервисам Росреестра и об условиях пользования сервисами и системами Росреестра</a><br />
<br />
В рамках настоящего Соглашения Сторонами обеспечивается:<br />
<...><br />
3.1.2. Со стороны Пользователя.<br />
Пользователем обеспечивается программно-аппаратный комплекс, необходимый для подключения к защищенному каналу связи, совместимый с ПАК СКЗИ Росреестра, соответствующий требованиям ГОСТ 28147-89, ГОСТ Р 34.11-94, <b>требованиям ФСБ России к средствам криптографической защиты класса КС3, имеющий действующие сертификаты соответствия ФСТЭК России и ФСБ России</b>;<br />
<br />
<br /></div>
<div>
<i style="font-size: x-large;">Заметка будет пополняться, продолжение следует...</i></div>
P.S. Реестр сертифицированных СКЗИ доступен <a href="http://clsz.fsb.ru/certification.htm" target="_blank">на сайте ФСБ России</a>.</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-14976120026466864612019-04-28T23:53:00.001-07:002019-04-29T00:02:53.596-07:00Telegram чаты вендоров ГОСТ VPN<div dir="ltr" style="text-align: left;" trbidi="on">
Собрал в заметке основные чаты по ГОСТ VPN<br />
<a name='more'></a><br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-Xj2j3c5kp7s/XMahCZCIRuI/AAAAAAAAXTk/uiirKwsQdDoPWwUBb9SMNO9Nz-iWeXLBwCLcBGAs/s1600/hqdefault.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="360" data-original-width="480" height="240" src="https://3.bp.blogspot.com/-Xj2j3c5kp7s/XMahCZCIRuI/AAAAAAAAXTk/uiirKwsQdDoPWwUBb9SMNO9Nz-iWeXLBwCLcBGAs/s320/hqdefault.jpg" width="320" /></a></div>
<br />
В чатах присутствуют представители вендоров, интеграторы и заказчики.<br />
С их помощью можно оперативно получить ответ на вопрос не обращаясь в тех.поддержку/пресейл, узнать об особенностях эксплуатации продукта и поделиться своим опытом.<br />
<br />
Код Безопасности АПКШ Континент (757) <a href="https://t.me/apksh">https://t.me/apksh</a><br />
ИнфоТеКС ViPNet (293) <a href="https://t.me/vipnetcustom">https://t.me/vipnetcustom</a><br />
С-Терра (173) <a href="https://t.me/sterravpn">https://t.me/sterravpn</a><br />
Крипто-Про nGate (41) <a href="https://t.me/cpngate">https://t.me/cpngate</a><br />
<br />
ГОСТ TLS (136) <a href="https://t.me/tlsusegroup">https://t.me/tlsusegroup</a></div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com2tag:blogger.com,1999:blog-1039966563302727774.post-46458299549108037092018-12-24T23:55:00.000-08:002018-12-25T00:03:10.517-08:00Когда и как вывести СКЗИ из эксплуатации?<div dir="ltr" style="text-align: left;" trbidi="on">
На <a href="https://www.avito.ru/rossiya?radius%5B0%5D=&s_trg=3&q=%D0%90%D0%9F%D0%9A%D0%A8+%D0%9A%D0%BE%D0%BD%D1%82%D0%B8%D0%BD%D0%B5%D0%BD%D1%82" target="_blank">авито</a> и других подобных сайтах полно объявлений о продаже криптошлюзов. Незадачливые продавцы не задумываются, что в соответствии с <a href="https://rg.ru/2012/04/24/shifry-site-dok.html" target="_blank">Постановлением Правительства №313 (п. 21)</a> передача СКЗИ – это лицензируемая деятельность. Отсутствие лицензии потенциально грозит продавцу административной, а иногда и уголовной ответственностью. У покупателя тоже могут быть проблемы – как он объяснит появление у него СКЗИ, которое изначально продано другому клиенту?<br />
<br />
Как же быть тем, кто хочет избавиться от этих ненужных «коробок» и не нарушить закон? Очень просто – предварительно удалить СКЗИ и ограничиться продажей аппаратной платформы. Аналогично нужно действовать перед передачей аппаратных средств, на которых установлено СКЗИ, для ремонта в стороннюю организацию.<br />
<div>
<a name='more'></a><div>
<br />
Процесс вывода из эксплуатации СКЗИ регламентируется <a href="http://ivo.garant.ru/#/document/183628/paragraph/285:0" target="_blank">Приказом ФАПСИ от 13 июня 2001 г. N 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»</a>, а также эксплуатационной документацией СКЗИ. </div>
<div>
<br />
В отдельных случаях могут быть специальные «отраслевые» требования, например, <a href="https://rg.ru/2013/03/13/tahografy-dok.html" target="_blank">для тахографов</a> и ККТ.</div>
<div>
<br /></div>
<div>
В соответствии с действующим приказом ФАПСИ №152:</div>
</div>
<div>
<br /></div>
<div>
<blockquote class="tr_bq">
<i>43. СКЗИ уничтожают (утилизируют) в соответствии с требованиями Положения ПКЗ-99 по решению обладателя конфиденциальной информации, владеющего СКЗИ, и по согласованию с лицензиатом ФАПСИ.</i><br />
<i>Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ, и они полностью отсоединены от аппаратных средств.</i><br />
<i>44. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта).</i></blockquote>
</div>
<div>
<br /></div>
<div>
Положение ПКЗ-99 уже не действует, вместо него введено ПКЗ-2005, которое не предъявляет требований к утилизации СКЗИ. Таким образом, требуется «изъять» СКЗИ из аппаратных средств, и далее можно использовать эти аппаратные средства без ограничений.</div>
<div>
<br /></div>
<div>
<div>
При этом нужно учесть еще два момента:</div>
<div>
<br /></div>
<div>
<ul style="text-align: left;">
<li>Пользователь СКЗИ должен вести поэкземплярный учет используемых СКЗИ. В форме, указанной в Приложениях 1 и 2 приказа ФАПСИ №152, необходима отметка об изъятии СКЗИ из аппаратных средств и уничтожении ключевых документов. Эти действия, а также весь процесс вывода из эксплуатации, должны быть отражены в инструкции, регламентирующей обращение с СКЗИ.</li>
<li>Для воспрепятствования использованию ключевой информации утилизируемых СКЗИ необходимо её аннулировать (например, CRL в PKI-инфраструктуре).</li>
</ul>
</div>
<h3 style="text-align: left;">
</h3>
<h3 style="text-align: left;">
Резюме</h3>
<div>
<br /></div>
<div>
Вывод СКЗИ из эксплуатации производится согласно приказу ФАПСИ №152 и эксплуатационной документации конкретного СКЗИ. Он необходим в следующих случаях:</div>
<div>
<ul style="text-align: left;">
<li>СКЗИ больше не будет использоваться на данной аппаратной платформе. Например, на текущую версию СКЗИ закончился сертификат соответствия, а новая не может быть установлена на эту платформу. После удаления СКЗИ платформу можно использовать повторно – установить на неё другое ПО или списать и продать :)</li>
<li>Нужно передать аппаратную платформу, на которой установлено СКЗИ, для ремонта в стороннюю организацию. </li>
</ul>
</div>
</div>
<div>
<br /></div>
<div>
<br /></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com1tag:blogger.com,1999:blog-1039966563302727774.post-87390319446261143432018-12-04T01:33:00.001-08:002018-12-05T01:39:07.643-08:00СКЗИ в виртуальной среде<div dir="ltr" style="text-align: left;" trbidi="on">
Виртуализация – неотъемлемая часть большинства современных инфраструктур. Интеграция в неё различных продуктов, в том числе средств информационной безопасности (ИБ), имеет определенную специфику. В заметке рассмотрены требования к среде виртуализации при использовании в ней сертифицированных средств криптографической защиты информации (СКЗИ).<br />
<a name='more'></a><br />
<h3 style="text-align: left;">
Нормативная база</h3>
<br />
Начнем с существующей нормативной базы в области защиты виртуализации.<br />
<br />
ГНИИИ ПТЗИ ФСТЭК России и ТК 362:<br />
<br />
<ul style="text-align: left;">
<li><a href="http://docs.cntd.ru/document/1200135524" target="_blank">ГОСТ Р 56938—2016 «Защита информации при использовании технологий виртуализации». Документ содержит описание терминологии, объектов защиты, угроз безопасности, а также особенности реализации мер защиты в виртуальной среде</a>,</li>
<li><a href="http://docs.cntd.ru/document/1200102839" target="_blank">Проект ГОСТ «Требования по защите информации, обрабатываемой с использованием технологии облачных вычислений». Содержание схоже с предыдущим документом, но более конкретно описаны перечни угроз ИБ для поставщиков и потребителей облачных услуг</a>.</li>
</ul>
<br />
Банк России:<br />
<br />
<a href="https://www.cbr.ru/Content/Document/File/46925/rs-28-15.pdf" target="_blank">Стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности при использовании технологии виртуализации» (РС БР ИББС-2.8-2015), содержащий рекомендации по разделению потоков в виртуальной среде, обеспечению безопасности виртуальных машин (ВМ), их образов и терминалов, а также мониторингу ИБ и разграничению полномочий</a>.<br />
<br />
ФСТЭК России:<br />
<br />
В приказах №17/21/31 указан единый набор мер защиты для различных уровней защищенности:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-fpriI2J-uXg/XAZF_JV6EpI/AAAAAAAAWF8/LNrFD856kt4xPrPZ-dRF5g4EkYmKH_bmQCLcBGAs/s1600/pic1_fstec.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em; text-align: center;"><img border="0" data-original-height="534" data-original-width="714" height="297" src="https://4.bp.blogspot.com/-fpriI2J-uXg/XAZF_JV6EpI/AAAAAAAAWF8/LNrFD856kt4xPrPZ-dRF5g4EkYmKH_bmQCLcBGAs/s400/pic1_fstec.png" width="400" /></a></div>
<br />
<br />
В относительно новом приказе ФСТЭК России №239 «Об утверждении Требований по обеспечению безопасности ЗО КИИ РФ» по обеспечению безопасности значимых объектов КИИ виртуализация упомянута без конкретного перечня мер защиты (указана одна мера – «Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных»).<br />
<br />
При этом ФСТЭК не имеет специальных руководящих документов по сертификации виртуальных сред, но ряд производителей сертифицировали свои продукты на соответствие техническим условиям. Средства защиты, работающие в виртуальной среде, могут быть сертифицированы, например, как межсетевые экраны уровня логических границ сети в программном исполнении (тип «Б») или системы обнаружения вторжений (СОВ).<br />
<br />
ФСБ же занимается сертификацией в более узких областях ИБ, в основном криптографией, и ряд сертифицированных средств криптографической защиты информации (СКЗИ) могут работать в виртуальной среде при соблюдении ряда дополнительных требований, указанных в правилах пользования.<br />
<br />
<h3 style="text-align: left;">
Использование СКЗИ</h3>
<br />
Рассмотрим вопрос – реально ли использовать СКЗИ в виртуальной среде с соблюдением правил пользования, согласованных при сертификации.<br />
<br />
Сразу нужно сказать, что на данный момент СКЗИ разных производителей, работающие в виртуальной среде, сертифицированы в ФСБ России как СКЗИ по классу КС1. Прецедентов повышения класса до КС2 пока не было, связано это с более жесткими требованиями в части защиты от несанкционированного доступа. Реализовать их можно с помощью средств доверенной загрузки или сертифицировав гипервизор. На российском рынке перечень таких продуктов крайне ограничен, широкого распространения они пока не получили. В связи с этим рассмотрим общие принципы правил пользования для СКЗИ, сертифицированных по классу КС1, при работе в виртуальной среде.<br />
<br />
На данным момент в ФСБ России как СКЗИ по классу КС1 сертифицированы следующие продукты, которые могут использоваться в виртуальной среде (список будет дополняться - пишите в комментариях либо в <a href="https://www.facebook.com/alexander.veselov.58" target="_blank">FB</a>):<br />
<br />
<u>C-Терра СиЭсПи:</u><br />
<ul style="text-align: left;">
<li>C-Терра Шлюз</li>
<li>С-Терра Клиент</li>
</ul>
<br />
<u>Инфотекс:</u><br />
<ul style="text-align: left;">
<li>ViPNet CSP</li>
<li>ViPNet Client</li>
<li>ViPNet Coordinator for Linux</li>
</ul>
<br />
<u>Крипто-Про:</u><br />
<ul style="text-align: left;">
<li>Крипто-Про CSP</li>
</ul>
<br />
<u>Код Безопасности:</u><br />
<ul style="text-align: left;">
<li>Континент АП</li>
</ul>
<div>
<br /></div>
<h4 style="text-align: left;">
Размещение</h4>
<br />
При эксплуатации СКЗИ, работающих в виртуальной среде, должны соблюдаться требования по физическому размещению, аналогичные требованиям для аппаратных средств. В частности, охрана, пропускной режим, контроль периметра и т.д. В большинстве современных серверных и тем более в центрах обработки данных эти требования выполняются.<br />
Использование виртуализации подразумевает удаленный доступ к ресурсам с клиентских мест, соответственно потребуется защита самих терминалов, запрещается оставлять их без контроля.<br />
<br />
<h4 style="text-align: left;">
Гипервизоры</h4>
<br />
Перечень гипервизоров и их версии фиксируются на этапе тематических исследований. Для каждого гипервизора производитель СКЗИ описывает требования к эксплуатации (например, перечень файлов для контроля целостности). При этом рекомендуется регулярно устанавливать пакеты обновления безопасности, обновлять инструменты виртуализации, а также утилиты, используемые для управления средой виртуализации. Учитывая наличие множества уязвимостей, а также динамику роста их количества, пренебрегать установкой обновлений точно не стоит. Например, за последний год было выявлено множество уязвимостей аппаратной части – процессоров Intel, начиная от оригинальных Spectre и Meltdown до L1TF (L1 Terminal Fault), которые с разной степенью надёжности закрываются патчами, выпускаемыми производителями гипервизоров. Теоретически возможна ситуация, когда пользователю требуется новая версия гипервизора (или версия с патчем), которая отсутствует в документации производителя СКЗИ. В этом случае производитель СКЗИ инициирует работы испытательной лаборатории по контролю изменений и далее обращается к регулятору. Если производитель СКЗИ имеет аккредитацию испытательной лаборатории, как, например, «С-Терра СиЭсПи», то сроки выполнения таких работ существенно сокращаются.<br />
<br />
<h4 style="text-align: left;">
Администрирование</h4>
<br />
Гипервизор имеет возможность влиять на функционирование СКЗИ, поэтому потребуется разграничение полномочий администраторов. Необходимо как минимум две роли - администратор виртуальной инфраструктуры, осуществляющий управление ВМ, серверными компонентами, системой хранения данных, а также администратор безопасности, формирующий политику безопасности, ключевую информацию и другие настройки непосредственно СКЗИ. По сути обе эти роли формально являются администратором СКЗИ. Технически требование реализуется штатными средствами большинства популярных гипервизоров, а также организационными мерами.<br />
Взаимодействие с другими виртуальными машинами (ВМ)<br />
Для защиты от несанкционированного доступа (НСД) требуется контроль информационного обмена между ВМ, в том числе общих областей оперативной памяти хоста. Актуальность угроз данного типа подтверждает целый ряд указанных выше уязвимостей. Защита реализуется встроенными средствами гипервизора или отдельными средствами защиты от НСД. Помимо этого, нужно помнить, что меры безопасности следует применять не только к ВМ с СКЗИ и гипервизору, но и ко всем другим машинам на этом гипервизоре.<br />
На ВМ с СКЗИ, а также на другие ВМ не должны устанавливаться средства разработки ПО и отладчики. Если средства отладки приложений нужны для технологических потребностей организации, то их использование должно быть санкционировано администратором безопасности. При этом должны быть реализованы меры, исключающие возможность редактирования и просмотр кода и памяти СКЗИ, а также приложений, использующих СКЗИ. Обычно для реализации достаточно организационных мер защиты.<br />
<br />
<h4 style="text-align: left;">
Миграция и отказоустойчивость</h4>
<br />
При передаче (миграции) ВМ с СКЗИ по каналам связи вне контролируемой зоны необходимо обеспечить защиту этих каналов сертифицированными средствами защиты.<br />
После ввода в СКЗИ ключевой информации на файл с образом, а также на последующие снапшоты и резервные копии распространяются требования по обращению с ключевыми носителями.<br />
<br />
<h2 style="text-align: left;">
Резюме</h2>
<br />
ФСБ России не накладывает вето на сертификацию СКЗИ в виртуальной среде, целый ряд средств защиты сертифицированы по классу КС1. Для каждого продукта существует ряд ограничений и рекомендаций по использованию в виртуальной среде, исходя из специфических угроз виртуализации. Ограничения делают её эксплуатацию менее удобной, но не перечеркивают большинства преимуществ.<br />
<div>
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<br /></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com1tag:blogger.com,1999:blog-1039966563302727774.post-31472792913005037112018-10-25T02:03:00.000-07:002018-10-25T06:19:40.620-07:00Переход на ГОСТ Р 34.10-2012<div dir="ltr" style="text-align: left;" trbidi="on">
Регуляторы анонсировали продление возможности использования схемы ЭП, соответствующей ГОСТ Р 34.10-2001 до 31.12.2019.<br />
<br />
<a name='more'></a>Хотя переход на ГОСТ Р 34.10-2012 начали планировать практически пять лет назад - еще в 2014 году.<br />
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-hGQRNwFyqxk/W9F_SAd48fI/AAAAAAAAV0I/0-cqkkQ3DnEjNGu7SkXVU2OANGH5xSmmwCEwYBhgL/s1600/Terzi_04-1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="900" data-original-width="1600" height="225" src="https://4.bp.blogspot.com/-hGQRNwFyqxk/W9F_SAd48fI/AAAAAAAAV0I/0-cqkkQ3DnEjNGu7SkXVU2OANGH5xSmmwCEwYBhgL/s400/Terzi_04-1.jpg" width="400" /></a></div>
<div>
<br /></div>
<div>
Согласно <a href="http://wwwold.tc26.ru/info/new-national-standards/" target="_blank">выписке из документа ФСБ России № 149/7/1/3-58 от 31.01.2014 "О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования"</a>:<br />
<blockquote class="tr_bq">
<i>Использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года <span style="color: red;">не допускается</span>.</i></blockquote>
<br />
В связи с этим:<br />
<br />
<ul style="text-align: left;">
<li>у ряда СКЗИ срок действия сертификата ФСБ России ограничен до 31.12.2018,</li>
<li>все производители СКЗИ добавили поддержку ГОСТ Р 34.10-2012 в свои продукты,</li>
<li>в некоторые новые версии СКЗИ с поддержкой и ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012 встроили механизмы невозможности использования ГОСТ Р 34.10-2001 после 31.12.2018.</li>
</ul>
<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div>
Но любой переход в массовом сегменте требует переходного периода, т.е. чтобы перейти на ГОСТ Р 34.10-2012 с 1 января 2019 года, нужно было с 1 января 2018 года прекратить выпускать сертификаты ГОСТ Р 34.10-2001 и начать выпускать ГОСТ Р 34.10-2012. Таким образом, в 2018 году сертификаты ГОСТ Р 34.10-2001 могли бы спокойно доживать свой век. Но этого не произошло. Например, головной удостоверяющий центра (ГУЦ) Минкомсвязи России начал выпуск сертификатов ГОСТ Р 34.10-2012 только 17 июля 2018 года, а остальные аккредитованные УЦ, соответственно, еще позже. В связи с этим ФСБ России по просьбе Минкомсвязи продлила срок перехода.</div>
<div>
<div>
<br /></div>
<div>
Информация об этом доступна <a href="https://sc.minsvyaz.ru/media/docs/Uvedomlenie_o_plane_perehoda_GOST2012_1.pdf" target="_blank">на сайте Минкомсвязи</a>. В соответствии с Письмом ФСБ России №149/7/6-363 от 07.09.2018:</div>
<div>
<br /></div>
<blockquote class="tr_bq">
<i>Возможность использования схемы ЭП, соответствующей ГОСТ Р 34.10-2001 для формирования ЭП <span style="color: red;">продлевается</span> до 31.12.2019.</i></blockquote>
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-fh76LZFjnPQ/W9F_SNdFgiI/AAAAAAAAV0U/Y4suQLZA7DwTfaTTP3FqFZLXjwikS7_yACEwYBhgL/s1600/Terzi_04-6.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="900" data-original-width="1600" height="225" src="https://4.bp.blogspot.com/-fh76LZFjnPQ/W9F_SNdFgiI/AAAAAAAAV0U/Y4suQLZA7DwTfaTTP3FqFZLXjwikS7_yACEwYBhgL/s400/Terzi_04-6.jpg" width="400" /></a></div>
<div>
<br /></div>
<div>
Также в документе более подробно описан процесс перехода:</div>
<div>
<br /></div>
<div>
<ul style="text-align: left;">
<li>до конца 2018 года аккредитованные УЦ (далее – УЦ) выдают сертификаты и ГОСТ Р 34.10-2001, и ГОСТ Р 34.10-2012,</li>
<li>срок действия сертификатов ГОСТ Р 34.10-2001 ограничен до 31.12.2019,</li>
<li>с 1 января 2019 УЦ выдают только сертификаты ГОСТ Р 34.10-2012.</li>
</ul>
</div>
<div>
<br /></div>
<div>
Стоит отметить, что автоматического продления сертификатов на СКЗИ, сроки которых были сокращены из-за документа ФСБ России № 149/7/1/3-58 от 31.01.2014, не последовало. Так как производители уже выпустили новые версии продуктов с поддержкой ГОСТ Р 34.10-2012, специально продлевать сертификаты никто не стал. В частности, если говорить о криптошлюзах, ГОСТ 34.10-2012 поддерживается продуктами С-Терра начиная с 4.1ST и выше, АПКШ Континент 3.7 и HW Coordinator 4.х.</div>
<div>
<br /></div>
<div>
Таким образом, переходный период – это 2019 год. Будет использоваться как ГОСТ Р 34.10-2001, так и ГОСТ Р 34.10-2012. Но пользователям нужно иметь ввиду, что механизмы блокировки использования ГОСТ Р 34.10-2001 после 31.12.2018 нужно отключить вручную (<a href="https://www.cryptopro.ru/news/2018/10/o-snyatii-zapreta-na-gost-r-3410-2001-v-kriptopro-csp-39-40-i-kriptopro-jcp-20-v-2019-g" target="_blank">пример</a> для Крипто-Про 3.9R2 и выше). А с 1 января 2020 года будет использоваться только ГОСТ Р 34.10-2012.</div>
</div>
<div>
<br /></div>
</div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-3649515156570142232018-10-16T11:20:00.000-07:002018-10-17T21:55:09.280-07:00Защита каналов связи в ЕБС<div dir="ltr" style="text-align: left;" trbidi="on">
Единая биометрическая система — это цифровая платформа для удаленной биометрической идентификации, которая позволяет предоставлять новые коммерческие и государственные услуги. Система создана по инициативе Центрального банка Российской Федерации и Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации. «Ростелеком» – разработчик и оператор Единой биометрической системы.<br />
<br />
С 30 июня 2018 года, зарегистрировавшись в системе и сдав биометрические образцы, граждане России смогут дистанционно открывать счета и брать кредиты в российских банках, работающих по системе удаленного обслуживания. Рассматривается добавление со временем дистанционной аутентификации и в других сферах: дистанционное обучение, телемедицина и т.д.<br />
<br />
<a name='more'></a>Применение удаленной идентификации клиентов в финансовой сфере регламентировано Федеральным законом №482-ФЗ от 31 декабря 2017 г., который вносит изменения в Федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».<br />
<br />
В соответствии с <a href="http://government.ru/docs/all/115882/" target="_blank">Постановлением Правительства №335 от 28.03.2018 «Об определении федерального органа исполнительной власти, осуществляющего регулирование в сфере идентификации граждан Российской Федерации на основе биометрических персональных данных»</a> регулятором является Министерство связи и массовых коммуникаций Российской Федерации.<br />
<br />
Рассмотрим нормативные документы, в которых предъявляются требования к защите каналов связи в различных сегментах ЕБС:<br />
<br />
•<span style="white-space: pre;"> </span><a href="https://minjust.consultant.ru/documents/40035?items=100" target="_blank">Приказ Минкомсвязи России №321 от 25.06.2018</a> (внимание <a href="https://minsvyaz.ru/ru/documents/6214/" target="_blank">на сайте Минкомсязи</a> неактуальная версия),<br />
<br />
•<span style="white-space: pre;"> </span><a href="https://www.cbr.ru/analytics/?PrtID=na_vr&docid=625" target="_blank">Указание Банка России №4859-У/01/01/782-18</a>,<br />
<br />
•<span style="white-space: pre;"> </span><a href="https://rg.ru/2014/09/17/zashita-dok.html" target="_blank">Приказ ФСБ России №378</a>,<br />
<br />
•<span style="white-space: pre;"> </span><a href="https://bio.rt.ru/upload/iblock/525/Reglament-ispolzovaniya-Edinoy-biometricheskoy-sistemy-_Versiya-1.7-ot-13.08.2018_.pdf" target="_blank">Регламент использования Единой биометрической системы (v 1.7)</a>,<br />
Регламент постоянно дорабатывается, актуальная версия и другие документы доступны <a href="https://bio.rt.ru/documents/basic/?SECTION_ID=193" target="_blank">на сайте ЕБС</a>.<br />
<br />
В Указании Банка России перечислены сегменты системы, к каждому из них добавлена ссылка на пункт приказа №378 ФСБ РФ о защите ПДн. Для наглядности я составил таблицу с их соотношением.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-AQIJT7aFcqE/W8YnPlHqFlI/AAAAAAAAVt8/3b7LPiKXKf0RCGdaM-MyWBlEstOzLkWJACLcBGAs/s1600/%25D1%2582%25D0%25B0%25D0%25B1%25D0%25BB%25D0%25B8%25D1%2586%25D0%25B0.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="661" data-original-width="1516" height="278" src="https://2.bp.blogspot.com/-AQIJT7aFcqE/W8YnPlHqFlI/AAAAAAAAVt8/3b7LPiKXKf0RCGdaM-MyWBlEstOzLkWJACLcBGAs/s640/%25D1%2582%25D0%25B0%25D0%25B1%25D0%25BB%25D0%25B8%25D1%2586%25D0%25B0.png" width="640" /></a></div>
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
<br />
В регламенте использования ЕБС это отражено в виде схемы:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://pbs.twimg.com/media/DpNNdsyWwAEZJzw.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="269" data-original-width="800" height="214" src="https://pbs.twimg.com/media/DpNNdsyWwAEZJzw.jpg" width="640" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Теперь немного о реализации.</div>
<div>
<div>
<br /></div>
<div>
<b>Устройство клиента (физическое лицо)</b></div>
<div>
<br /></div>
<div>
Ростелеком разрабатывает мобильное приложение для верификации банками клиентов и дистанционного предоставления им услуг. Исходя из требований, продукт должен содержать криптографию и иметь сертификат ФСБ России на соответствие требованиям к СКЗИ по классу КС1. По предварительной информации это будет ViPNet TLS Gateway. Но сертификация занимает достаточно длительное время, особенно для мобильных платформ. Таким образом, либо приложение будет использовать «старое» сертифицированное СКЗИ, либо последнюю, но несертифицированную версию. Также возникает проблема с размещением программ в Google Play и App Store, ведь речь идет о довольно сложном вопросе <a href="http://alexanderveselov.blogspot.com/2017/04/blog-post.html" target="_blank">экспорта СКЗИ</a>. </div>
<div>
<br /></div>
<div>
<b>Между структурными подразделениями банка и иной организации</b></div>
<div>
<br /></div>
<div>
Большинство финансовых организаций уже используют сертифицированные криптошлюзы. Но зачастую они более низкого уровня сертификации – КС1, а требуется <b>КС2 совместно со средством защиты от НСД, сертифицированным минимум по 4 классу, или КС3</b>. В данной ситуации банкам придется пересмотреть типовой комплект оборудования для филиалов и дополнительных офисов – либо модернизировать существующее оборудование, либо приобрести новое.</div>
<div>
<br /></div>
<div>
Помимо этого, исходя из п. 5 Приложения 3 приказа Минкомсвязи России №321, необходимо использовать СЗИ, которые соответствуют <span style="color: red;">второму</span> уровню защиты информации (усиленный), установленному требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1-2017, о котором я писал <a href="http://alexanderveselov.blogspot.com/2018/01/575801-2017.html" target="_blank">ранее</a>. Например, МЭ и СОВ должны быть сертифицированы по <span style="color: red;">5</span> классу.</div>
<div>
<br /></div>
<div>
В п.9.2 Приложения 1 к тому же приказу говорится о необходимости ежегодной оценки соответствия ИС требованиям по защите. В связи с этим рекомендуется выделить сервисы ЕБС банка в отдельный изолированный сегмент.</div>
<div>
<br /></div>
<div>
<b>Между банком (или иной организацией) и сервисами ЕБС (Ростелеком)</b></div>
<div>
<br /></div>
<div>
Для реализации данного пункта предусмотрено два варианта:</div>
<div>
<br /></div>
<div>
•<span style="white-space: pre;"> </span>Использование существующего канала до СМЭВ. Услуга уже давно оказывается Ростелекомом, доступ к СМЭВ есть у большинства банков и реализован на криптошлюзах С-Терра, Инфотекс и Код Безопасности, сертифицированных ФСБ России по классу КС3. Этот вариант не несет дополнительных затрат для банков и будет наиболее популярным.</div>
<div>
<br /></div>
<div>
•<span style="white-space: pre;"> </span>Отдельный канал, аналогичный подключению к СМЭВ. При желании банк может приобрести у Ростелекома отдельную услугу по подключению к ЕБС, она тоже реализуется на криптошлюзах, сертифицированных по КС3.</div>
<div>
<br /></div>
<div>
В регламенте также указана необходимость использования усиленной квалифицированной подписи у ФГБУ НИИ «Восход» и HSM, сертифицированных по классу КВ2.</div>
<div>
<br /></div>
<div>
<b>Между сервисами ЕБС и ЕСИА</b></div>
<div>
<br /></div>
<div>
Должны использоваться криптошлюзы, сертифицированные по классу КВ2. Раз система запущена, значит, защита канала уже реализована. Более подробная информация в публичном доступе отсутствует. </div>
<div>
<b><br /></b></div>
<div>
<b>Резюме</b></div>
<div>
<br /></div>
<div>
Для клиентов ожидаем <a href="https://iz.ru/788235/anastasiia-alekseevskikh-tatiana-gladysheva/rostelekom-sozdal-prilozhenie-dlia-udalennoi-proverki-klientov-bankov" target="_blank">реализацию мобильного приложения Ростелекома</a> с отечественной криптографией и публикацию его в магазинах приложений. Особенно интересна позиция Google и Apple - может появиться прецедент публикации СКЗИ в онлайн магазинах. Ранее <a href="https://pbs.twimg.com/media/DbNEdqNX0AA2PuI.jpg" target="_blank">в одном из проектов Сбербанка</a> приложение было размещено в Google Play без криптографии, а потом СКЗИ скачивалось с отдельного сервера.</div>
<div>
<br /></div>
<div>
Для многих банков настало время модернизации системы защиты каналов связи или организации отдельных защищенных каналов для ЕБС. Судя по информации <a href="https://estekhin.blogspot.com/2018/09/blog-post.html" target="_blank">в блоге Валерия Естехина</a>, срок для реализации защиты во всех отделениях - до 31.12.2019.</div>
<div>
<br /></div>
<div>
Каналы связи между банками и СМЭВ уже построены и теперь будут использоваться, в том числе, для сервисов ЕБС.</div>
</div>
<div>
<br />
<span style="color: red;">Заметка обновлена 18.10.2018 - изменена ссылка на Приказ №321, а также пункты про ГОСТ Р 57580.1-2017 и оценку соответствия ИС требованиям по защите.</span></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-39776697085366866392018-10-02T06:55:00.000-07:002018-11-09T04:31:38.779-08:00АПМДЗ в составе СКЗИ<div dir="ltr" style="text-align: left;" trbidi="on">
В СКЗИ классов КС2 или КС3 должна быть реализована защита от атак, которые могут быть проведены из пределов контролируемой зоны (подробнее в <a href="https://alexanderveselov.blogspot.ru/2016/11/26.html" target="_blank">публичных требованиях к СКЗИ, п.6.1.3</a>). Существует как минимум два варианта реализации защиты – программными средствами и с помощью аппаратно-программного модуля доверенной загрузки (АПМДЗ). Реализация программными средствами происходит с привязкой к конкретной аппаратной платформе, которая указывается в формуляре, правилах пользования, технических условиях или других документах на СКЗИ. Примеры - Coordinator HW от Инфотекс и ESR-ST от С-Терра. Второй вариант – установка АПМДЗ в виде отдельной платы. Именно такой подход использует Код Безопасности в линейке Континент - в шлюзы установлен АПМДЗ Соболь. В продуктах С-Терра тоже используется АПМДЗ, но есть возможность использования замков нескольких производителей. Они перечислены в формуляре и будут рассмотрены в заметке.<br />
<br />
<a name='more'></a><br />
Справедливости ради нужно сказать, что в составе СКЗИ используются не все функции АПМДЗ, а только часть (но остальные тоже могут понадобиться – смотрите пункт 3). Начнем с указания параметров, наиболее важных для сравнения.<br />
<br />
1) Сертификат ФСБ России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ не ниже класса 3Б. Наличие сертификата говорит о том, что реализация мер защиты от НСД уже проверена и необходимости в повторной проверке при тематических исследованиях СКЗИ нет. Это упрощает сертификацию СКЗИ и уменьшает её срок.<br />
<br />
Чем больше срок действия сертификата АПМДЗ - тем лучше. Если предполагаемый срок эксплуатации СКЗИ выходит за пределы срока действия сертификата на АПМДЗ, то требуется уточнить - возможно ли продление сертификата на АПМДЗ, планируется ли оно. Если сертификат на АПМДЗ истек, то сертификат на СКЗИ, строго говоря, недействителен.<br />
<br />
2) Форм-фактор (шина подключения). В серверных платформах это обычно PCI или PCI-E. А вот если рассматривать ноутбуки или тонкие клиенты в рамках задач защиты удаленного доступа, то требуется более компактный размер - mini pci-e, mini pci-e half size и М.2.<br />
<br />
3) Сертификат ФСТЭК. Для криптошлюзов в наличии такого сертификата необходимости нет, а для конечных устройств при удаленном доступе будет плюсом. В таком случае он используется и для СКЗИ, и для реализации других мер по защите от НСД, указанных в приказах ФСТЭК. Но обратите внимание, у многих производителей АПМДЗ во ФСТЭК и ФСБ сертифицируются разные модификации одного и того же продукта, в таком случае выполнить требования обоих регуляторов одним продуктом не получится.<br />
<br />
4) Способ подключения сторожевого таймера. Сторожевой таймер позволяет блокировать (чаще всего перезагружать) АРМ при условии, что после его включения управление не передано АПМДЗ. Обычно у большинства производителей подключение осуществляется через пины RESET и POWER на материнской плате. Для этого требуется дополнительный провод и переходник, плюс при этом увеличивается время на установку. Но самое главное - не у всех материнских плат есть указанные пины. Альтернативный способ блокировки шины – передача сигналов на шину или в оперативную память, приводящая к зависанию и/или перезагрузке. Реализаций такого способа на рынке АПМДЗ крайне мало, хотя он удобнее для пользователей и позволяет решить задачи по защите от НСД на платах без пинов RESET и POWER.<br />
<br />
5) Идентификаторы пользователей. Для криптошлюзов под пользователем следует понимать администратора безопасности. В большинстве случаев используется внешний считыватель с iButton, а вот для компактных форм-факторов он может не подойти. Наиболее удобная альтернатива - USB переходники для считывателя с iButton или токены.<br />
<br />
6) Наличие физического датчика случайных чисел (ФДСЧ). Конечно, можно генерировать случайные числа вручную с помощью биологического датчика случайных чисел, но это довольно трудоемко. Вторая альтернатива - доверенная доставка ранее сформированной на другом АПМДЗ <a href="http://alexanderveselov.blogspot.com/2017/09/gamma.html" target="_blank">внешней гаммы</a> - не менее сложная и трудоемкая для небольшого количества устройств, но хорошо масштабируемая. С ФДСЧ процесс удобный, быстрый и надежный.<br />
<br />
7) Автозагрузка. Очень интересный пункт. Актуален для ситуаций, когда заказчик приобрел СКЗИ класса КС2 «на всякий случай» без понимания основного ограничения - для приведения СКЗИ в состояние готовности требуется локальное участие администратора (приложить идентификатор и ввести пароль). По факту это означает, что при любой перезагрузке (для небольших региональных филиалов самая частая причина - перебои с питанием) требуется участие администратора, а это возможно далеко не всегда.<br />
Автозагрузка противоречит сценарию применения АПМДЗ. Большинство производителей даже реализовывать её не стали, а некоторые (Код Безопасности) - сделали, описав в документации с пометкой, что это запрещено. Поищите в Руководстве Администратора на Соболь ключевое слово «AUTOLOAD».<br />
<br />
8) Импорт/Экспорт настроек. Если предстоит настроить N-нное количество устройств, то эта функция будет очень кстати. Например, указать перечень файлов, целостность которых надо контролировать.<br />
Идентификаторы пользователей (о них выше, в п.5) в любом случае делаются персонально.<br />
<br />
9) Контроль целостности файловой системы. В случае использования АПМДЗ в составе СКЗИ такая проверка может осуществляться либо только средствами АПМДЗ при загрузке ОС, либо АПМДЗ и дополнительно утилитами в составе СКЗИ непосредственно в ОС. Такой функционал поддерживается всеми АПМДЗ из перечня, указанного ниже.<br />
<br />
Будут рассмотрены следующие АПМДЗ:<br />
•<span style="white-space: pre;"> </span><a href="http://www.securitycode.ru/products/pak_sobol/" target="_blank">Соболь</a> от Код Безопасности,<br />
•<span style="white-space: pre;"> </span><a href="http://www.accord.ru/amdz.html" target="_blank">Аккорд-GX/GXMH</a> от ОКБ САПР,<br />
•<span style="white-space: pre;"> </span><a href="https://ancud.ru/crzam.html" target="_blank">Криптон-Замок</a> от АНКАД,<br />
•<span style="white-space: pre;"> </span><a href="http://rusbitech.ru/products/szi/apmdz-maksim/" target="_blank">Максим-М1</a> от РусБИТех,<br />
•<span style="white-space: pre;"> </span><a href="http://www.setec.ru/" target="_blank">Тринити-С</a> от SETEC.<br />
<div>
<br /></div>
<div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" dir="rtl" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-ZvvPk3Y1EdI/W7M4H2KCSuI/AAAAAAAAVm8/KNLc9eBnXKANivDvqwKkieau72CjE273wCEwYBhgL/s1600/table1.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img data-original-height="1600" data-original-width="800" src="https://3.bp.blogspot.com/-ZvvPk3Y1EdI/W7M4H2KCSuI/AAAAAAAAVm8/KNLc9eBnXKANivDvqwKkieau72CjE273wCEwYBhgL/s1550/table1.jpg" /></a></div>
<div class="separator" dir="rtl" style="clear: both; text-align: center;">
</div>
<br />
<br /></div>
<div>
<div class="MsoNormal">
<b>Выводы</b><o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Во-первых, подобрать АПМДЗ для конкретной платформы – не
самая простая задача. Существует много нюансов как в аппаратной платформе
(например, допуски, определенные стандартами шин PCI/PCI-E или особенностью
разводки платы), так и в самом АПМДЗ. Это приводит к необходимости детального
тестирования совместимости в каждом конкретном случае. При этом некоторую
информацию можно получить непосредственно у производителей АПМДЗ, например, на
сайте Кода Безопасности в открытом доступе выложена <a href="https://www.securitycode.ru/upload/iblock/fbd/%D0%A2%D0%B0%D0%B1%D0%BB%D0%B8%D1%86%D0%B0%20%D1%81%D0%BE%D0%B2%D0%BC%D0%B5%D1%81%D1%82%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8%20%D0%9F%D0%90%D0%9A_%D0%A1%D0%BE%D0%B1%D0%BE%D0%BB%D1%8C_new2.pdf" target="_blank">таблица совместимости ПАК «Соболь»</a> с различными аппаратными платформами.
Но большинство платформ, указанных в этой таблице, купить уже невозможно. Кроме
того, речь идет в основном о <b style="mso-bidi-font-weight: normal;">полной </b>совместимости
продукта с платформой, хотя есть «совместимость с замечаниями». Таким образом,
отсутствие в этом перечне платформы не означает невозможность её использования
для СКЗИ. Пример из практики – С‑Терра Шлюз КС2 на базе сервера Cisco UCS С200
с Соболем.<o:p></o:p></div>
<div class="MsoNormal">
Поэтому в большинстве случаев – надо подбирать и
тестировать.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Во-вторых, для конечных рабочих мест проблема еще более
усугубляется «зоопарком» устройств, необходимостью компактного форм-фактора для
ноутбуков, а также наличием сертификатов обоих регуляторов.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
В такой ситуации конечному заказчику и производителю СКЗИ
лучше иметь возможность маневра - несколько вариантов АПМДЗ для выбора в каждой
конкретной ситуации. Если ранее производители АПМДЗ ориентировались на «своих»
конкретных заказчиков, то сейчас продукты активно совершенствуются и становятся
более массовыми. Конкуренция обостряется, это должно положительно сказаться на
соотношении цена-качество и помочь заказчикам.<o:p></o:p><br />
<br />
<span style="background-color: white; color: red; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13.2px;">Дополнение 09.11.2018: В Аккорд-МДЗ автозагрузка технически возможна</span><span style="background-color: white;"><span style="color: red; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif;"><span style="font-size: 13.2px;">, но запрещена эксплуатационной документацией</span></span></span><span style="background-color: white; color: red; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13.2px;">.</span></div>
</div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com3tag:blogger.com,1999:blog-1039966563302727774.post-22468154076271094122018-03-12T23:21:00.000-07:002018-10-17T08:25:12.126-07:00Варианты установки криптошлюза: inline или on-a-stick<div dir="ltr" style="text-align: left;" trbidi="on">
При добавлении в инфраструктуру отдельного VPN-шлюза (особенно отечественного) всегда возникает вопрос какую схему включения использовать – inline (в разрыв) или on-a-stick (сбоку – «на одной ноге» или на двух). Технически при грамотной настройке все эти варианты работоспособны. Больше всего вопросов возникает по схеме on-a-stick: для сетевых инженеров она наиболее привычна и удобна, но многие сомневаются пройдет ли такая система аттестацию.<br />
<a name='more'></a><br />
<br />
Во-первых, независимо от выбранной схемы установки VPN-шлюза на границе сетей с различными уровнями безопасности потребуется межсетевой экран, сертифицированный ФСТЭК России.<br />
Обычно в небольших офисах межсетевой экран совмещен с VPN-шлюзом, и вопрос по выбору схемы установки криптошлюза вообще отпадает. А вот в крупных узлах межсетевой экран и криптошлюз обычно представляют собой отдельные устройства. При этом возможны следующие типовые схемы интеграции:<br />
<br />
<div>
<div>
<b>1)<span style="white-space: pre;"> </span>Установка криптошлюза «в разрыв» между внутренней сетью и межсетевым экраном</b></div>
<div>
<br /></div>
<div>
Установка в разрыв многих пугает по ряду причин:</div>
<div>
<br /></div>
<div>
-дополнительная точка отказа, причем не только для VPN, а для всего трафика</div>
<div>
-невозможность фильтрации трафика, расшифрованного VPN-шлюзом (точнее фильтрация только средствами самого криптошлюза, а это зачастую явно не DPI).</div>
</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-82B5wH4ywrQ/WqdskSPdYaI/AAAAAAAAS48/NPITibg_Ub4cCqJLI26VQUQ5at-s9N9KQCLcBGAs/s1600/1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="547" data-original-width="361" src="https://1.bp.blogspot.com/-82B5wH4ywrQ/WqdskSPdYaI/AAAAAAAAS48/NPITibg_Ub4cCqJLI26VQUQ5at-s9N9KQCLcBGAs/s1600/1.jpg" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<div>
<b>2)<span style="white-space: pre;"> </span>Установка криптошлюза «в разрыв» в DMZ</b></div>
<div>
<br /></div>
<div>
Классика жанра из учебников по сетям. Опять-таки дополнительная точка отказа и установка дополнительного межсетевого экрана. </div>
</div>
<div>
<b><br /></b></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-nNmty3hdJU8/WqdsmUxQbjI/AAAAAAAAS5A/axyN_qRrf4QkwUskwxbTURmK_kMW51HdgCEwYBhgL/s1600/2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="673" data-original-width="361" src="https://3.bp.blogspot.com/-nNmty3hdJU8/WqdsmUxQbjI/AAAAAAAAS5A/axyN_qRrf4QkwUskwxbTURmK_kMW51HdgCEwYBhgL/s1600/2.jpg" /></a></div>
<div>
<b><br /></b></div>
<div>
<b><br /></b></div>
<div>
<div>
<b>3)<span style="white-space: pre;"> </span>Установка криптошлюза on-a-stick (сбоку – «на одной ноге» или на двух)</b></div>
<div>
<br /></div>
<div>
А теперь самый распространённый и интересный вариант, лишенный указанных выше недостатков. В этой схеме «Межсетевой экран» и «Межсетевой экран 2» являются логическими элементами одного устройства, а VPN-шлюз не является границей внутренней и внешней среды. При этом конфигурацией устройства «Межсетевой экран» обеспечивается невозможность выхода трафика, подлежащего шифрованию, во внешнюю сеть. </div>
</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-xg-Lan5Njew/WqdsmWScztI/AAAAAAAAS5E/jp8jDshD8cIssM-BZJ3JrLlAThdVnp49ACEwYBhgL/s1600/3.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="467" data-original-width="380" src="https://1.bp.blogspot.com/-xg-Lan5Njew/WqdsmWScztI/AAAAAAAAS5E/jp8jDshD8cIssM-BZJ3JrLlAThdVnp49ACEwYBhgL/s1600/3.jpg" /></a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<div>
Рассмотрим несколько вариантов реализации взаимодействия устройств «Криптошлюз» - «Межсетевой экран» в последней схеме.</div>
<div>
<br /></div>
<div>
<b><i>А) Между устройствами «Криптошлюз» и «Межсетевой экран» два физических интерфейса – один для шифрованного трафика, второй для расшифрованного.</i></b></div>
<div>
<br /></div>
<div>
«Межсетевой экран» имеет сертификат ФСТЭК России. «Криптошлюз» находится во внутренней сети. Шифрованный и расшифрованный трафик разделены по физическим интерфейсам. Идеальный вариант!</div>
<div>
<br /></div>
<div>
<b><i>Б) Между устройствами «Криптошлюз» и «Межсетевой экран» один физический интерфейс с двумя VLAN для шифрованного и расшифрованного трафика.</i></b></div>
<div>
<br /></div>
<div>
«Межсетевой экран» имеет сертификат ФСТЭК России, при сертификации проверена реализация разделения трафика по VLAN. Шифрованный и расшифрованный трафик разделены по VLAN интерфейсам и различаются межсетевым экраном по принадлежности к VLAN (а при необходимости – и по IP-адресам источника и назначения). <b>На практике ситуация осложняется тем, что отдельного руководящего документа по VLAN не существует, как и упоминания VLAN в требованиях регуляторов к межсетевым экранам. Соответственно, реализация разделения трафика по VLAN не является обязательной и не проверяется при сертификации, если производитель специально не включил это в задание по безопасности (ЗБ) или технические условия (ТУ).</b> Убедиться в этом можно, запросив документацию у производителя межсетевого экрана.</div>
<div>
<br /></div>
<div>
<b><i>В) Устройство «Криптошлюз» работает в виртуальной среде на сервере виртуализации (в соответствии с формуляром и правилами пользования). Между сервером виртуализации и устройством «Межсетевой экран» один физический интерфейс с двумя VLAN/Vmnet для шифрованного и расшифрованного трафика.</i></b></div>
<div>
<br /></div>
<div>
«Межсетевой экран» имеет сертификат ФСТЭК России. По аналогии с предыдущим пунктом шифрованный и расшифрованный трафик разделены по VLAN интерфейсам и различаются межсетевым экраном по принадлежности к VLAN (а при необходимости – и по IP-адресам источника и назначения). Дополнительно требуется разделение трафика внутри виртуальной среды. Оно может быть обеспечено встроенными средствами гипервизора (например, сертифицированного по ТУ) или дополнительными средствами защиты (например, межсетевым экраном, сертифицированным для работы в среде виртуализации).</div>
<div>
<br /></div>
<div>
<b><i>Г) «Межсетевой экран» НЕ сертифицирован ФСТЭК России, «Криптошлюз» может быть установлен где угодно. Такую схему аттестовать не получится. Никогда :)</i></b></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
Таким образом, при установке криптошлюза в существующую инфраструктуру возможны несколько вариантов. Оптимальный вариант можно выбрать, исходя из архитектуры конкретной системы, возможностей межсетевого экрана и VPN-шлюза.</div>
<div>
<br /></div>
<div>
Но не стоит забывать, что для конкретного криптошлюза могут быть ограничения по установке в определенной ситуации, поэтому перед проектированием нужно в обязательном порядке ознакомиться с формуляром, правилами пользования и рекомендациями производителя. А перед аттестацией – проконсультироваться с экспертами организации, которые будут эту аттестацию проводить.</div>
</div>
<div>
<br /></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-1617092966808474072018-01-12T09:00:00.000-08:002018-10-17T08:25:27.684-07:00СТО БР? ГОСТ Р 57580.1-2017<div dir="ltr" style="text-align: left;" trbidi="on">
Уже через месяц состоится юбилейный <a href="http://ural.ib-bank.ru/" target="_blank">X Уральский форум</a>. Самое время ознакомится с <b>ГОСТ Р 57580.1-2017</b> «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»<br />
<br />
<a name='more'></a>Посмотрим хронологию событий (кстати, неплохой темп подготовки нормативки):<br />
<br />
05.09.2016 На <a href="http://www.tk122.ru/pk1/private/docs/" target="_blank">портале ТК122</a> появился проект (общедоступный). Ранее написал о нем <a href="http://alexanderveselov.blogspot.ru/2017/03/vpn.html" target="_blank">заметку</a>.<br />
<br />
30.03.2017 На <a href="http://www.tk122.ru/pk1/private/docs/" target="_blank">портале ТК122</a> появился доработанный проект (требуется авторизация).<br />
<br />
17.04.2017 На <a href="http://www.tk122.ru/pk1/private/docs/" target="_blank">портале ТК122</a> появилась окончательная редакция (требуется авторизация)<br />
<br />
08.08.2017 Документ утвержден Росстандартом (<a href="http://www.cbr.ru/press/event/?id=1274" target="_blank">пресс-релиз Банка России</a>)<br />
<br />
01.01.2018 Документ введен в действие<br />
<br />
В данном случае введение в действие не означает немедленного обязательного выполнения. В других НПА пока нет ссылки на новый ГОСТ. Еще не утверждена <b>Методика оценки соответствия</b> (хотя на портале ТК122 уже есть и проект, и сводка замечаний), а также критерии классификации уровней защиты.<br />
<br />
Отдельно стоит отметить, что уровень защиты присваивается не всей финансовой организации, а <b>контуру безопасности</b> - совокупности объектов информатизации, используемых для реализации бизнес-процессов и (или) технологических процессов финансовой организации единой степени критичности (важности).<br />
<br />
В окончательной редакции ГОСТ изменилось соотношение уровней защиты информации и уровней защищенности ПДн из ПП1119.<br />
<br />
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td style="border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="148"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Уровень защиты информации </div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
ГОСТ Р 57580.1-2017</div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="162"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Соответствующий уровень защищенности ПДн ПП1119</div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
(было в проекте)</div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="162"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Соответствующий уровень защищенности ПДн ПП1119</div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
(стало в итоговой редакции)</div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="148"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
3 минимальный</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="162"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
-</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="162"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
УЗ4</div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="148"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2 стандартный</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="162"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
УЗ3, УЗ4</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="162"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
УЗ2, УЗ3</div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="148"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
1 усиленный</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="162"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
УЗ1, УЗ2</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 155.75pt;" valign="top" width="162"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
УЗ1</div>
</td>
</tr>
</tbody></table>
<br />
Также из-за изменения нормативной базы ФСТЭК России в части межсетевых экранов, изменился соответствующий раздел ГОСТ. В целом подход и требования схожи с Приказами ФСТЭК №17/21/31. Требования по применению СКЗИ не поменялись.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-X_7hiQhjhMA/WlkbPPY7c-I/AAAAAAAASVQ/uCc-3YAUJ2kNGfwYOCJeu12px3tbRUWlACLcBGAs/s1600/blog_npa_630.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="476" data-original-width="597" src="https://4.bp.blogspot.com/-X_7hiQhjhMA/WlkbPPY7c-I/AAAAAAAASVQ/uCc-3YAUJ2kNGfwYOCJeu12px3tbRUWlACLcBGAs/s1600/blog_npa_630.jpg" /></a></div>
<br />
Ждем методику оценки соответствия ГОСТ и критерии классификации уровней защиты. Думаю, что на Уральском Форуме представители Банка России поделятся информацией о сроках выпуска этих документов.<br />
<br />
<b>Ссылки</b><br />
<b><br /></b>
<a href="http://protect.gost.ru/document1.aspx?control=31&baseC=6&page=2&month=9&year=2017&search=&id=218176" target="_blank">ГОСТ Р 57580.1-2017 (постраничный pdf)</a><br />
<a href="http://allgosts.ru/03/060/gost_r_57580.1-2017" target="_blank"><br /></a>
<a href="http://allgosts.ru/03/060/gost_r_57580.1-2017" target="_blank">ГОСТ Р 57580.1-2017 (word после распознавания с небольшими неточностями)</a><br />
<br /></div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-63477463836867806072017-10-17T00:23:00.000-07:002017-10-17T07:09:17.225-07:00VPN ГОСТ в программе "Цифровая Экономика"<div dir="ltr" style="text-align: left;" trbidi="on">
Распоряжением №1632-р от 28 июля 2017 года Медведев утвердил программу "Цифровая Экономика РФ". Спустя два с небольшим месяца рассмотрим место отечественной криптографии в этом документе.<br />
<a name='more'></a><br />
<br />
<b>Задачи и структура документа</b><br />
<br />
Программа была подготовлена Минкомсвязи во исполнение перечня поручений Президента России по реализации Послания Федеральному Собранию (№Пр-2346 от 5 декабря 2016 года).<br />
<br />
Программой определены цели, задачи, направления и сроки реализации основных мер государственной политики по созданию необходимых условий для развития в России цифровой экономики.<br />
<br />
Основными сквозными цифровыми технологиями, которые входят в рамки настоящей Программы, являются:<br />
<br />
•<span style="white-space: pre;"> </span>большие данные;<br />
•<span style="white-space: pre;"> </span>нейротехнологии и искусственный интеллект;<br />
•<span style="white-space: pre;"> </span>системы распределенного реестра;<br />
•<span style="white-space: pre;"> </span>квантовые технологии;<br />
•<span style="white-space: pre;"> </span>новые производственные технологии;<br />
•<span style="white-space: pre;"> </span>промышленный интернет;<br />
•<span style="white-space: pre;"> </span>компоненты робототехники и сенсорика;<br />
•<span style="white-space: pre;"> </span>технологии беспроводной связи;<br />
•<span style="white-space: pre;"> </span>технологии виртуальной и дополненной реальностей.<br />
Предусматривается изменение перечня технологий по мере появление и развития новых.<br />
<br />
В целях управления развитием цифровой экономики настоящая Программа определяет цели и задачи в рамках 5 базовых направлений развития цифровой экономики в Российской Федерации на период до 2024 года. К базовым направлениям относятся:<br />
<br />
•<span style="white-space: pre;"> </span>нормативное регулирование,<br />
•<span style="white-space: pre;"> </span>кадры и образование,<br />
•<span style="white-space: pre;"> </span>формирование исследовательских компетенций и технических заделов,<br />
•<span style="white-space: pre;"> </span>информационная инфраструктура,<br />
•<span style="white-space: pre;"> </span>информационная безопасность.<br />
<br />
Центр компетенций по информационной безопасности в рамках программы будет создан при Сбербанке.<br />
<br />
В программе для каждого направления обозначена дорожная карта в формате "задача - веха - срок "<br />
<b><br /></b>
<b>Криптография</b><br />
<br />
Курс на импортозамещение и отечественную криптографию указан уже в общей части:<br />
<div>
<br /></div>
<blockquote class="tr_bq">
<blockquote class="tr_bq">
<i>Разработка и реализация мероприятий настоящей Программы базируется на основополагающих принципах информационной безопасности, включающих:</i></blockquote>
<blockquote class="tr_bq">
<i>•<span style="white-space: pre;"> </span>использование российских технологий обеспечения целостности, конфиденциальности, аутентификации и доступности передаваемой информации и процессов ее обработки;</i></blockquote>
<blockquote class="tr_bq">
<i>•<span style="white-space: pre;"> </span>преимущественное использование отечественного программного обеспечения и оборудования;</i></blockquote>
<blockquote class="tr_bq">
<i>•<span style="white-space: pre;"> </span>применение технологий защиты информации с использованием российских криптографических стандартов.</i></blockquote>
</blockquote>
Далее это отражено в дорожной карте.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-AXmGZ1liTpE/WeWqxTEkmWI/AAAAAAAAQbc/OJQUB4pyoxAHrtx5tF264EBH-vYcrb3VACEwYBhgL/s1600/1koap.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="122" data-original-width="1103" height="70" src="https://4.bp.blogspot.com/-AXmGZ1liTpE/WeWqxTEkmWI/AAAAAAAAQbc/OJQUB4pyoxAHrtx5tF264EBH-vYcrb3VACEwYBhgL/s640/1koap.png" width="640" /></a></div>
<br />
<br />
Имеются ввиду криптоалгоритмы ГОСТ, но пункт неоднозначный. Так как сертифицируются не криптографические алгоритмы, а средства криптографической защиты информации (СКЗИ), в которых эти алгоритмы используют. И соответствующая статья про их неиспользование в КоАП РФ уже есть:<br />
<br />
<blockquote class="tr_bq">
<blockquote class="tr_bq">
<i>КоАП РФ, Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям</i></blockquote>
<blockquote class="tr_bq">
<i><br /></i></blockquote>
<blockquote class="tr_bq">
<i>1. Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети "Интернет", если законодательством предусмотрена их обязательная сертификация, -</i></blockquote>
<blockquote class="tr_bq">
<i><br /></i></blockquote>
<blockquote class="tr_bq">
<i>влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц - от пятнадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц - от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.</i></blockquote>
</blockquote>
<br />
<br />
Также в документе указана конкретика по срокам перехода на отечественные криптоалгоритмы:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-JoRQUNkSVfY/WeWqxbGm5xI/AAAAAAAAQbk/DOfCY8hmpIMbd1lOF6fzckOyhk6GMUzYACEwYBhgL/s1600/2gotogost.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="121" data-original-width="1026" height="75" src="https://4.bp.blogspot.com/-JoRQUNkSVfY/WeWqxbGm5xI/AAAAAAAAQbk/DOfCY8hmpIMbd1lOF6fzckOyhk6GMUzYACEwYBhgL/s640/2gotogost.png" width="640" /></a></div>
<br />
<br />
Срок достаточно сжатый, c нынешней практикой и нормативной базой верится в него с трудом. Например, web ресурсы не спешат переходить на использование защищенного доступа с отечественными алгоритмами. Технические работающие варианты (браузер + криптобиблиотека) не легитимны, так как ни на одном браузере не проведена оценка корректности встраивания. Возможный выход из ситуации - так называемая гражданская криптография, для которой бы не требовался жесткий учет.<br />
<br />
<b>ЕАЭС</b><br />
<br />
Работа с нормативной базой ЕАЭС – отдельная задача с множеством пунктов.<br />
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-RrnImiNhKNY/WeWqxZVTVSI/AAAAAAAAQbg/bJy6usRmKg4Z8F3ma60f3jxvvzS8bkPOQCEwYBhgL/s1600/3export.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="610" data-original-width="1088" height="358" src="https://2.bp.blogspot.com/-RrnImiNhKNY/WeWqxZVTVSI/AAAAAAAAQbg/bJy6usRmKg4Z8F3ma60f3jxvvzS8bkPOQCEwYBhgL/s640/3export.png" width="640" /></a></div>
<br />
<br />
Надеюсь, что реализация этих планов приведет к взаимному признанию на межгосударственном уровне сертификатов соответствия средств защиты участниками ЕАЭС. Это позволит строить единое пространство доверия (оно также указано в сопутствующих пунктах) и обеспечить унификацию межгосударственных взаимодействий. Напомню, что сейчас вывезти СКЗИ за границу РФ не так просто, но <a href="http://alexanderveselov.blogspot.ru/2017/04/blog-post.html" target="_blank">возможно</a>.<br />
<br />
<b>Что еще интересного?</b><br />
<br />
1) В документе упоминаются квантовые технологии. В привязке к VPN можно рассматривать квантовое распределение ключевой информации. Сейчас уже есть прототипы от нескольких компаний.<br />
<br />
2) Много внимания уделяется ЦОД. Планируется российская сертификация ЦОД, которая может поставить крест на Tier и отправке всей информации о ЦОД за рубеж (требование данной сертификации). Также предусмотрено увеличения количества ЦОД в федеральных округах с 2 до 8 и создание государственной облачной платформы с постепенным переходом на неё госструктур.<br />
<br />
3) Введение ГТО по ИБ. Выполнил нормативы - получил преференцию (например, при поступлении в ВУЗ).<br />
<br />
<br />
PS Текст программы доступен по <a href="http://static.government.ru/media/files/9gFM4FHj4PsB79I5v7yLVuPgu4bvR7M0.pdf" target="_blank">ссылке</a><br />
<div>
<br /></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-39257262956211505622017-09-11T23:52:00.000-07:002018-10-17T08:26:02.327-07:00ГАММА. Как перестать использовать БиоДСЧ и начать жить<div dir="ltr" style="text-align: left;" trbidi="on">
Для работы средств криптографической защиты информации (СКЗИ) требуются случайные числа.<br />
<br />
Для большей части случаев пригодны псевдослучайные числа, которые получаются программным способом. Программная генерация псевдослучайных чисел производится путём преобразований действительно случайных чисел, которые нужны в значительно меньшем объёме.<br />
<br />
Случайные числа могут быть получены из следующих источников:<br />
<br />
<a name='more'></a><br />
<br />
•<span style="white-space: pre;"> </span><b>ФДСЧ</b> - физический (иногда его называют аппаратный) датчик случайных чисел, который обычно входит в состав аппаратно-программных модулей доверенной загрузки – «Соболь», «Аккорд-АМДЗ», «Криптон-Замок» и т.д.;<br />
•<span style="white-space: pre;"> </span><b>БиоДСЧ</b> – биологический ДСЧ, основанный на непредсказуемых параметрах реакции пользователя;<br />
<br />
В продуктах С-Терра требуется предоставление случайных чисел при инициализации устройства и при создании долговременного ключа подписи. Если в системе присутствует поддерживаемый ФДСЧ, всё происходит автоматически, без участия пользователя. А если используется только БиоДСЧ, то требуется участие пользователя.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://2.bp.blogspot.com/-IAmquOpN01w/WbeAJ55VyNI/AAAAAAAAQEo/ehJJ1HWERI0Vc5ayGZMr-dsznta7CZeswCLcBGAs/s1600/1cryptopro.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="226" data-original-width="314" src="https://2.bp.blogspot.com/-IAmquOpN01w/WbeAJ55VyNI/AAAAAAAAQEo/ehJJ1HWERI0Vc5ayGZMr-dsznta7CZeswCLcBGAs/s1600/1cryptopro.png" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">БиоДСЧ в КриптоПро CSP для Windows</td></tr>
</tbody></table>
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://4.bp.blogspot.com/-E26NP2OAbzA/Wbd-7llhrcI/AAAAAAAAQEQ/fgLArZGaDMkCLZ5j70i82nCI4-035kvYACEwYBhgL/s1600/2sterragate.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" data-original-height="253" data-original-width="356" height="227" src="https://4.bp.blogspot.com/-E26NP2OAbzA/Wbd-7llhrcI/AAAAAAAAQEQ/fgLArZGaDMkCLZ5j70i82nCI4-035kvYACEwYBhgL/s320/2sterragate.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">БиоДСЧ в С-Терра Шлюз ST</td></tr>
</tbody></table>
<br />
<div>
<div>
Если устройств много, то постоянно двигать мышкой и нажимать клавиши становится довольно тяжело. Этому есть отличная альтернатива – внешняя гамма. Она представляет собой заранее сформированную последовательность случайных чисел. </div>
<div>
<br /></div>
<div>
<b>Внешняя гамма является конфиденциальной, поэтому она должна передаваться на устройства доверенным способом и быть защищена при хранении. Использование гаммы значительно облегчает разворачивание и дальнейшее обслуживание СКЗИ, не имеющих ФДСЧ.</b></div>
<div>
<br /></div>
<div>
Далее рассмотрим варианты изготовления гаммы и примеры её использования в продуктах С-Терра.</div>
<div>
<b><br /></b></div>
<h3 style="text-align: left;">
<b>Изготовление гаммы с помощью КриптоПро CSP</b></h3>
</div>
<div>
<div>
<br /></div>
<div>
На компьютере с электронным замком «Соболь» должно быть установлено СКЗИ КриптоПро CSP класса защиты КС2 (далее на примере версии 4.0). В качестве ДСЧ должен быть указан Соболь.</div>
<div>
<br /></div>
<div>
Изготовление гаммы осуществляется утилитой genkpim.exe, которая входит в состав КриптоПро CSP. Утилита запускается из командной строки, запущенной с правами администратора, с аргументами: <b>genkpim.exe y n <p></b>, где</div>
<div>
<br /></div>
<div>
•<span style="white-space: pre;"> </span><b>y</b> – необходимое количество отрезков гаммы (для создания закрытого ключа шифрования используется не менее 2 отрезков, поэтому рекомендуется задавать число отрезков не ниже 10 в тестовом варианте, и, например, 1000 в реальных условиях);</div>
<div>
•<span style="white-space: pre;"> </span><b>n</b> – номер комплекта внешней гаммы (8 символов в 16-ричном коде), в общем случае любое шестнадцатеричное восьмизначное число, например 12345678;</div>
<div>
•<span style="white-space: pre;"> </span><b><p></b> - путь сохранения файлов гаммы (обратите внимание, что необходимо указывать <u>уже существующую директорию</u>);</div>
<div>
<br /></div>
<div>
Пример использования утилиты: </div>
<div>
<br /></div>
<blockquote class="tr_bq">
C:\Program Files (x86)\Crypto Pro\CSP>genkpim.exe 1000 12345678 C:\gamma\</blockquote>
<div>
<br /></div>
<div>
В результате выполнения утилиты создается заданное число отрезков гаммы, длинною по 36 байт каждый (32 байта отрезка случайной последовательности и 4 байта CRC к отрезку). В каталоге, указанном в атрибуте <p>, будет создано два каталога с именами db1 и db2, содержащие по одному файлу kis_1, данные файлы идентичны и дублируются для повышения надежности.</div>
<div>
<br /></div>
<div>
Для автоматизации создания большого количества файлов гаммы можно использовать скрипты.</div>
</div>
<div>
<br /></div>
<div>
<h3 style="text-align: left;">
Изготовление гаммы с помощью утилиты от С-Терра</h3>
<div>
<br /></div>
<div>
На компьютере с электронным замком «Соболь» или «Аккорд-АМДЗ» должен быть установлен S-Terra Client Admin Tool 4.2 ST.</div>
<div>
<br /></div>
<div>
Изготовление гаммы осуществляется утилитой egamma_gen.exe, которая входит в состав административного пакета. Утилита запускается из командной строки, запущенной с правами администратора, с атрибутами: egamma_gen -n <chunks number> -p <path>, где</div>
<div>
<br /></div>
<div>
•<span style="white-space: pre;"> </span><chunks number> – необходимое количество отрезков гаммы (для создания закрытого ключа шифрования используется не менее 2 отрезков, поэтому рекомендуется задавать число отрезков не ниже 10 в тестовом варианте, и, например, 1000 в реальных условиях);</div>
<div>
•<span style="white-space: pre;"> </span><p> - путь сохранения файлов гаммы (обратите внимание, что необходимо указывать уже существующую директорию);</div>
<div>
<br /></div>
<div>
Пример использования утилиты: </div>
<div>
<br /></div>
<blockquote class="tr_bq">
C:\Program Files (x86)\S-Terra Client AdminTool>egamma_gen.exe -n 1000 -p C:\gamma</blockquote>
<div>
<br /></div>
<div>
В результате выполнения утилиты создается заданное число отрезков гаммы, длинною по 36 байт каждый. В каталоге, указанном в атрибуте <p>, будет создан единственный файл с именем eg_data.</div>
<div>
<br /></div>
<div>
Для автоматизации создания большого количества файлов гаммы можно использовать скрипты.</div>
</div>
<div>
<br /></div>
<div>
<h3 style="text-align: left;">
Импорт гаммы в систему управления С-Терра КП</h3>
<div>
<i><br /></i></div>
<div>
<i>На сервере с установленной С-Терра КП рекомендуется использовать электронный замок для защиты от несанкционированного доступа (НСД) и формирования случайных чисел. Если защита от НСД обеспечивается административными мерами, то для формирования случайных чисел можно использовать гамму, созданную с помощью genkpim.exe.</i></div>
<div>
<br /></div>
<div>
На компьютере должны быть установлены С-Терра КП и КриптоПро CSP (далее на примере версий 4.2 и 4.0 соответственно). </div>
<div>
<br /></div>
<div>
Нужно запустить КриптоПро CSP с правами администратора, далее перейти Hardware -> Configure RNGs. В открывшемся окне Random number generators control нажмите Add… </div>
<div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-O0dQbzIvIhM/Wbd-7tTj7rI/AAAAAAAAQEc/hyukdye8A0MyF6_idUYqHlTRVhMPxjPoQCEwYBhgL/s1600/31.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="419" data-original-width="359" src="https://1.bp.blogspot.com/-O0dQbzIvIhM/Wbd-7tTj7rI/AAAAAAAAQEc/hyukdye8A0MyF6_idUYqHlTRVhMPxjPoQCEwYBhgL/s1600/31.png" /></a></div>
</div>
<div>
В окне мастера установки нажимаем Next. Затем выбираем Crypto-Pro LLC -> Crypto-Pro Source Data</div>
<div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-ioGiLswiqcU/Wbd-8Lb-s0I/AAAAAAAAQEc/AMV1ul-ss2E1lHoOBqyCMgDzXW-wAgjpACEwYBhgL/s1600/32.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="383" data-original-width="498" src="https://1.bp.blogspot.com/-ioGiLswiqcU/Wbd-8Lb-s0I/AAAAAAAAQEc/AMV1ul-ss2E1lHoOBqyCMgDzXW-wAgjpACEwYBhgL/s1600/32.png" /></a></div>
</div>
<div>
<br /></div>
<div>
Далее нужно задать имя и указать путь до файлов гаммы, созданных ранее. </div>
<div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-FTggs4j8c7Y/Wbd-8eYXiJI/AAAAAAAAQEc/zLgGu8KHd5wALrZqdU-0ZX_YnWy-8XqlQCEwYBhgL/s1600/33.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="384" data-original-width="501" src="https://2.bp.blogspot.com/-FTggs4j8c7Y/Wbd-8eYXiJI/AAAAAAAAQEc/zLgGu8KHd5wALrZqdU-0ZX_YnWy-8XqlQCEwYBhgL/s1600/33.png" /></a></div>
</div>
<div>
Теперь формировании и обновлении ключевой информации управляемых устройств будет использовать внешняя гамма.</div>
<div>
<br /></div>
<div>
Также данный способ подходит для других продуктов С-Терра, использующих КриптоПро CSP: S-Terra Client Admin Tool CP и S-Terra Client CP.</div>
</div>
<div>
<br />
<span style="color: red;">Дополнительно на систему управления нужно добавить гамму в формате ST. Делается аналогично S-Terra Client Admin Tool ST, подробнее об этом в следующем пункте.</span></div>
<div>
<h3 style="text-align: left;">
Импорт гаммы в S-Terra Client Admin Tool ST (для АРМ Администратора)</h3>
<div>
<br /></div>
<div>
На компьютере должна быть установлена утилита S-Terra Client Admin Tool (далее на примере версии 4.2 ST).</div>
<div>
<br /></div>
<div>
Создаем директорию C:\ProgramData\s-terra\ext-gamma</div>
<div>
<br /></div>
<div>
Копируем в эту папку файл eg_data, созданный с помощью egamma_gen.exe.</div>
<div>
<br /></div>
<div>
Если гамма создавалась с помощью genkpim.exe, то копируем в указанную выше папку один из файлов, например kis_1, и переименовываем его в eg_data.</div>
<div>
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-JNoRRbOUL_w/Wbd_yEQHfOI/AAAAAAAAQEk/qmlabpXKGL4qpsu4ux2BROyhLLu8hRU1wCLcBGAs/s1600/eg_data.png" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" data-original-height="187" data-original-width="642" height="184" src="https://1.bp.blogspot.com/-JNoRRbOUL_w/Wbd_yEQHfOI/AAAAAAAAQEk/qmlabpXKGL4qpsu4ux2BROyhLLu8hRU1wCLcBGAs/s640/eg_data.png" width="640" /></a></div>
<div>
<br /></div>
<div>
</div>
<div>
<br /></div>
<div>
Теперь при формировании ключевой информации будет использоваться внешняя гамма.</div>
<div>
<br /></div>
<h3 style="text-align: left;">
Импорт гаммы для установки С-Терра Клиент на АРМ Пользователя</h3>
<div>
<br /></div>
<div>
Перед установкой клиента (на примере 4.2 ST) действуем по аналогии с предыдущим вариантом.</div>
<div>
<br /></div>
<div>
Создаем директорию C:\ProgramData\s-terra\ext-gamma</div>
<div>
<br /></div>
<div>
Копируем в эту папку файл eg_data, созданный с помощью egamma_gen.exe.</div>
<div>
<br /></div>
<div>
Если гамма, создавалась с помощью genkpim.exe, то копируем в указанную выше папку один из файлов, например kis_1, и переименовываем его в eg_data.</div>
<div>
<br /></div>
<div>
Устанавливаем клиент из ранее созданного дистрибутива. При установке для инициализации будет использоваться внешняя гамма.</div>
<div>
<br /></div>
<h3 style="text-align: left;">
Импорт гаммы на С-Терра Шлюз</h3>
<div>
<br /></div>
<div>
Копируем в директорию шлюза (на примере 4.2 ST) /var/s-terra/ext-gamma файл eg_data, созданный с помощью egamma_gen.exe.</div>
<div>
<br /></div>
<div>
Если гамма создавалась с помощью genkpim.exe, то копируем в указанную выше папку один из файлов, например kis_1, и переименовываем его в eg_data.</div>
<div>
<br /></div>
<div>
Теперь при инициализации и формировании ключевой информации будет использоваться внешняя гамма.</div>
<div>
<br /></div>
</div>
<div>
<i><b>P.S. В версии 4.2ST появилась утилита excont_mgr set_gamma, которая может установить гамма-материал. При её использовании не требуется ручное копирование и переименование файлов.</b></i><br />
<i><b><br /></b></i>
<b><i>P.P.S. Пример гаммы доступен по <a href="https://cloud.s-terra.com/index.php/s/70c1NmxoeWflToD" target="_blank">ссылке</a>. ВНИМАНИЕ: она может быть использована исключительно в тестовых целях, использовать её в продуктивной среде категорически запрещается.</i></b></div>
<div>
<br /></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-11702023450626053782017-06-19T06:31:00.000-07:002018-10-17T08:26:38.640-07:00VPN ГОСТ между несколькими организациями<div dir="ltr" style="text-align: left;" trbidi="on">
Взаимодействие двух и более организаций между собой – обычное дело. В различных вариантах сотрудничества одна организация может передавать другой какую-либо информацию, которая требует обязательной защиты, например, ПДн. Естественно, это делается не на бумажных носителях, а в электронном виде через интернет, а значит без защиты данных не обойтись. Реализовать защиту можно с помощью шифрования файлов - CMS (Cryptographic Message Syntax) или шифрования трафика – VPN (Virtual Private Network). В заметке пойдет речь о реализации второго варианта.<br />
<br />
<a name='more'></a><div>
Далее рассмотрим варианты организации такого взаимодействия между несколькими юридическими лицами и требования к участникам в каждом их них. Сразу скажу, что в рамках данной заметки все участники находятся на территории РФ, про экспорт СКЗИ есть <a href="http://alexanderveselov.blogspot.ru/2017/04/blog-post.html" target="_blank">отдельная заметка</a>.</div>
<div>
<br /></div>
<div>
Основываться будем на следующих документах:</div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Федеральный закон от 04.05.2011 N 99-ФЗ (ред. от 30.12.2015) "О лицензировании отдельных видов деятельности</div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>"Постановлении Правительства Российской Федерации от 16 апреля 2012 г. N 313 г. Москва "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".</div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Кодекс Российской Федерации об административных правонарушениях.</div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Уголовный кодекс Российской Федерации.</div>
<div>
<br /></div>
<div>
<div>
Первое, что понадобится организациям – VPN продукты. Совместимость между отечественными вендорами пока редкость – она есть буквально у нескольких производителей и только в определенных режимах. Поэтому зачастую всем участникам взаимодействия придется приобрести продукты одного производителя. При этом возможны два варианта закупки:</div>
<div>
<br /></div>
<div>
1.1.<span class="Apple-tab-span" style="white-space: pre;"> </span>Каждая организация приобретает продукт на свой баланс самостоятельно.</div>
<div>
<br /></div>
<div>
1.2.<span class="Apple-tab-span" style="white-space: pre;"> </span>Одна из организаций (назовем её головной) приобретает некоторый пул продуктов и передает их другим участникам взаимодействия по мере необходимости.</div>
<div>
<br /></div>
<div>
Во втором случае головная организация фактически оказывает другим участникам услугу по передаче СКЗИ, которая является одним из лицензируемых видов работ и услуг в рамках упомянутой в ПП313 деятельности (пункт 21 приложения к утвержденному Положению). В соответствии с этим головной организации необходима лицензия ФСБ России с соответствующим пунктом.</div>
<div>
<br /></div>
<div>
Второе – ключевая информация. Также возможны два варианта:</div>
<div>
<br /></div>
<div>
2.1.<span class="Apple-tab-span" style="white-space: pre;"> </span>Головная организация готовит ключевую информацию и передает другим участникам. И при этом попадает под лицензирование – ПП 313 (пункт 28 приложения к утвержденному Положению).</div>
<div>
<br /></div>
<div>
2.2.<span class="Apple-tab-span" style="white-space: pre;"> </span>Все участники для формирования ключевой информации пользуются услугами сторонней организации (например, УЦ), который обладает лицензией ФСБ России (пункт 28). Обратите внимание, что некоторые вендоры VPN не поддерживают использование стороннего УЦ, так как имеют только свой собственный, встроенный в систему управления.</div>
<div>
<br /></div>
<div>
Пункты из первого и второго блока можно комбинировать между собой.</div>
</div>
<div>
<br /></div>
<div>
<div>
Наиболее часто встречающиеся случаи:</div>
<div>
<br /></div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Каждая организация приобретает продукты самостоятельно (конкретного вендора указывает головная компания), ключевую информацию распространяет головная организация (либо дочерняя сервисная компания, либо интегратор), имеющая лицензию ФСБ России (пункт 28). Подходит для крупных головных компаний.</div>
<div>
<br /></div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Каждая организация приобретает продукты самостоятельно (выбор вендора осуществляется по согласованию), ключевую информацию участники приобретают у стороннего УЦ (если VPN продукт имеет техническую возможность). Лицензий ФСБ организациям-участникам не требуется. Подходит для небольших компаний.</div>
<div>
<br /></div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Особняком стоит вариант с госсектором. Зачастую ведомство закупает СКЗИ и распространяет по своим подведомственным учреждениям на их баланс. Это явно указывается в конкурсной документации (например, <a href="http://zakupki.gov.ru/pgz/public/action/orders/info/common_info/show?source=epz&notificationId=3941368" target="_blank">закупка АПКШ Континент в Минюсте</a> или <a href="http://zakupki.gov.ru/pgz/public/action/orders/info/common_info/show?notificationId=4231578" target="_blank">ViPNet Terminal в медицине Тульской области</a>). Правомерны ли такие действия, если у ведомства нет лицензии – отдельный вопрос, на который у меня однозначного ответа нет.</div>
</div>
<div>
<br /></div>
<div>
За нарушение лицензирования предусмотрена административная и уголовная ответственность:</div>
<blockquote class="tr_bq">
<blockquote class="tr_bq">
КоАП РФ, Статья 13.13. Незаконная деятельность в области защиты информации</blockquote>
<blockquote class="tr_bq">
1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - <b>от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой</b>.</blockquote>
</blockquote>
<br />
<blockquote class="tr_bq">
<blockquote class="tr_bq">
УК РФ, Статья 171. Незаконное предпринимательство</blockquote>
</blockquote>
<blockquote class="tr_bq">
<blockquote class="tr_bq">
1. Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо арестом на срок до шести месяцев.</blockquote>
</blockquote>
<blockquote class="tr_bq">
<blockquote class="tr_bq">
2. То же деяние:</blockquote>
</blockquote>
<blockquote class="tr_bq">
<blockquote class="tr_bq">
а) совершенное организованной группой; </blockquote>
</blockquote>
<blockquote class="tr_bq">
<blockquote class="tr_bq">
б) сопряженное с извлечением дохода в особо крупном размере,</blockquote>
</blockquote>
<blockquote class="tr_bq">
<blockquote class="tr_bq">
наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового.</blockquote>
</blockquote>
<blockquote class="tr_bq">
<blockquote class="tr_bq">
УК РФ, Статья 170.2 Крупным размером, крупным ущербом, доходом либо задолженностью в крупном размере признаются стоимость, ущерб, доход либо задолженность в сумме, превышающей два миллиона двести пятьдесят тысяч рублей, а особо крупным - девять миллионов рублей.</blockquote>
</blockquote>
<div>
<div>
Обзоры судебной практики по статье 13.13 КоАП «Незаконная деятельность в области защиты информации» от Виталия Кривоноса: <a href="http://nos313.blogspot.ru/2017/02/1313.html" target="_blank">часть1</a> и <a href="http://nos313.blogspot.ru/2017/03/13.html" target="_blank">часть2</a>.</div>
<div>
<br /></div>
<div>
Размеры штрафов весьма скромные, но стоит обратить внимание на возможность конфискации СКЗИ. Это будет означать остановку ряда бизнес-процессов и может повлечь более серьезные финансовые потери.</div>
</div>
<div>
<br /></div>
<blockquote class="tr_bq">
</blockquote>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com4tag:blogger.com,1999:blog-1039966563302727774.post-64377945688285534172017-04-18T10:00:00.000-07:002018-10-17T08:26:50.197-07:00Экспорт СКЗИ<div dir="ltr" style="text-align: left;" trbidi="on">
В этом году на Рускрипто был интересный доклад Валерия Комарова об организации защищенных каналов связи с зарубежными представительствами. Валерий трудится в компании РТ-Информ (Ростех), но выступал как независимый эксперт. Его доклад был посвящен проблемам, с которыми он столкнулся при попытке вывезти СКЗИ за пределы РФ. Речь шла о VPN-продукте Кода Безопасности – Континент АП, который вывезти не удалось.<br />
<br />
<a name='more'></a>Причины неудачи мне достоверно не известны, предположений делать не буду. В заметке рассмотрим алгоритм действий при вывозе СКЗИ без нотификации и опыт вывоза продуктов С-Терра.<br />
<br />
<b>Для начала небольшой ликбез об экспорте СКЗИ</b><br />
<br />
По своим техническим характеристикам СКЗИ, сертифицированные ФСБ России (далее под СКЗИ будут пониматься именно такие) попадают в категорию товаров двойного назначения. Список таких товаров утвержден Указом Президента России № 1661 от 2011 года (с изменениями в 2014 году, Указ № 519). Кто захочет найти соответствующие позиции в названном Списке – это раздел 1, категория 5, часть 2, под названием «Средства защиты».<br />
<br />
Поэтому при экспорте СКЗИ применяются процедуры экспортного контроля. Согласно N 183-ФЗ «Об экспортном контроле» и принятому в исполнение этого закона ПП №447, это означает, что, помимо выполнения требований таможенного законодательства, для вывоза СКЗИ из РФ потребуется получение лицензии на экспорт, выдаваемой ФСТЭК - Федеральной службой по экспортному контролю. На практике обычно - это разовая лицензия на экспорт, под конкретную поставку.<br />
<br />
Условия получения указанной лицензии:<br />
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Заявку может подать только российский участник внешнеэкономической деятельности. В заявке должно быть указано какое СКЗИ, в каком количестве, по какому договору, в какую страну и кому конкретно (в т.ч. посредник, если таковой есть, и конечный пользователь) поставляется.<br />
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Наличие у заявителя лицензии ФСБ на распространение СКЗИ. Во ФСТЭК предоставляется ее копия.<br />
<br />
Заявление о выдаче разовой лицензии и представленные документы рассматриваются Комиссией по экспортному контролю Российской Федерации. Организационно-техническое и информационное обеспечение ее деятельности осуществляет ФСТЭК России, но Комиссия эта – межведомственная. В ней представлена и Федеральная служба безопасности. Можно предположить, что позиция ФСБ, как регулятора в сфере разработки, производства и распространения СКЗИ, при рассмотрении заявлений имеет решающее значение. Срок выдачи лицензии – до 45 суток с момента получения ФСТЭК всего предусмотренного нормативными положениями пакета документов. За оформление взимается государственная пошлина в размере 6000 рублей.<br />
<br />
Далее таможенное оформление, для которого обычно привлекают специализированную организацию - таможенного брокера (представителя) и таможенного перевозчика (это может быть и одна и та же фирма). Для стран, входящих в Евразийский экономический союз, таможенного оформления, как такового, не требуется.<br />
<br />
И последний этап - ввоз в другую страну. На практике, в стране, куда осуществляется поставка, оформление ввоза СКЗИ, должно осуществляться местным резидентом согласно действующим там требованиям законодательства. Например, в Белоруссии требуется получение разрешения ОАЦ.<br />
<br />
<i>Не обошлось без исключений. Законодательством допускается <a href="http://fstec.ru/eksportnyj-kontrol/zakonodatelstvo/100-prikazy/935-prikaz-fstek-rossii-ot-4-maya-2012-g-n-51" target="_blank">(п. 2.3 часть 3)</a> возможность вывоза из России контролируемых товаров и без лицензий, но только если они вывозятся без передачи иностранному лицу (например, для демонстрации на выставках или использования для собственных нужд), при условии, что товары будут оставаться под непосредственным контролем российского лица, осуществляющего их вывоз, и будут возвращены в Россию в установленные сроки. В этом случае оформляется <u>разрешение</u> ФСТЭК. </i><br />
<br />
<br />
<b>Альтернативный путь - Евразийский Экономический Союз</b><br />
<b><br /></b>
Россия входит в состав Евразийского Экономического Союза. Страны-участники применяют единые таможенные тарифы и другие меры регулирования при торговле с другими странами. Руководящим наднациональным органом является Евразийская экономическая комиссия.<br />
<br />
Рассмотрим почему Решение Коллегии Евразийской экономической комиссии от 21.04.2015г. № 30 (ред. от 16.01.2017г.) «О мерах нетарифного регулирования» не применимо для экспорта СКЗИ.<br />
<br />
В указанном решении есть «Положение о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (приложение № 9)», которым казалось бы нужно руководствоваться при вывозе СКЗИ. Но не все так просто. Данное Решение применяется для ввоза на территорию Евразийского экономического союза криптографических средств или экспорта криптосредств, которые по своим техническим характеристикам не попадают в список, утвержденный Указом Президента России № 1661.<br />
<br />
Для товаров двойного назначения применяется другое решение: Решение Межгосударственного совета Евразийского экономического сообщества от 5 июля 2010 г. N 52 «Об экспортном контроле государств-членов таможенного союза», которое говорит о том, что до введения в действие документов, регламентирующих экспортный контроль, <b>применяется национальное законодательство</b>.<br />
<br />
Далее сообщество трансформировалось в союз, но ситуацию это не изменило. Кстати, при переименовании произошла <a href="http://www.kommersant.ru/doc/3001073" target="_blank">путаница с аббревиатурами</a>.<br />
<br />
На всякий случай отправили вопрос во ФСТЭК и получили ожидаемый ответ - указанное выше решение № 52 является действующим.<br />
<br />
<b>Наш опыт – вывоз продуктов С-Терра</b><br />
<br />
У С-Терры есть отдельная линейка экспортных продуктов. В предыдущей версии (3.1) это был только шлюз, в текущей (4.1) – <a href="https://www.s-terra.ru/products/catalog/s-terra-shlyuz-e/" target="_blank">шлюз</a>, <a href="https://www.s-terra.ru/products/catalog/s-terra-virtualnyy-shlyuz-e/" target="_blank">виртуальный шлюз</a> и <a href="https://www.s-terra.ru/products/catalog/s-terra-klient-e/" target="_blank">клиент под windows</a>. Данная линейка сертифицирована в ФСБ России как СКЗИ по классу КС1, причем в формуляре указывается:<br />
<br />
<blockquote class="tr_bq">
<i>эксплуатация допускается как на территории Российской Федерации, так и за её пределами</i></blockquote>
<br />
Это не отменяет необходимость получения разовой лицензии ФСТЭК, но значительно облегчает получение одобрения на вывоз от комиссии по экспортному контролю. Далее процедура стандартная. У партнеров есть успешный опыт вывоза экспортной линейки С-Терра в Индию, Кипр, Беларусь, Казахстан, Киргизию и Таджикистан.<br />
<div>
<br /></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com1tag:blogger.com,1999:blog-1039966563302727774.post-78417930836768302092017-03-05T22:23:00.000-08:002018-10-17T08:27:05.259-07:00Про VPN в проекте ГОСТ «Защита информации финансовых организаций» <div dir="ltr" style="text-align: left;" trbidi="on">
На данный момент отраслевой стандарт для финансового сектора СТО БР носит рекомендательный характер. В следующем году планируется его перевод в ГОСТ и обязательное выполнение всеми финансовыми организациями.<br />
<br />
<a name='more'></a><br />
Рассмотрим, как изменятся требования по использованию VPN после принятия ГОСТ "ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ", содержащего Базовый состав организационных и технических мер защиты информации.<br />
<br />
На данный момент документ находится в статусе проекта и <a href="http://www.tk122.ru/pk1/private/docs/" target="_blank">доступен</a> на сайте технического комитета №122.<br />
<br />
<b>Основные моменты</b><br />
<br />
<u>Для кого:</u><br />
<blockquote class="tr_bq">
<i>Положения настоящего стандарта предназначены для использования кредитными организациями и некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)»</i></blockquote>
<br />
<u>О чем:</u><br />
<u><br /></u>
Устанавливает три уровня защиты информации и состав мер для каждого из них.<br />
<br />
<blockquote class="tr_bq">
<i>Определены три уровня защиты информации:<br />- уровень 3 – минимальный;<br />- уровень 2 – стандартный;<br />- уровень 1 – усиленный.</i></blockquote>
<br />
<blockquote class="tr_bq">
<i>Установлены три варианта реализации меры:<br />- «О» – реализация путем применения организационной меры защиты информации;<br />- «Т» – реализация путем применения технической меры защиты информации;<br />- «Н» – реализация, является необязательной.</i></blockquote>
<br />
<u>Как определить уровень защиты:</u><br />
<blockquote class="tr_bq">
<i>Уровень защиты информации финансовой организации для конкретной области применения устанавливается нормативными актами Банка России и зависит от:<br />- вида деятельности финансовой организации, состава реализуемых бизнес-процессов и (или) технологических процессов;<br />- объема финансовых операций;<br />- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;<br />- значимости финансовой организации для финансового рынка и национальной платежной системы.</i></blockquote>
<br />
О каких актах Банка России идет речь выше, пока не понятно. Зато указано как соотнести уровни данного документа с уровнями защищенности ПДн из ПП1119:<br />
•<span class="Apple-tab-span" style="white-space: pre;"> </span>2 стандартный = УЗ3, УЗ4;<br />
•<span class="Apple-tab-span" style="white-space: pre;"> </span>1 усиленный = УЗ1, УЗ2.<br />
<br />
<b>Реализация мер в части СКЗИ</b><br />
<br />
Как и ранее в СТО БР финансовая организация самостоятельно определяет необходимость использования СКЗИ. Например, вместо VPN-туннеля можно реализовать защиту канала связи между двумя соседними зданиями с помощью сотрудников ЧОП:<br />
<br />
<blockquote class="tr_bq">
<i>6.14 Финансовая организация самостоятельно определяет необходимость использования средств криптографической защиты информации (СКЗИ), если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации, в том числе нормативными актами Банка России, и (или) правилами платежной системы.</i></blockquote>
<br />
В разделе «7. Требования к системе защиты информации» перечислены меры защиты и варианты реализаций для различных уровней. Раздел разбит на процессы, некоторые из них – на подпроцессы.<br />
<div>
<br /></div>
<div>
<div>
Процесс 2 «Обеспечение защиты вычислительных сетей»</div>
<div>
Подпроцесс «Защита информации, передаваемой по вычислительным сетям»</div>
</div>
<div>
<table border="1" cellpadding="0" cellspacing="0" class="MsoNormalTable" style="border-collapse: collapse; border: none; mso-border-alt: solid windowtext .5pt; mso-border-insideh: .5pt solid windowtext; mso-border-insidev: .5pt solid windowtext; mso-padding-alt: 2.85pt 2.85pt 0cm 2.85pt; mso-table-layout-alt: fixed; mso-yfti-tbllook: 1184; width: 100%px;">
<thead>
<tr>
<td rowspan="2" style="border-bottom: double windowtext 1.5pt; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-bottom-alt: double windowtext 1.5pt; padding: 2.85pt 2.85pt 0cm 2.85pt; width: 15.02%;" width="15%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">Условное
обозначение и номер меры<o:p></o:p></span></div>
</td>
<td colspan="2" rowspan="2" style="border-bottom: double windowtext 1.5pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-bottom-alt: double windowtext 1.5pt; mso-border-left-alt: solid windowtext .5pt; padding: 2.85pt 2.85pt 0cm 2.85pt; width: 65.32%;" width="65%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">Содержание
мер системы защиты информации<o:p></o:p></span></div>
</td>
<td colspan="4" style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 2.85pt 2.85pt 0cm 2.85pt; width: 19.66%;" valign="top" width="19%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">Уровень
защиты информации<o:p></o:p></span></div>
</td>
</tr>
<tr>
<td style="border-bottom: double windowtext 1.5pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-bottom-alt: double windowtext 1.5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 2.85pt 2.85pt 0cm 2.85pt; width: 7.6%;" width="7%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">3<o:p></o:p></span></div>
</td>
<td colspan="2" style="border-bottom: double windowtext 1.5pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-bottom-alt: double windowtext 1.5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 2.85pt 2.85pt 0cm 2.85pt; width: 7.0%;" width="7%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">2<o:p></o:p></span></div>
</td>
<td style="border-bottom: double windowtext 1.5pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-bottom-alt: double windowtext 1.5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 2.85pt 2.85pt 0cm 2.85pt; width: 5.06%;" width="5%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">1<o:p></o:p></span></div>
</td>
</tr>
</thead>
<tbody>
<tr>
<td colspan="2" style="border-top: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 15.08%;" valign="top" width="15%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">ЗВС.3</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 65.26%;" valign="top" width="65%"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Защита информации от раскрытия и модификации, применение двухсторонней
аутентификации с применение СКЗИ при ее передаче с использованием сети
Интернет, телекоммуникационных каналов и (или) линий связи, не контролируемых
финансовой организацией</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 7.6%;" width="7%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Н</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.68%;" width="6%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Н</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td colspan="2" style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 5.38%;" width="5%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<b><span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Т</span></b><b><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></b></div>
</td>
</tr>
<!--[if !supportMisalignedColumns]-->
<tr height="0">
<td style="border: none;" width="124"></td>
<td style="border: none;" width="1"></td>
<td style="border: none;" width="452"></td>
<td style="border: none;" width="51"></td>
<td style="border: none;" width="44"></td>
<td style="border: none;" width="2"></td>
<td style="border: none;" width="34"></td>
</tr>
<!--[endif]-->
</tbody></table>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span style="font-family: "times new roman" , serif;">Процесс 7 «Защита среды виртуализации»</span></div>
<table border="0" cellpadding="0" cellspacing="0" class="MsoNormalTable" style="border-collapse: collapse; mso-padding-alt: 2.5pt 2.5pt 2.5pt 2.5pt; mso-yfti-tbllook: 1184; width: 100%px;">
<tbody>
<tr>
<td style="border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 15.1%;" valign="top" width="15%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">ЗСВ.19</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-left: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 65.26%;" valign="top" width="65%"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Запрет на копирование текущих образов виртуальных машин использующих
СКЗИ, с загруженными криптографическими ключами</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-left: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 8.02%;" width="8%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<b><span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Т</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></b></div>
</td>
<td style="border-left: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.34%;" width="6%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<b><span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Т</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></b></div>
</td>
<td style="border-left: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 5.28%;" width="5%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;"><b>Т</b></span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
</tr>
</tbody></table>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span style="font-family: "times new roman" , serif;">Процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств»</span></div>
<table border="0" cellpadding="0" cellspacing="0" class="MsoNormalTable" style="border-collapse: collapse; mso-padding-alt: 2.5pt 2.5pt 2.5pt 2.5pt; mso-yfti-tbllook: 1184; width: 100%px;">
<tbody>
<tr>
<td style="border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 15.1%;" valign="top" width="15%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">ЗУД.5</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-left: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 65.26%;" valign="top" width="65%"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Реализация защиты информации от раскрытия и модификации, двухсторонняя
аутентификация участников информационного обмена с применение СКЗИ</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-left: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 7.86%;" width="7%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Н</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-left: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 5.8%;" width="5%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Н</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-left: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 5.98%;" width="5%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<b><span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Т</span></b><b><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></b></div>
</td>
</tr>
</tbody></table>
</div>
<div>
<br /></div>
<div>
<div>
Таким образом, необходимость использования СКЗИ указана только для 1 уровня защиты.</div>
<div>
<br /></div>
<div>
Далее в разделе «8 Требования к организации и управлению защитой информации» указаны основные этапы жизненного цикла и принципы построения системы защиты, а также базовый состав защитных мер. </div>
<div>
<br /></div>
<blockquote class="tr_bq">
<i>8.3.1 Деятельность в рамках направления «реализация» выполняется по результатам выполнения направлений «планирование» и (или) «совершенствование» (см. 8.2 и 8.5 соответственно).</i></blockquote>
<blockquote class="tr_bq">
<i> В рамках направления «реализация» финансовая организация обеспечивает:</i></blockquote>
<blockquote class="tr_bq">
<i>...</i></blockquote>
<blockquote class="tr_bq">
<i>- применение средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации;</i></blockquote>
<div>
<br /></div>
<div>
В явном виде указано использование сертифицированных средств защиты. Конкретика указана в выдержках из таблицы с базовым составом мер.</div>
<div>
<br /></div>
<div>
Базовый состав мер по реализации системы защиты информации</div>
</div>
<div>
<table border="1" cellpadding="0" cellspacing="0" class="MsoNormalTable" style="border-collapse: collapse; border: none; mso-border-alt: solid windowtext .5pt; mso-border-insideh: .5pt solid windowtext; mso-border-insidev: .5pt solid windowtext; mso-padding-alt: 1.4pt 2.85pt 0cm 2.85pt; mso-table-layout-alt: fixed; mso-yfti-tbllook: 480; width: 100%px;">
<thead>
<tr style="height: 12.0pt; mso-yfti-firstrow: yes; mso-yfti-irow: 0;">
<td rowspan="2" style="border-bottom: double windowtext 1.5pt; border: solid windowtext 1.0pt; height: 12.0pt; mso-border-alt: solid windowtext .5pt; mso-border-bottom-alt: double windowtext 1.5pt; padding: 1.4pt 2.85pt 0cm 2.85pt; width: 14.9%;" width="14%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">Условное
обозначение и номер меры<o:p></o:p></span></div>
</td>
<td rowspan="2" style="border-bottom: double windowtext 1.5pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: solid windowtext 1.0pt; height: 12.0pt; mso-border-alt: solid windowtext .5pt; mso-border-bottom-alt: double windowtext 1.5pt; mso-border-left-alt: solid windowtext .5pt; padding: 1.4pt 2.85pt 0cm 2.85pt; width: 66.98%;" width="66%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">Меры
защиты информации<o:p></o:p></span></div>
</td>
<td colspan="3" style="border-left: none; border: solid windowtext 1.0pt; height: 12.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 1.4pt 2.85pt 0cm 2.85pt; width: 18.12%;" valign="top" width="18%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">Уровень
защиты информации<o:p></o:p></span></div>
</td>
</tr>
<tr style="height: 12.0pt; mso-yfti-irow: 1;">
<td style="border-bottom: double windowtext 1.5pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 12.0pt; mso-border-alt: solid windowtext .5pt; mso-border-bottom-alt: double windowtext 1.5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 1.4pt 2.85pt 0cm 2.85pt; width: 6.08%;" width="6%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">3<o:p></o:p></span></div>
</td>
<td style="border-bottom: double windowtext 1.5pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 12.0pt; mso-border-alt: solid windowtext .5pt; mso-border-bottom-alt: double windowtext 1.5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 1.4pt 2.85pt 0cm 2.85pt; width: 6.04%;" width="6%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">2<o:p></o:p></span></div>
</td>
<td style="border-bottom: double windowtext 1.5pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; height: 12.0pt; mso-border-alt: solid windowtext .5pt; mso-border-bottom-alt: double windowtext 1.5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 1.4pt 2.85pt 0cm 2.85pt; width: 6.0%;" width="6%"><div class="MsoMessageHeader">
<span style="font-family: "times new roman" , serif;">1<o:p></o:p></span></div>
</td>
</tr>
</thead>
<tbody>
<tr>
<td style="border-top: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 14.9%;" valign="top" width="14%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">РЗИ.14</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 66.98%;" valign="top" width="66%"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Применение СКЗИ имеющие класс не ниже КС2</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.08%;" width="6%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Н</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.04%;" width="6%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Н</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.0%;" width="6%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<b><span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Т</span></b><b><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></b></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 14.9%;" valign="top" width="14%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">РЗИ.11</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 66.98%;" valign="top" width="66%"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Применение средств защиты информации, прошедших оценку соответствия в
форме обязательной сертификации на соответствие требованиям по безопасности
информации:</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">- средств вычислительной техники, за исключением средств (систем)
защиты информации от несанкционированного доступа, не ниже шестого класса;</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">-<b> систем обнаружения вторжений и средств антивирусной защиты не
ниже пятого класса защиты;</b></span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<b><span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">- межсетевых экранов не ниже четвертого класса</span></b><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.08%;" width="6%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Н</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.04%;" width="6%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;"><b>Т</b></span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.0%;" width="6%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Н</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 14.9%;" valign="top" width="14%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">РЗИ.12</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 66.98%;" valign="top" width="66%"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Применение средств защиты информации, прошедших оценку соответствия в
форме обязательной сертификации на соответствие требованиям по безопасности
информации:</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">- средств вычислительной техники, за исключением средств (систем)
защиты информации от несанкционированного доступа, не ниже пятого класса;</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">- средств (системы) защиты информации от несанкционированного доступа
не ниже четвертого класса;</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<b><span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">- систем обнаружения вторжений и средств антивирусной защиты не ниже
четвертого класса защиты;</span></b><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<b><span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">- межсетевых экранов не ниже четвертого класса</span></b><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.08%;" width="6%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Н</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.04%;" width="6%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Н</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.0%;" width="6%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;"><b>Т</b></span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid #010101 1.0pt; mso-border-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 14.9%;" valign="top" width="14%"><div align="center" class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-align: center;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">РЗИ.13</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid #010101 1.0pt; border-left: none; border-right: solid #010101 1.0pt; border-top: none; mso-border-alt: solid #010101 .75pt; mso-border-left-alt: solid #010101 .75pt; mso-border-top-alt: solid #010101 .75pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 66.98%;" valign="top" width="66%"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; text-indent: 14.2pt;">
<span style="color: #010101; font-family: "times new roman" , serif; font-size: 10.0pt;">Применение при взаимодействии с информационно-телекоммуникационной сетью
Интернет межсетевых экранов, прошедших оценку соответствия в форме
обязательной сертификации на соответствие требованиям по безопасности информации,
не ниже третьего класса</span><span style="font-family: "times new roman" , serif; font-size: 12.0pt;"><o:p></o:p></span></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.08%;" width="6%"><div class="a0">
Н<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.04%;" width="6%"><div class="a0">
<b>Т</b><o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-bottom-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-right-alt: solid windowtext .5pt; padding: 2.5pt 2.5pt 2.5pt 2.5pt; width: 6.0%;" width="6%"><div class="a0">
<b>Т</b><o:p></o:p></div>
</td>
</tr>
</tbody></table>
</div>
<div>
<br /></div>
<div>
<div>
Итого:</div>
<div>
<br /></div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Уровень защиты информации финансовой организации устанавливается нормативными актами Банка России;</div>
<div>
<br /></div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Использование СКЗИ, сертифицированных по классу не ниже КС2, обязательно для обеспечения 1 уровня защищенности при защите каналов связи и защите удаленного доступа (и не только для ПДн);</div>
<div>
<br /></div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Использование сертифицированных СКЗИ необязательно для обеспечения 2 и 3 уровня защищенности при защите каналов связи и защите удаленного доступа (если это не противоречит другим НПА, в частности - по защите ПДн);</div>
<div>
<br /></div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Если СКЗИ используется в виртуальной среде, то необходимы дополнительные меры защиты (упомянул только запрет копирования, всего в 7 процессе 41 мера защиты);</div>
<div>
<br /></div>
<div>
•<span class="Apple-tab-span" style="white-space: pre;"> </span>Регламентировано применение сертифицированных межсетевых экранов и систем обнаружения вторжений, которые довольно часто входят в состав VPN-продуктов, являющихся СКЗИ. Указана сертификация по старым требованиям ФСТЭК, но документ еще в статусе проекта, поэтому ждем обновления в новых версиях.</div>
</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com1tag:blogger.com,1999:blog-1039966563302727774.post-64309349849730874462017-01-11T22:38:00.000-08:002018-10-17T08:27:30.900-07:00VPN Ports<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span style="font-family: "times new roman" , "serif"; font-size: 12.0pt;">VPN
подразумевает шифрование трафика и его дальнейшую инкапсуляцию в один из
протоколов транспортного уровня с определенным номером порта. Если между
партнерами по VPN соединению есть межсетевые экраны, то на них нужно сделать
дополнительные правила для прохождения шифрованного трафика.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span style="font-family: "times new roman" , "serif"; font-size: 12.0pt;"></span></div>
<a name='more'></a><br />
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span style="font-family: "times new roman" , "serif"; font-size: 12.0pt; line-height: 107%;">Если VPN
протокол проприетарный, то необходимую для правил информацию декларирует
производитель. Причем многие производители не регистрируют порты в IANA (Internet
Assigned Numbers Authority — «Администрация адресного пространства Интернет»),
а иногда вообще используют из динамического диапазона (например, UDP 55777
для ViPNet). В ряде случаев, порты могут меняться от версии к версии, как у
проприетарного протокола Кода Безопасности. Там их, кстати, довольно много - 16 штук (<a href="http://www.securitycode.ru/_upload/editor_files/documentation/continent_3_7/ReleaseNotes.pdf" target="_blank">Таблица на стр. 16-17</a>). </span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span style="font-family: "times new roman" , "serif"; font-size: 12.0pt; line-height: 107%;"><br /></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span style="font-family: "times new roman" , "serif"; font-size: 12.0pt;">Со стандартными
протоколами все гораздо лучше. Для SSL/TLS правила обычно уже есть по-умолчанию
и в дополнительных действиях нет необходимости. Для других наиболее распространённых
протоков - MPLS и IPsec, порты стандартизованы и указаны в общедоступной документации
на множестве ресурсов.<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<br /></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span style="font-family: "times new roman" , "serif"; font-size: 12.0pt;">Далее информация
для набора протоколов IPsec, который
используется в продуктах С-Терра:<b><o:p></o:p></b></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<br /></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<b><span style="font-family: "times new roman" , "serif"; font-size: 12.0pt;">Протокол IKE
использует UDP 500.<o:p></o:p></span></b></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<b><span style="font-family: "times new roman" , "serif"; font-size: 12.0pt;">Протокол ESP
при отсутствии NAT – это IP 50, а при наличии NAT он дополнительно инкапсулируется
в UDP 4500 (NAT </span></b><b><span lang="EN-US" style="font-family: "times new roman" , "serif"; font-size: 12.0pt;">T</span></b><b><span style="font-family: "times new roman" , "serif"; font-size: 12.0pt;">raversal).</span></b><span style="font-family: "times new roman" , "serif"; font-size: 12.0pt;"> <o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<br /></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span style="font-family: "times new roman" , "serif"; font-size: 12.0pt;">На практике
протокол АН применяется довольно редко из-за повсеместного использования NAT,
поэтому необходимо 2-3 правила. Они обычно включены в шаблоны большинства
популярных межсетевых экранов и выглядят примерно следующим образом:<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<br /></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span lang="EN-US" style="font-family: "times new roman" , "serif"; font-size: 12.0pt;">permit udp any eq 500 host A.B.C.D eq 500<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span lang="EN-US" style="font-family: "times new roman" , "serif"; font-size: 12.0pt;">permit 50 any host A.B.C.D<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span style="font-family: "times new roman" , "serif"; font-size: 12.0pt; line-height: 107%;">
</span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span lang="EN-US" style="font-family: "times new roman" , "serif"; font-size: 12.0pt;">permit udp any eq 4500 host A.B.C.D eq 4500<o:p></o:p></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span lang="EN-US" style="font-family: "times new roman" , "serif"; font-size: 12.0pt;"><br /></span></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-1maJVT0eLos/WHcjrEi6r6I/AAAAAAAAMEE/W6kHQcSPLpArlWRgxmTtMBTWtY9E-9PYACLcB/s1600/%25D0%2594%25D0%25BE%25D0%25BA%25D1%2583%25D0%25BC%25D0%25B5%25D0%25BD%25D1%25823.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://2.bp.blogspot.com/-1maJVT0eLos/WHcjrEi6r6I/AAAAAAAAMEE/W6kHQcSPLpArlWRgxmTtMBTWtY9E-9PYACLcB/s1600/%25D0%2594%25D0%25BE%25D0%25BA%25D1%2583%25D0%25BC%25D0%25B5%25D0%25BD%25D1%25823.jpg" /></a></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span lang="EN-US" style="font-family: "times new roman" , "serif"; font-size: 12.0pt;"><br /></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span lang="EN-US" style="font-family: "times new roman" , "serif"; font-size: 12.0pt;"><br /></span></div>
<div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<span lang="EN-US" style="font-family: "times new roman" , "serif"; font-size: 12.0pt;"><span style="font-size: 12pt; line-height: 107%;">При
переходе на С-Терру с другого оборудования, использующего IPsec, перенастройки
межсетевого экрана не потребуется.</span></span></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-22139109161229463242016-12-26T05:33:00.000-08:002018-10-17T08:27:45.099-07:00Обзор отечественного рынка VPN 2011-2015<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="MsoNormal">
Портал Cnews.ru ежегодно составляет <a href="http://www.cnews.ru/analytics/rating" target="_blank">рейтинг крупнейших компании России в сфере защиты информации</a>. Совсем недавно появился <a href="http://www.cnews.ru/reviews/security2016/review_table/46261d569032470419476901756af8669212f786/" target="_blank">отчет за 2015 год</a>. <o:p></o:p></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-u-pf83wNBgI/WGEWos_CWvI/AAAAAAAALvA/2OQai-BqwL4yLa66gLp6IisSF1JL7yzdQCLcB/s1600/2016.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="307" src="https://1.bp.blogspot.com/-u-pf83wNBgI/WGEWos_CWvI/AAAAAAAALvA/2OQai-BqwL4yLa66gLp6IisSF1JL7yzdQCLcB/s400/2016.png" width="400" /></a></div>
<div class="MsoNormal">
Рассмотрим, как менялись позиции трех главных игроков
VPN-рынка: Инфотекс, Код Безопасности и С-Терра за последние пять лет.<o:p></o:p><br />
<br />
<a name='more'></a><br /></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<span lang="EN-US"><b>Инфотекс</b><o:p></o:p></span></div>
<div class="MsoNormal">
<span lang="EN-US"><br /></span></div>
<div class="MsoNormal">
<span lang="EN-US"></span></div>
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td style="border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<br /></div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 75.7pt;" valign="top" width="101"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2011</div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2012</div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2013</div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2014</div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2015</div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Место в рейтинге</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 75.7pt;" valign="top" width="101"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
-</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
9</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
8</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
8</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
6</div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Выручка, тыс. рублей</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 75.7pt;" valign="top" width="101"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
1 607 191</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
1 607 191</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
1 833 190</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
1 714 411</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
3 046 000</div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Количество сотрудников, чел</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 75.7pt;" valign="top" width="101"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Нет данных</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
303</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
432</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
597</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
597</div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Выручка на сотрудника, руб/чел</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 75.7pt;" valign="top" width="101"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Нет данных</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
5304,26</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
4243,50</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2871,71</div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
5102,18</div>
</td>
</tr>
</tbody></table>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Выручка и количество сотрудников увеличилось в 2 раза. В
2013 и 2014 была явная просадка по выручке на сотрудника. Судя по всему, штат
расширился и начались длительные проекты. Это направление защиты мобильных
устройств и 4 версия остальных продуктов. Выход 4 версии явно затянулся, в
2016 году на неё были получены сертификаты ФСБ, а вот сертификатов ФСТЭК нет до
сих пор. Планируется сертификация по новым требованиям в 2017 году.<o:p></o:p></div>
<div class="MsoNormal">
<span lang="EN-US">
</span></div>
<div class="MsoNormal">
В 2015 выручка на сотрудника увеличилась, приблизившись к
показателю 2012 года. Связано это может быть с монетизацией начатых проектов
или какими-то другими причинами (просто все вдруг решили покупать больше
ViPNet-ов – бывает и такое<span lang="EN-US" style="font-family: "wingdings"; mso-ansi-language: EN-US; mso-ascii-font-family: Calibri; mso-ascii-theme-font: minor-latin; mso-char-type: symbol; mso-hansi-font-family: Calibri; mso-hansi-theme-font: minor-latin; mso-symbol-font-family: Wingdings;">J</span>). <o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<b>Код Безопасности</b><o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Для Кода Безопасности (КБ) есть три сложности в расчетах –
есть данные только по ГК Информзащита, публикуется информация по GPL ценам, КБ
производит не только VPN-продукты. Но обо всем по порядку.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
В рейтинге Cnews 2014 есть информация о КБ за <a href="http://www.cnews.ru/reviews/security2014/review_table/d16f2616d9450366f8695d6e455aa42b649abe6a" target="_blank">2012 и 2013 годы</a>. В следующих рейтингах публикуют данные для ГК Информзащита, в которую входит
КБ. Но в 2016 году сам КБ опубликовал отчет за <a href="http://www.securitycode.ru/company/news/biznes-koda-bezopasnosti-v-2015-godu-vyros-pochti-na-50/" target="_blank">2014 и 2015 годы</a>. В этом в отчете оценка выручки указана
«*В ценах конечного пользователя». На эту тему уже ранее <a href="http://zlonov.ru/2016/02/real-numbers/" target="_blank">высказывался Алексей Комаров</a>. Его данные и возьмем за основу.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td style="border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<br /></div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 75.7pt;" valign="top" width="101"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2011<o:p></o:p></div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2012<o:p></o:p></div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2013<o:p></o:p></div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2014<o:p></o:p></div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2015<o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Место в рейтинге<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 75.7pt;" valign="top" width="101"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
-<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
-<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
10<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
-<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
-<o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Выручка, тыс. рублей<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 75.7pt;" valign="top" width="101"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Нет данных<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
922 789<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
979 079<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
1 022 719<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
1 518 914<o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Количество сотрудников, чел<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 75.7pt;" valign="top" width="101"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Нет данных<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Нет данных<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: 107%; margin-bottom: 8.0pt;">
229<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: 107%; margin-bottom: 8.0pt;">
300**<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: 107%; margin-bottom: 8.0pt;">
300*<o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Выручка на сотрудника, руб/чел<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 75.7pt;" valign="top" width="101"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Нет данных<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Нет данных<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
4275,45<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 76.7pt;" valign="top" width="102"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
3409,06<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
5063,05<o:p></o:p></div>
</td>
</tr>
</tbody></table>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
* В отчете указано «более 300», поставил ровно 300<o:p></o:p></div>
<div class="MsoNormal">
** В отчете не указано о явном увеличении численности
сотрудников, поэтому цифру 300 указываем и в 2014 году<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
Эти данные для всех продуктов КБ, а они производят не только
VPN, но и множество других. В упомянутом ранее отчете: «В структуре продаж
компании в 2015 году наибольшая доля приходилась на АПКШ «Континент» (48,3%)». В
абсолютных цифрах это составляет <b>733 635 млн. рублей</b>. Количество
сотрудников, которые занимаются, Континентом и, соответственно, выручка на
сотрудника, неизвестны. <o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<b>С-Терра</b><o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Компания входила в рейтинг ТОП30 в 2007 (20 место), 2008 (23
место), 2009 (23 место) и 2010 (28 место) годах. Далее некоторое время информация о выручке не публиковалась и компания выпала из рейтинга. И
вернулась в 2015 году.</div>
<div class="MsoNormal">
<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-yfti-tbllook: 1184;">
<tbody>
<tr>
<td style="border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
<br /></div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2014<o:p></o:p></div>
</td>
<td style="border-left: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
2015<o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Место в рейтинге<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
-<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
28<o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Выручка, тыс. рублей<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
237 000<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
342 000<o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Количество сотрудников, чел<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
50<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
50<o:p></o:p></div>
</td>
</tr>
<tr>
<td style="border-top: none; border: solid windowtext 1.0pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 94.45pt;" valign="top" width="126"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
Выручка на сотрудника, руб/чел<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
4740<o:p></o:p></div>
</td>
<td style="border-bottom: solid windowtext 1.0pt; border-left: none; border-right: solid windowtext 1.0pt; border-top: none; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt 0cm 5.4pt; width: 67.0pt;" valign="top" width="89"><div class="MsoNormal" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm;">
6840<o:p></o:p></div>
</td>
</tr>
</tbody></table>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Количество сотрудников не изменилось, выручка выросла на
44%. По выручке на сотрудника компания опережает Инфотекс <span lang="EN-US" style="font-family: "wingdings"; mso-ansi-language: EN-US; mso-ascii-font-family: Calibri; mso-ascii-theme-font: minor-latin; mso-char-type: symbol; mso-hansi-font-family: Calibri; mso-hansi-theme-font: minor-latin; mso-symbol-font-family: Wingdings;">J</span><o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
</div>
<div class="MsoNormal">
Обратите внимание на распределение компаний по регионам –
лидирует Москва (24), далее Зеленоград (3) и замывают список – Екатеринбург,
Казань и Калуга (по 1). В рейтинге целых три компании из Зеленограда: С-Терра,
АНКАД и Элвис-Плюс. Наш маленький зеленый городок (точнее маленький округ
Москвы) имеет всего 300 тысяч жителей, но традиции "советской силиконовой
долины" дают о себе знать. <o:p></o:p></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-6904818419228199282016-12-07T03:06:00.003-08:002016-12-07T03:12:40.010-08:00Обновлена Доктрина информационной безопасности РФ<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="MsoNormal">
9 сентября 2000 года Владимир Путин утвердил
Доктрину информационной безопасности РФ. Документ такого рода в нашей стране
тогда появился впервые. <o:p></o:p></div>
<div class="MsoNormal">
</div>
<a name='more'></a><br />
<div class="MsoNormal">
Доктрина является частью Концепции национальной безопасности
Российской Федерации применительно к информационной сфере. Она задает вектор
развития отрасли, определяет приоритеты на уровне государства.</div>
<div class="MsoNormal">
<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Указом Президента РФ № 646 от 5 декабря 2016 г. утверждена <a href="http://publication.pravo.gov.ru/Document/View/0001201612060002?index=0&rangeSize=1" target="_blank">обновленная Доктрина</a>.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-A-oQdqMcPj4/WEfrxEvUeTI/AAAAAAAALfo/wFgzDwSmh7YefCPbhhggiLWvGjKjbiTpACLcB/s1600/doctrinaIB.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="https://3.bp.blogspot.com/-A-oQdqMcPj4/WEfrxEvUeTI/AAAAAAAALfo/wFgzDwSmh7YefCPbhhggiLWvGjKjbiTpACLcB/s320/doctrinaIB.png" width="276" /></a></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Основные моменты, которые прослеживаются на протяжении всего
документа:<o:p></o:p></div>
<div class="MsoNormal">
</div>
<ul style="text-align: left;">
<li><span style="text-indent: -18pt;"><b>Безопасность критической информационной
инфраструктуры (КИИ)</b></span></li>
</ul>
<br />
<div class="MsoListParagraph" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<div class="MsoNormal">
Выглядит логично, учитывая планы по обновлению сразу
нескольких Федеральных Законов:</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<a href="http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47571-7" style="background-color: white; font-family: inherit; font-size: 10.5pt; text-align: justify; text-indent: -18pt;" target="_blank">Законопроект № 47571-7 О безопасности критической информационной инфраструктуры Российской Федерации</a></div>
<div class="MsoNormal">
<noindex style="background-color: white; font-family: inherit; font-size: 10.5pt; outline: none; text-align: justify; text-indent: -18pt; transition: all 0.14s ease 0s;"><br /></noindex></div>
<div class="MsoNormal">
<noindex style="background-color: white; font-family: inherit; font-size: 10.5pt; outline: none; text-align: justify; text-indent: -18pt; transition: all 0.14s ease 0s;"><span style="color: #1fa0ae; text-decoration: none;"><a href="http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47579-7" style="background-color: white; font-family: inherit; font-size: 10.5pt; outline: none; text-align: justify; text-indent: -18pt; transition: all 0.14s ease 0s;" target="_blank">Законопроект №47579-7 О внесении изменений в законодательные акты Российской Федерации всвязи с принятием Федерального закона » О безопасности критической информационной инфраструктуры Российской Федерации»</a></span></noindex></div>
<div class="MsoNormal">
<noindex style="background-color: white; font-size: 10.5pt; outline: none; text-align: justify; text-indent: -18pt; transition: all 0.14s ease 0s;"><span style="color: #1fa0ae; text-decoration: none;"><br /></span></noindex></div>
<div class="MsoNormal">
<noindex style="background-color: white; font-size: 10.5pt; outline: none; text-align: justify; text-indent: -18pt; transition: all 0.14s ease 0s;"><span style="color: #1fa0ae; text-decoration: none;"><span style="font-family: inherit;"><a href="http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=47591-7" style="background-color: white; font-size: 10.5pt; outline: none; text-align: justify; text-indent: -18pt; transition: all 0.14s ease 0s;" target="_blank">Законопроект №47591-7 О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в связи с принятием Федерального закона » О безопасности критической информационной инфраструктуры Российской Федерации»</a></span></span></noindex></div>
<div class="MsoNormal">
<noindex style="background-color: white; font-size: 10.5pt; outline: none; text-align: justify; text-indent: -18pt; transition: all 0.14s ease 0s;"><span style="color: #1fa0ae; text-decoration: none;"><br /></span></noindex></div>
<div class="MsoListParagraph" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
</div>
<ul style="text-align: left;">
<li><b><span style="text-indent: -18pt;">Импортозамещение</span></b></li>
</ul>
<!--[if !supportLists]--><o:p></o:p><br />
<div class="MsoNormal">
В этом направлении уже многое сделано (реестр отечественного
ПО, ФЗ44 и т.д.). Внесение данных пунктов в Доктрину говорит о том, что
государство продолжит и усилит политику импортозамещения. Как сотрудник
отечественной компании, я этому рад:<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<i>25. Основными
направлениями обеспечения информационной безопасности в экономической сфере
являются:<o:p></o:p></i></div>
<div class="MsoNormal">
<i><span lang="EN-US"><</span>…</i><i><span lang="EN-US">><o:p></o:p></span></i></div>
<div class="MsoNormal">
<i>в) <u>повышение
конкурентоспособности российских компаний,</u> осуществляющих деятельность в
отрасли информационных технологий и электронной промышленности, разработку,
производство и эксплуатацию средств обеспечения информационной безопасности,
оказывающих услуги в области обеспечения информационной безопасности, в том
числе <u>за счет создания благоприятных условий для осуществления деятельности
на территории Российской Федерации</u>;<o:p></o:p></i></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
А прочитав пункт:<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<i>27. Основными
направлениями обеспечения информационной безопасности в области науки,
технологий и образования являются:<o:p></o:p></i></div>
<div class="MsoNormal">
<i><…><o:p></o:p></i></div>
<div class="MsoNormal">
<i>б) создание и
внедрение информационных технологий, изначально устойчивых к различным видам
воздействия;<o:p></o:p></i></div>
<div class="MsoNormal">
<i><br /></i></div>
<div class="MsoNormal">
сразу вспоминается что:<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
</div>
<ul style="text-align: left;">
<li><span style="text-indent: -18pt;">Уже разработано и используется множество
VPN-протоколов с применением ГОСТ шифрования. К СМЭВу можно подключиться на
основе сертифицированных продуктов </span><a href="http://smev.gosuslugi.ru/portal/api/files/get/80937" style="text-indent: -18pt;" target="_blank">трех российских производителей</a><span style="text-indent: -18pt;">.
Причем у каждого свой протокол. Хотя в Технических Требованиях, утвержденных приказом
№210 Минкомсвязи, указан только IPsec.</span></li>
</ul>
<div style="text-indent: -24px;">
<br /></div>
<ul style="text-align: left;">
<li><a href="http://kremlin.ru/acts/assignments/orders/52536" style="text-indent: -18pt;" target="_blank">Поручение Президента о необходимости перехода органов власти на использование российских криптографических алгоритмов и средств шифрования</a><span style="text-indent: -18pt;">. Речь идет о защите
взаимодействия гражданина и органа государственной власти, причем с применением
бесплатной для гражданина отечественной криптографии. Довольно обширная задача,
её реализация коснется большинства жителей нашей страны. Срок – 01.12.2017.</span></li>
</ul>
<div style="text-indent: -24px;">
<br /></div>
<ul style="text-align: left;">
<li>Квантовая криптография. Механизм квантового
распределения ключей позволяет двум пользователям вырабатывать и обмениваться
между собой случайными двоичными данными, которые могут быть использованы как секретный
ключ. При этом законы квантовой механики исключают возможность незаметного прослушивания
такого обмена информацией. Это достигается за счет того, что ключ передается
одиночными фотонами. Злоумышленнику, чтобы получить информацию о ключе, требуется
тем или иным способом взаимодействовать с этим фотоном, но любое такое взаимодействие
неминуемо вызовет изменение состояния фотона, что будет замечено на принимающей
стороне. (<a href="http://www.s-terra.ru/upload/iblock/365/2016_vorotnikov_is_N-4_september.pdf" style="text-indent: -18pt;" target="_blank">с</a><span style="text-indent: -18pt;">)</span></li>
</ul>
<!--[if !supportLists]--><o:p></o:p><br />
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<div class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<br />
<div class="MsoNormal">
В целом документ мне понравился тем, что объективно
описывает нынешнюю ситуацию, и указывает <i>правильные</i> цели. Будем надеяться,
что на их основе будет сформирован и выполнен соответствующий перечень задач.<o:p></o:p></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-7758044589196597822016-11-18T06:10:00.000-08:002019-10-26T06:58:07.004-07:00Новый документ от ТК26<div dir="ltr" style="text-align: left;" trbidi="on">
На сайте технического комитета опубликован проект документа <a href="https://tc26.ru/standarts/rekomendatsii-po-standartizatsii/r-1323565-1-012-2017-informatsionnaya-tekhnologiya-kriptograficheskaya-zashchita-informatsii-printsipy-razrabotki-i-modernizatsii-shifrovalnykh-kriptograficheskikh-sredstv-zashchity-informatsii.html" target="_blank">"Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации"</a>.<br />
<br />
<a name='more'></a>Сразу нужно оговориться, что <strike>это пока проект</strike> и итоговый документ будет носить рекомендательный характер. Фактически он представляет собой выжимку из множества документов, имеющих статус ДСП и доступных только лицензиатам.<br />
<br />
Документ интерес тем, что содержит ответ на вопрос - чем отличаются между собой СКЗИ различных классов, ранее такая информация в открытом виде не публиковалась.<br />
<br />
По сути теперь есть открытые требования к СКЗИ, которыми могут пользоваться Заказчики.<br />
<br />
ТК 26 - технический комитет по стандартизации «Криптографическая защита информации»<br />
<a href="https://tc26.ru/standarts/" target="_blank">Проекты других документов ТК26</a><br />
<br />
UPD 30.11.2016<br />
Документ принят (Протокол № 18 от 24.11.2016 г.)<br />
<br />
UPD 22.12.2017<br />
Документ утвержден <a href="http://docs.cntd.ru/document/556323231" target="_blank">Р 1323565.1.012-2017</a></div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-72401588450780231562016-11-02T01:46:00.000-07:002016-12-06T04:43:25.079-08:00Перехват трафика ВОЛС<div dir="ltr" style="text-align: left;" trbidi="on">
В этом году на Уральском Банковском Форуме была интересная демонстрация продуктов SafeNet компанией TESSIS. Показывали не сам продукт, а актуальную угрозу - перехват трафика с оптического канала.<br />
<br />
Устройство использовалось достаточно простое, что-то вроде такого:<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="https://1.bp.blogspot.com/-vld4f5pNB6g/WBmg7LltBpI/AAAAAAAALUQ/j4bXtV3DjEwcbji4Mn8lSo2eG2s8m005QCLcB/s1600/7107541915-600x600.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="https://1.bp.blogspot.com/-vld4f5pNB6g/WBmg7LltBpI/AAAAAAAALUQ/j4bXtV3DjEwcbji4Mn8lSo2eG2s8m005QCLcB/s320/7107541915-600x600.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">FOD 5503</td></tr>
</tbody></table>
<br />
<a name='more'></a><br />
<br />
На ноутбуке использовался софт, аналогичный Wireshark:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://2.bp.blogspot.com/-cgHv0YL1O4Y/WBmg7ZGjMkI/AAAAAAAALUU/NmeYhKWrlrcJNUZcrWx4tnE3JGndHPl3ACLcB/s1600/650x277xwireshark-header.png.pagespeed.gp%252Bjp%252Bjw%252Bpj%252Bjs%252Brj%252Brp%252Brw%252Bri%252Bcp%252Bmd.ic.k3ucaHmmm4.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="170" src="https://2.bp.blogspot.com/-cgHv0YL1O4Y/WBmg7ZGjMkI/AAAAAAAALUU/NmeYhKWrlrcJNUZcrWx4tnE3JGndHPl3ACLcB/s400/650x277xwireshark-header.png.pagespeed.gp%252Bjp%252Bjw%252Bpj%252Bjs%252Brj%252Brp%252Brw%252Bri%252Bcp%252Bmd.ic.k3ucaHmmm4.png" width="400" /></a></div>
<br />
<br />
Наиболее универсальное решение проблемы - шифрование трафика. Это может быть как канальное шифрование, так и традиционный VPN на сетевом уровне.<br />
<br />
Но если речь идет о поддержке ГОСТ и наличии сертификатов ФСБ России, то решений для закрытия каналов 10G гораздо меньше (а у SafeNet их вообще пока нет). Это, как правило, балансировка нагрузки между несколькими устройствами для повышения итоговой производительности. Логичный путь в данном подходе - повышение производительности каждого устройства и, соответственно, уменьшение количества устройств.<br />
<br />
Именно по этому пути идет С-Терра, в 2017 году появится новый продукт - С-Терра Шлюз 10G, производительность шифрования которого на смешанном трафике составит 10Гбит/c (ГОСТ28147).<br />
<br />
На волне размышлений об этой проблеме написал статью в <a href="http://www.iksmedia.ru/articles/5332326-Kak-borotsya-s-proslushkoj-optiches.html" target="_blank">журнал ИКС</a>. В статье рассмотрена актуальность проблемы, варианты решений и требования к ним.<br />
<br />
<br /></div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-26040200804769619802016-10-18T04:59:00.001-07:002018-03-12T23:03:30.706-07:00Удостоверяющий Центр для VPN<div dir="ltr" style="text-align: left;" trbidi="on">
Речь пойдет о том, каким образом пользователь VPN-продукта, поддерживающего ГОСТ алгоритмы шифрования, может получить основной атрибут аутентификации – цифровой сертификат.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-uLL_iK5aWt8/WAYOmY-6y_I/AAAAAAAALHA/s_n40NmW7J04d-tRJrY6BTSELKTzcO9bgCLcB/s1600/pki.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="239" src="https://1.bp.blogspot.com/-uLL_iK5aWt8/WAYOmY-6y_I/AAAAAAAALHA/s_n40NmW7J04d-tRJrY6BTSELKTzcO9bgCLcB/s320/pki.png" width="320" /></a></div>
<br />
<br />
У некоторых производителей VPN есть собственные реализации ключевой системы, в этом случае цифровые сертификаты (или их аналоги) генерируются на системе управления или в отдельном продукте собственного производства. У ряда других производителей (С-Терра в их числе) используется сторонний Удостоверяющий Центр (УЦ).<br />
<a name='more'></a><br />
<br />
Для реализации VPN не требуются услуги аккредитованного Удостоверяющего Центра. Сертификаты для VPN и сертификаты для ЭП - разные не только по назначению, но и по содержанию. Требования к сертификатам ЭП шире и жестче, они изложены в Федеральном Законе №63 «Об электронной подписи» и других нормативных документах.<br />
<br />
При реализации VPN, с целью обеспечить участников сети сертификатами открытых ключей есть несколько вариантов:<br />
<span style="text-indent: -18pt;"><br /></span>
<span style="text-indent: -18pt;"><br /></span>
<br />
<div style="text-align: left; text-indent: 0px;">
<span style="text-indent: -18pt;">1) Использовать специализированные продукты - </span><a href="https://www.cryptopro.ru/products/ca/2.0" style="text-indent: -18pt;" target="_blank">«КриптоПро УЦ»</a><span style="text-indent: -18pt;">, </span><a href="http://signal-com.ru/products/pki/notary_27" style="text-indent: -18pt;" target="_blank">«Notary-PRO»</a><span style="text-indent: -18pt;"> и т.д.</span></div>
<div>
<div class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;">
<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpLast">
Этот вариант имеет смысл, если такой продукт
уже есть и используется для других нужд, например, ЭП. Разворачивать «КриптоПро
УЦ» или аналогичный продукт исключительно для VPN смысла не имеет, его
функционал избыточен, а стоимость на порядки больше альтернативных вариантов.</div>
<div class="MsoListParagraphCxSpLast">
<span style="text-indent: -18pt;"><br /></span></div>
<div class="MsoListParagraphCxSpLast">
<span style="text-indent: -18pt;"><br /></span></div>
<div class="MsoListParagraphCxSpLast" style="text-indent: 0px;">
<span style="text-indent: -18pt;">2) Воспользоваться услугами стороннего УЦ.</span></div>
<div class="MsoListParagraphCxSpLast" style="text-indent: 0px;">
<br /></div>
<div class="MsoListParagraphCxSpLast" style="text-indent: 0px;">
Например, того же <a href="http://vpnca.cryptopro.ru/" target="_blank">КриптоПро</a>. Преимущество такого подхода –
в чистом виде сервисная модель: не требуется разворачивать УЦ, обеспечивать его
безопасность, публиковать списки отозванных сертификатов и т.д. Все это
делается сторонней организацией.</div>
<div class="MsoListParagraphCxSpMiddle">
<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpMiddle">
Сертификаты имеют срок действия, его максимальное
значение определяется Правилами Пользования СКЗИ и политикой УЦ. В большинстве
случаев это порядка одного года, хотя при использовании токенов с
неизвлекаемыми ключами может достигать трех лет. Таким образом, обращение в сторонний
УЦ будет не разовым, а периодическим и скорее всего ежегодным. Поэтому такой
подход актуален для небольшого количества устройств.<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpLast">
</div>
<div class="MsoListParagraphCxSpLast">
Кроме того, сертификаты всех клиентов УЦ
подписаны одним и тем же корневым сертификатом. При некорректной настройке
VPN-продуктов, это позволяет одному из клиентов УЦ – потенциальному
злоумышленнику попытаться установить VPN-соединение с другим клиентом. Для
этого злоумышленнику необходима информация о сети жертвы, которой вполне может
обладать бывший сотрудник. Поэтому при использовании стороннего УЦ в политике
безопасности VPN-продукта нужно указывать точное описание сертификата партнера
по соединению.</div>
<div class="MsoListParagraphCxSpLast">
<span style="text-indent: -18pt;"><br /></span></div>
<div class="MsoListParagraphCxSpLast">
<span style="text-indent: -18pt;"><br /></span></div>
<div class="MsoListParagraphCxSpLast" style="text-indent: 0px;">
<span style="text-indent: -18pt;">3) Построить собственный технологический
Удостоверяющий Центр на основе </span><span lang="EN-US" style="text-indent: -18pt;">Microsoft</span><span lang="EN-US" style="text-indent: -18pt;"> </span><span lang="EN-US" style="text-indent: -18pt;">CA</span><span style="text-indent: -18pt;"> (</span><span lang="EN-US" style="text-indent: -18pt;">MS</span><span lang="EN-US" style="text-indent: -18pt;"> </span><span lang="EN-US" style="text-indent: -18pt;">CA</span><span style="text-indent: -18pt;">) и </span><span style="text-indent: -18pt;">крипровайдера,
поддерживающего ГОСТ алгоритмы.</span></div>
<div class="MsoListParagraphCxSpLast" style="text-indent: 0px;">
<span style="text-indent: -18pt;"><br /></span></div>
<div class="MsoListParagraphCxSpMiddle">
Этот вариант наиболее распространённый.
Основные преимущества: цена, простота реализации и независимость от внешних
организаций.</div>
<div class="MsoListParagraphCxSpMiddle">
<o:p></o:p></div>
<div class="MsoListParagraphCxSpMiddle">
<br /></div>
<div class="MsoListParagraphCxSpLast">
В данном случае для работы с сертификатами
используется служба операционной системы Windows Server, в качестве
криптопровайдера чаще всего «КриптоПро CSP». <a href="http://doc.s-terra.ru/rh_output/4.2/KP/output/index.htm#t=mergedProjects%2FAdmin%2F%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D0%B8_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_%D0%A3%D0%B4%D0%BE%D1%81%D1%82%D0%BE%D0%B2%D0%B5%D1%80%D1%8F%D1%8E%D1%89%D0%B5%D0%B3%D0%BE_%D0%A6%D0%B5%D0%BD%D1%82%D1%80%D0%B0_MSCA_%D0%BD%D0%B0_MS_Windows_Server_2012.htm" target="_blank">Инструкция на сайте компании С-Терра</a></div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="MsoListParagraphCxSpLast">
В спецификации аппаратной платформы желательно предусмотреть аппаратно-программный модуль доверенной загрузки (АПМДЗ), который обеспечит защиту сервера от НСД, а также позволит генерировать случайные числа аппаратным ДСЧ с минимальным участием оператора.</div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="MsoListParagraphCxSpLast">
При отсутствии АПМДЗ защиту от НСД можно обеспечить другими средствами, например, организационными мерами. А аппаратный ДСЧ заменить внешней гаммой (которая создана на другом АРМ с АПМДЗ <span style="font-family: "wingdings";">J</span> ). В таких условиях можно использовать и виртуальную машину.</div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="MsoListParagraphCxSpLast">
В реализации С-Терра на этом же сервере можно установить систему управления (кстати, лицензия на Крипто-Про входит в комплект поставки). Это позволит автоматизировать обновление сертификатов на устройствах<span class="MsoCommentReference"><span style="font-size: 8pt; line-height: 11.4133px;"> </span></span>(в принципе автоматизацию можно реализовать и при взаимодействии УЦ и системы управления по IP).</div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="MsoListParagraphCxSpLast">
При этом довольно часто возникает вопрос – легитимно ли использование такого УЦ?</div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="MsoListParagraphCxSpLast">
Ответить на этот вопрос для СКЗИ всех производителей невозможно, так как могут быть нюансы. Для продуктов С-Терра со встроенной криптографией ST требований к использованию сертифицированного УЦ нет, MS CA с «КриптоПро CSP» использовать можно. Цитата из <a href="http://doc.s-terra.ru/pdf_rlf/4_1/Rules-ST.pdf">Правил Пользования</a>:</div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="MsoNormal" style="margin-left: 36pt;">
<o:p></o:p></div>
<div class="MsoNormal" style="margin: 0cm 2cm 8pt;">
<i>В ПАК «С-Терра VPN» применяются сертификаты ключа проверки ЭП, созданные в соответствии с международными рекомендациями ITU-T Х.509, и протокол аннулирования сертификата ключа проверки ЭП с использованием списков аннулированных сертификатов.<o:p></o:p></i></div>
<div class="MsoNormal" style="margin: 0cm 2cm 8pt;">
<i>Сертификаты ключей проверки ЭП и списки аннулированных сертификатов должны быть выпущены в формате, совместимом с сертифицированным УЦ «КриптоПро», и подписаны с использованием сертифицированного СКЗИ.<o:p></o:p></i></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Криптография ST совместима с Крипто-Про, таким образом, достаточно использовать актуальную сертифицированную версию «КриптоПро CSP». Необходимости в сертифицированном УЦ нет.</div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
В любом из перечисленных случаев не стоит забывать о необходимой документации – журнале учета СКЗИ и ключей, регламенте смены ключевой информации, регламенте выпуска и распространения списка аннулированных сертификатов и т.д.</div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="MsoListParagraphCxSpLast">
<br /></div>
<div class="MsoNormal" style="margin-left: 36.0pt;">
<br /></div>
<div class="MsoNormal" style="margin-left: 36.0pt;">
<br /></div>
<div class="MsoNormal" style="margin-left: 36.0pt;">
<br /></div>
<div class="MsoNormal" style="margin-left: 36.0pt;">
<o:p></o:p></div>
<div>
<div>
<div class="msocomtxt" id="_com_2" language="JavaScript">
<!--[if !supportAnnotations]--></div>
<!--[endif]--></div>
</div>
</div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-64592381645779298142016-08-16T03:11:00.000-07:002018-10-10T07:51:32.415-07:00IPsec Overhead<div dir="ltr" style="text-align: left;" trbidi="on">
Шифрование и туннелирование трафика влечет за собой накладные расходы. При одном и том же MTU канала связи, в случае использования шифрования размер полезных передаваемых данных меньше, чем без шифрования. Соответственно, в некоторых ситуациях при включении шифрования возможна фрагментация пакетов, которая в свою очередь приводит к снижению производительности и некорректной работе части сервисов.<br />
<a name='more'></a><br />
<div>
<br /></div>
<div>
Самый распространенный способ решения этой проблемы - изменение величины MTU в локальной сети или канале связи. Необходимо уменьшить MTU локальной сети и/или увеличить MTU в канале связи, таким образом, что они отличались как минимум на величину накладных расходов (естественно MTU канала должно быть больше). </div>
<div>
<br /></div>
<div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: left;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-tGDwOdJrRMU/V7LT5BaotlI/AAAAAAAAKgk/yLWrANaJElgeOO0jIMewuHwNfJbb2jKIACLcB/s1600/1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="171" src="https://1.bp.blogspot.com/-tGDwOdJrRMU/V7LT5BaotlI/AAAAAAAAKgk/yLWrANaJElgeOO0jIMewuHwNfJbb2jKIACLcB/s400/1.jpg" width="400" /></a></div>
<br />
<div>
<br /></div>
<div>
В некоторых случаях при проектировании VPN сети на накладные расходы с запасом закладывают 100 байт. Но большой запас может обходиться очень дорого - за повышение MTU региональные провайдеры порой просят баснословные деньги, а понижать MTU локальной сети тоже не всегда возможно. Поэтому важно понимать точное значение накладных расходов.</div>
</div>
<div>
<br /></div>
<div>
Рассмотрим расчет для продуктов С-Терра с применением ГОСТ-алгоритмов. Часть информации верна и для других продуктов, реализованных на базе IPsec. Но накладные расходы, связанные именно с криптографией отличаются в зависимости от алгоритма и его реализации.</div>
<div>
<br /></div>
<div>
<div>
Параметры, влияющие на величину overhead:</div>
<div>
<ul style="text-align: left;">
<li>Режим работы IPsec (туннельный или транспортный);</li>
<li>На каком уровне требуется шифровать данные (на L2 или L3);</li>
<li>Осуществляется ли трансляция сетевых адресов (NAT);</li>
<li>Набор алгоритмов или преобразований, на основе которых обеспечивается конфиденциальность и целостность.</li>
</ul>
<div>
Рассмотрим следующие случаи:</div>
</div>
</div>
<div>
<ul style="text-align: left;">
<li>Туннельный режим с шифрованием на уровне L3 без использования NAT;</li>
<li>Туннельный режим с шифрованием на уровне L3 и с использованием NAT;</li>
<li>Транспортный режим с шифрованием на уровне L2 без использования NAT.</li>
</ul>
<div>
Во всех случаях в качестве набора алгоритмов используется комплексное преобразование, обеспечивающее конфиденциальность и имитозащиту информации на основе ГОСТ28147 (ESP_GOST-4M-IMIT). Для продуктов С-Терра это рекомендованный и наиболее производительный набор преобразований. Подробнее о нем на <a href="http://www.cryptopro.ru/sites/default/files/products/ipsec/rus-gost-esp.html">русскоязычном</a> и <a href="https://tools.ietf.org/html/draft-fedchenko-ipsecme-cpesp-gost-00">англоязычном</a> ресурсах.</div>
</div>
<div>
<br /></div>
<div>
<b><br /></b></div>
<div style="text-align: left;">
<b>Туннельный режим с шифрованием на уровне L3 без использования NAT</b></div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: justify;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://3.bp.blogspot.com/-3xI2Z4B-8aw/V7Ljgo24XoI/AAAAAAAAKhk/ajEsH08cbioDRXkB2tag7oBPvfljEuVVQCLcB/s1600/2.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://3.bp.blogspot.com/-3xI2Z4B-8aw/V7Ljgo24XoI/AAAAAAAAKhk/ajEsH08cbioDRXkB2tag7oBPvfljEuVVQCLcB/s1600/2.jpg" /></a></div>
<br /></div>
<div style="text-align: left;">
<br /></div>
<div style="text-align: left;">
<div>
Сначала идет официальный заголовок ESP:</div>
<div>
SPI (Security Parameters Index) - 4 байта</div>
<div>
SN (Sequence Number) - 4 байта</div>
<div>
Потом скрытая часть заголовка:</div>
<div>
IVRandom - 4 байта</div>
<div>
IVCounter - 4 байта</div>
<div>
Далее непосредственно зашифрованный исходный пакет.</div>
<div>
После этого трейлер - "хвостовик". Выравнивание производится по границе 8 байтов после добавления двух однобайтовых полей - PadLength и NextHeader.</div>
<div>
Худший случай - если было 7 байтов, то добавится ещё 2+7.</div>
<div>
Лучший случай - если было 6 байтов, то добавится только 2.</div>
<div>
Получается от 2 до 9 байтов переменного дополнения.</div>
<div>
Потом отдельно добавляется 4 байта ICV (Integrity Check Value).</div>
<div>
Итого:</div>
<div>
Дополнение 1 фиксированное в начале = 16 байтов.</div>
<div>
Дополнение 2 переменное в конце = от 6 до 13 байтов.</div>
<div>
Суммарное дополнение ESP (IMIT) добавляет 22-29 байт.</div>
<div>
<br /></div>
<div>
<div>
При использовании туннельного режима L3 , дополнительно добавляется IP заголовок 20 байт. Суммарный overhead составляет 42-49 байт.</div>
</div>
<div>
<br /></div>
<div>
<b>Туннельный режим с шифрованием на уровне L3 и с использованием NAT</b></div>
<div>
<br /></div>
<div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-Inae3ky5arI/V7Lj0PyGoKI/AAAAAAAAKho/XjvyvxT4tDcwEBy3u2F8NYW9u36TNzVWwCLcB/s1600/3.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="https://1.bp.blogspot.com/-Inae3ky5arI/V7Lj0PyGoKI/AAAAAAAAKho/XjvyvxT4tDcwEBy3u2F8NYW9u36TNzVWwCLcB/s1600/3.jpg" /></a></div>
<br /></div>
<div>
<br /></div>
<div>
Аналогично первому случаю, но дополнительно добавляется 8 байт UDP заголовка.</div>
<div>
<div>
Суммарный overhead составляет 50-57 байт.</div>
</div>
<div>
<br /></div>
</div>
<div style="text-align: left;">
<b>Транспортный режим с шифрованием на уровне L2 без использования NAT</b></div>
<div>
<br /></div>
<div>
Реализация шифрования на канальном уровне для продуктов С-Терра основана на предварительном туннелирования в L3 - продукт перехватывает исходный фрейм целиком, добавляет IP и UDP заголовки. Далее трафик шифруется в транспортном режиме.</div>
<div>
<br /></div>
<div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: left;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: left;">
</div>
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-_zBh16PDiUU/V7LkPJmxnTI/AAAAAAAAKhw/7xUXTzmTs2g-KbskiXawDxv0rOJtF8J3wCLcB/s1600/41.jpg" imageanchor="1" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img border="0" src="https://4.bp.blogspot.com/-_zBh16PDiUU/V7LkPJmxnTI/AAAAAAAAKhw/7xUXTzmTs2g-KbskiXawDxv0rOJtF8J3wCLcB/s1600/41.jpg" /></a></div>
<br /></div>
<div>
<br /></div>
<div>
Обратите внимание, что отсутствует IP заголовок туннельного режима. Но для реализации L2 добавлены UDP заголовок 8 байт и IP 20 байт (именно он будет использоваться далее в канале связи), а также Ethernet исходного фрейма - 14+4 байт.<br />
Суммарный overhead составляет 68-75 байт.<br />
Если перехватывается тегированный трафик, то в overhead попадет и метка VLAN 4 байта.</div>
<div>
<br />
<b>ОБНОВЛЕНО:</b><br />
<b>Если в конфигурации С-Терра L2 используется параметр fragment (а он используется практически всегда), то дополнительно добавляется 4 байта. При этом суммарный overhead составляет 72-79 байт.</b><br />
<b>Если перехватывается тегированный трафик, то в overhead попадет и метка VLAN 4 байта.</b></div>
<div>
<br />
<br />
Возможны комбинации рассмотренных случаев и дополнительные накладные расходы (например, GRE добавляет еще 20 байт). Для других криптоалгоритмов величина ESP Trailer и ESP ICV могут отличаться, длины других заголовков фиксированы.</div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0tag:blogger.com,1999:blog-1039966563302727774.post-28283621669528273042016-07-28T08:02:00.000-07:002016-11-02T02:53:27.179-07:00Инструкция для подбора VPN оборудования<div dir="ltr" style="text-align: left;" trbidi="on">
Предлагаю некоторый чек-лист для подбора VPN-продуктов.<br />
<br />
Заметка будет полезна инженерам интеграторов, которые подбирают VPN-продукты для решения задач заказчиков. В принципе ей может воспользоваться и сам заказчик, чтобы не забыть о каком-либо компоненте VPN-решения или попросту проверить работу интегратора.<br />
<a name='more'></a><br />
<div>
<br /></div>
<div>
Вопросы разделены на три уровня. Первый - наиболее общий, его обсуждают на постановочных встречах, второй - немного подробнее - для инженеров, подбирающих решений, третий - тоже для инженеров, но максимально подробный и более специфичный.</div>
<div>
<br /></div>
<div>
<b>1 Первый уровень - для руководителей</b></div>
<div>
<br /></div>
<div>
1.1 Какую задачу нужно решить - защита трафика между несколькими площадками или удаленный доступ (или обе одновременно)?</div>
<div>
1.2 Требуется ли соответствие каким-либо нормативным документам (ФЗ152, СТО БР ИББС и т.п.)?</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<b>2 Второй уровень - для инженеров</b></div>
<div>
<br /></div>
<div>
2.1 Укажите топологию сети (точка-точка, звезда и т.п.) с указанием количества и типов объектов.</div>
<div>
2.2 Укажите тип продукта - программно-аппаратный комплекс, виртуальная машина, модуль для другого оборудования</div>
<div>
2.3 Какая производительность шифрования необходима (с указанием типа трафика)? Если неизвестно, то пропускная способность каналов связи.</div>
<div>
2.4 Требуется ли резервирование оборудования (кластеры, ЗИП)?</div>
<div>
2.5 Требуется ли шифрование на канальном уровне?</div>
<div>
2.6 Если речь идет о удаленном доступе, то требуется указать версии ОС рабочих станций и/или мобильных устройств</div>
<div>
2.7 Какой уровень сертификации необходим - КС1, КС2, КС3? Требуется ли сертификация во ФСТЭК?</div>
<div>
2.8 Какой период и тип технического сопровождения ПО необходим?</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<b>3 Третий уровень - </b><b>для инженеров</b><b> инженеров</b></div>
<div>
<br /></div>
<div>
3.1 Есть ли предпочтения по производителю аппаратной платформы (АП)?</div>
<div>
3.2 Сколько требуется сетевых интерфейсов 1G и 10G?</div>
<div>
3.3 Требуется ли дополнительные элементы отказоустойчивости платформы (RAID массив жестких дисков и резервный БП)</div>
<div>
3.4 Какой период и тип технического сопровождения АП необходим?</div>
<div>
<br />
<br />
Вопрос - требуется ли система централизованного управления добавлять не стал, ответ на него очевиден. Собственная система мониторинга тоже будет плюсом, как и возможность встраивания в системы мониторинга заказчика.<br />
<br />
<br />
<br /></div>
<div>
Далее приведу пример заполненного опросника.</div>
<div>
<br /></div>
<div>
1.1 Защита КСПД между головным офисом, ЦОДом, филиалами, а также защита удаленного доступа</div>
<div>
1.2 Необходимо соответствие требованиям ФЗ152</div>
<div>
<br /></div>
<div>
2.1 Топология звезда с двумя центрами - головной офис и ЦОД, к ним подключаются 85 филиалов. Удаленные пользователи подключаются к ЦОД</div>
<div>
2.2 Требуется криптошлюз в виде отдельного устройства</div>
<div>
2.3 Трафик различный. Каналы в головном офисе и ЦОДе - 100 Мбит/c, филиалы - 10 Мбит/c</div>
<div>
2.4 Резервирование требуется в головном офисе и ЦОДе, для филиалов требуется ЗИП ~3-5%</div>
<div>
2.5 L2 требуется между головным офисом и ЦОДом</div>
<div>
2.6 Удаленные пользователи - MS Windows 8.1 x64, Android 5.x, iOS 9.x</div>
<div>
2.7 ФСБ - СКЗИ КС1, ФСТЭК - МЭ3 и НДВ3</div>
<div>
2.8 Поддержка требуется на 3 года</div>
<div>
<br /></div>
<div>
3.1 Предпочтений нет</div>
<div>
3.2 В головном офисе и ЦОД требуется не менее четырех интерфейсов 1G, в филиалах - не менее трех</div>
<div>
3.3 Резервирование требуется в головном офисе и ЦОДе</div>
<div>
3.4 Поддержка требуется на 3 года</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
</div>
Alexander Veselovhttp://www.blogger.com/profile/09671032013812876223noreply@blogger.com0