Список НПА, в которых требуется использование СКЗИ

Для ряда организаций использование средств криптографической защиты информации (СКЗИ), сертифицированных ФСБ России, является необходимым. Собрал нормативку с требованиями в одной заметке.

АПМДЗ в составе СКЗИ

В СКЗИ классов КС2 или КС3 должна быть реализована защита от атак, которые могут быть проведены из пределов контролируемой зоны (подробнее в публичных требованиях к СКЗИ, п.6.1.3). Существует как минимум два варианта реализации защиты – программными средствами и с помощью аппаратно-программного модуля доверенной загрузки (АПМДЗ). Реализация программными средствами происходит с привязкой к конкретной аппаратной платформе, которая указывается в формуляре, правилах пользования, технических условиях или других документах на СКЗИ. Примеры - Coordinator HW от Инфотекс и ESR-ST от С-Терра. Второй вариант – установка АПМДЗ в виде отдельной платы. Именно такой подход использует Код Безопасности в линейке Континент - в шлюзы установлен АПМДЗ Соболь. В продуктах С-Терра тоже используется АПМДЗ, но есть возможность использования замков нескольких производителей. Они перечислены в формуляре и будут рассмотрены в заметке.

Варианты установки криптошлюза: inline или on-a-stick

При добавлении в инфраструктуру отдельного VPN-шлюза (особенно отечественного) всегда возникает вопрос какую схему включения использовать – inline (в разрыв) или on-a-stick (сбоку – «на одной ноге» или на двух). Технически при грамотной настройке все эти варианты работоспособны. Больше всего вопросов возникает по схеме on-a-stick: для сетевых инженеров она наиболее привычна и удобна, но многие сомневаются пройдет ли такая система аттестацию.

Экспорт СКЗИ

В этом году на Рускрипто был интересный доклад Валерия Комарова об организации защищенных каналов связи с зарубежными представительствами. Валерий трудится в компании РТ-Информ (Ростех), но выступал как независимый эксперт. Его доклад был посвящен проблемам, с которыми он столкнулся при попытке вывезти СКЗИ за пределы РФ. Речь шла о VPN-продукте Кода Безопасности – Континент АП, который вывезти не удалось.

Необходимость использования сертифицированных средств

Довольно часто у заказчиков возникает вопрос - использовать сертифицированные средства защиты информации или обойтись несертифицированными. Выбор несертифицированных гораздо больше, соответственно, есть варианты с довольном скромным прайс-листом. Сертифицированных средств меньше, они дороже, но в некоторых случаях их использование обязательно. В заметке рассмотрим один из таких случаев подробнее.