Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

СОИБ. Проектирование. Сертифицированный защищенный удаленный доступ (Remote VPN) часть 1

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()

Сразу хочу отметить исходные условия:

·        вопросы необходимости сертификации СКЗИ в данной статье не рассматриваются;

·        постоянно возникают задачи из всего спектра существующих средств построения VPNбыстро выбрать те, которые походят под  ограничивающие условия у Заказчика (а уже потом из тех, которые в принципе будут работать делать сравнение по функциям)

·        функциональные возможности средств защиты удаленного доступа в данной заметке не рассматриваются

·        основными ограничивающими условиями для защищенного удаленного доступа являются – типы устройств с которых должен осуществляться доступ, используемые операционные системы и требуемый класс криптографической защиты (КС1, КС2, КС3). По этим условиям легко проводить объективное сравнение – все они приведены  в формулярах на СКЗИ

·        речь идет о защите удаленного доступа типовых пользователей крупной и средней компании (то есть не единичного АРМ, а ноутбуков с разными ОС и желательно планшетов)


Вариант КС2.

Начну с выводов: если речь идет о ноутбуках, то решения фактически отсутствуют. С планшетами ситуация ещё хуже.


Обоснование:  в формулярах на все СКЗИ в исполнении КС2 указывается необходимость использование средств защиты от несанкционированного доступа из следующего перечня:

·        Программно-аппаратный комплекс с физическим датчиком случайных чисел "Соболь"

·        Аппаратно-программный модуль доверенной загрузки универсальный КРИПТОН-ЗАМОК/У

·        Программно-аппаратное средство "Аккорд-АМДЗ"

·        Специальный загрузочный носитель - СЗН "МАРШ!-USB"


Возьмем, к примеру, Аккорд-АМДЗ. Единственными моделями в принципе подходящими для ноутбуков являются варианты Mini PCI Express и Mini PCI Express half-size. Но и в нем поддерживаются далеко не все модели BIOS и аппаратных платформ на ноутбуках.  Переченьмоделей, протестированных производителем, невелик.  Перед каждым проектом нужно собирать подробный перечень моделей и отправлять производителю + время на тестирование + не всего оно возможно.



Например, у нашего пользователя есть довольно популярный MacBook Air . Куда там ставить Mini PCI Express? Его и открывать то нельзя. Аесли откроем – увидим что свободного слота там нет. Да и операционная система OS X Lion этого ноутбука так-же не поддерживается.


Соболь – ситуация аналогична Аккорду, толь ещё хуже, потому что модель Mini PCI Express только появилась и даже не сертифицирована  ФСБ.


Криптон – вообще только PCI Express и для ноутбуков не подходит.


Загрузочный носитель МАРШ! – вроде подходит для всех ноутбуков, поддерживающих загрузку с USB. Но какие он поддерживает  ОС – Fedora и AltLinux?  А где же наш Windows 7 Корпоративный (про OS X молчу)?  Пересаживать всех пользователей на Linux? Нет – руководство заказчика на это не пойдет (ведь они же первые используют удаленный доступ с ноутбуков).


У Вас возникает вопрос – а кто вообще требует КС2/КС3 для удаленного доступа?  Кому пришла в голову такая глупость?


Во-первых, такая ситуация возникает, когда пишется модель нарушителя по ФСБ сразу для всей области защиты. КС1 – это нарушитель Н1. Н1 – это нарушитель не имеющий физического доступа к средствам обработки организации.  Н2 – отличается от Н1 тем что может получить физический доступ к средствам обработки организации. Чтобы обосновать Н1, нам фактически придется обосновать что все сотрудники являются доверенными лицами. Если по-честному, то после такого сильного утверждения применять средства защиты внутри организации вообще не требуется.


Во-вторых, требуемый класс защиты часто спускается отраслевым регулятором или вышестоящей организацией. В регионе такую ситуацию можно наблюдать регулярно.


В-третьих КС2 или даже КС3 может потребоваться в соответствии с будущими документами ФСБ по защите ПДн. По версии Алексея Лукацкого эти требования будут выглядеть так. И КС2 и выше там вполне могут быть.



PS: К чему была эта часть? Коллеги, внимательно выставляйте требования к классам защиты. КС2 для удаленного доступа быть не должно.

PPS: Следует продолжение по КС1, ссылки на формуляры и таблица сравнения.

Total votes: 0
Тэги: 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.