Шифрование по ГОСТу: кому оно показано и как применять
Ситуация с рисками информационной безопасности (ИБ) во всем мире развивается таким образом, что специальная защита корпоративных каналов связи становится объективной необходимостью — вопрос только в выборе наиболее удобных и экономически выгодных ИБ-решений. Дополнительными стимулами в этом направлении стали программа «Цифровая экономика» и стратегия импортозамещения в сфере ИТ. Как регулируется VPN-шифрование в нашей стране, почему в целом растет популярность ГОСТ-криптографии и в каких случаях целесообразно приобретать ее как сервис — разбираемся вместе с руководителем направления ГОСТ VPN компании «Ростелеком-Солар» Александром Веселовым.
Российская криптография как требование регуляторов
По мере усиления информатизации различных отраслей экономики РФ соответствующие регуляторы вводят требования по защите каналов связи, причем с применением российских средств криптографической защиты информации (СКЗИ). Например, в финансовой отрасли действует Положение Банка России № 672-П, а также ГОСТ Р 57580.1-2017 — базовый стандарт совершения страховыми организациями операций на финансовом рынке. В соответствии с указанием Банка России и ПАО «Ростелеком» №4859-У/01/01/782-18 о Единой биометрической системе (ЕБС), криптозащита необходима на всех этапах передачи данных между инфраструктурой банков, банковскими приложениями и сервисами электронного правительства.
Минздрав РФ выпустил приказ №911н, который вступает в силу с 1 января 2020 года и касается всех медицинских и фармацевтических организаций. Приказ требует использовать сертифицированные средства защиты, в том числе для каналов связи.
В электроэнергетике в конце 2018 г. утвержден приказ Министерства энергетики №1015, в соответствии с которым для защиты Систем Удаленного Мониторинга и Диагностики (СУМиД) необходимо использовать сертифицированные средства защиты. По сути, речь идет о защищенном обмене данными в контуре АСУ ТП.
Использование сертифицированных СКЗИ операторами персональных данных регламентирует Постановление Правительства №1119, а также Приказ ФСБ России № 378. TAdviser выпустил новую Карту «Цифровизация ритейла»: 280 разработчиков и поставщиков услуг
Подключение организаций к центрам мониторинга, например, Национальному координационному центру по компьютерным инцидентам (НКЦКИ) в рамках глобальной системы ГосСОПКА требует применения сертифицированных СКЗИ — приказ ФСБ России №196.
Для прохождения сертификации, которую осуществляет ФСБ России, СКЗИ должны использовать отечественные криптоалгоритмы (ГОСТ 28147-89. ГОСТ 34.10/34.11-2012. ГОСТ 34.12/34.13-2015).
В принципе, создавая защищенные виртуальные частные сети (VPN), коммерческие компании могут воспользоваться и зарубежными криптоалгоритммами, например, AES или SHA, однако они не сертифицированы ФСБ России. Поэтому целесообразнее использовать СКЗИ с российскими криптоалгоритмами — это позволяет обеспечить высокую степень защиты передаваемой информации и выполнить требования российских регуляторов. Тем более, что имевшееся ранее заметное отставание отечественного криптографического оборудования от западного стремительно сокращается: обогащается функционал, растет производительность (пропускная способность отдельного устройства и количество поддерживаемых защищенных соединений), новая архитектура решений значительно упрощает эксплуатацию. Именно по этой причине многие крупные игроки в разных отраслях экономики переходят на отечественные крипторешения, даже в отсутствие таких требований со стороны того или иного регулятора.
Криптографическая защита становится проще и доступнее
Привычная схема работы при создании защищенных корпоративных каналов связи — реализация комплексного проекта. Обычно он включает традиционные этапы: проектирование, закупку оборудования, пуско-наладочные работы и сопровождение системы в течение ее жизненного цикла. Однако применение сертифицированных СКЗИ часто сопряжено с рядом проблем. Основные из них: нехватка квалифицированного персонала, сложности с настройкой и соблюдением всех требований ФСБ России к эксплуатации. Кроме того, не всегда возможно обеспечить круглосуточную поддержку функционирования криптосистем, так как для этого нужна целая команда ИБ-специалистов, работающих посменно.
Серьезная проблема — дополнительные затраты на поддержание версии продукта в актуальном состоянии, — отмечает Александр Веселов. — Дело в том, что легитимный срок эксплуатации средства криптографической защиты составляет приблизительно 3–5 лет, что гораздо меньше жизненного цикла телеком-оборудования. Связано это со сроком действия сертификата ФСБ России. |
Первую попытку упростить ситуацию для заказчиков сделали вендоры: ввели техническую поддержку с возможностью обновления версии СКЗИ. Это действительно сняло некоторую головную боль клиентов, но не всю, ведь вопросы эксплуатации, требующие участия высококвалифицированного персонала, остались. Закрыть этот вопрос можно с помощью сервисной модели. В Постановлении Правительства РФ № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств...» указывается, что решение данных задач возможно не только с привлечением сторонней организации на разных этапах проекта, но и посредством сервисной модели.
Поставщиков сервиса класса «VPN с криптографической защитой (ГОСТ) как сервис» можно условно разделить на две группы: операторы связи и облачные провайдеры. Облачные провайдеры (МТС, «Ростелеком», Dataline и др.) предлагают организовать защищенный по ГОСТу доступ к своим сервисам. А операторы связи могут применить отечественное шифрование на своих каналах связи. Такие услуги предоставляют, например, «Ростелеком», «Мегафон», Orange.
Это очень динамичный сегмент рынка, набирающий обороты, отмечает Александр Веселов:
Сервисная модель знаменует новую стадию развития рынка VPN, благодаря которой заказчик получает сразу несколько принципиальных преимуществ: высокий уровень криптографической защиты корпоративных VPN, простоту использования сервиса, прогнозируемые затраты и ликвидацию проблемы дефицита кадров. |
ГОСТ VPN — на примере сервиса «Ростелеком-Солар»
ГОСТ VPN – это сервис шифрования каналов связи на базе сертифицированных ФСБ России СКЗИ. Решение базируется на трех «китах».
- Тесная интеграция с услугами связи «Ростелекома» обеспечивает быстрое подключение и гибкую масштабируемость сервиса. Все это — услуги связи и шифрования — возможно в рамках единого договора.
Однако сервис ГОСТ VPN может использоваться и отдельно — компания-заказчик не ограничена в выборе оператора связи. - Мониторинг и реагирование на инциденты кибербезопасности в режиме 24*7. Предоставляется специалистами центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар».
- Архитектура гибкого сервиса. Используются сертифицированные СКЗИ, причем можно выбрать конкретного вендора из тройки лидеров в России. Применяемые решения позволяют создавать новые и модифицировать существующие защищенные сети, а также обеспечивать взаимодействие с другими защищенными сетями.
Характеристики защищенности ГОСТ VPN
В рамках сервиса ГОСТ VPN используются СКЗИ, сертифицированные ФСБ России по классу КСЗ. Данный класс наиболее распространён и является де-факто стандартом на российском рынке.
Требования к СКЗИ различных классов не являются общедоступными, но некоторая их часть изложена в Рекомендациях по стандартизации Р 1323565.1.012-2017 «Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации». Основные технические особенности оборудования класса КС3 – разграничение доступа администраторов безопасности, замкнутая программная среда и криптографический контроль целостности компонентов.
СКЗИ данного класса выпускают в виде программно-аппаратных комплексов различной производительности.
В полном соответствии с требованиями регулятора компания «Ростелеком-Солар», предлагающая услуги такого уровня, обладает лицензией ФСБ России на предоставление услуг по шифрованию каналов передачи данных.
Сервис ГОСТ VPN, обеспечивающий защиту каналов связи, реализует эту защиту на канальном и сетевом уровнях (L2/L3) модели OSI. Выбор того или иного механизма защиты зависит от специфики задач клиента. Скажем, конфигурирование управляемой из облака сети, защищенной на уровне L3, обеспечивает возможности практически неограниченного масштабирования. На подобных принципах базируется, в частности, сетевая архитектура Интернета или крупных дата-центров. На сетевом уровне L3 работают протоколы динамической маршрутизации, например, OSPF и др., позволяя строить кратчайшие пути для пакетов данных или отправлять их одновременно по нескольким путям для балансировки загрузки и т.д.
Особенности эксплуатации защищенных каналов связи в рамках сервисной модели
Провайдер услуги осуществляет работы на каждом этапе жизненного цикла сервиса: от закупки и построения до эксплуатации системы криптозащиты. Заказчику не обязательно выбирать производителя СКЗИ — по его запросу все требуемые действия выполнит поставщик услуги. Сервис-провайдер самостоятельно поддерживает версию СКЗИ в актуальном состоянии (приобретение новой версии, удаленное или локальное обновление), обеспечивает работоспособность аппаратной части (пул запасного оборудования, выезды на объекты, перенос конфигурации), ведет журнал учета СКЗИ и другую документацию. При этом осуществляет актуализацию политик безопасности и обновление ключей, круглосуточный мониторинг работоспособности и устранение инцидентов.
Заказчик получает услугу «под ключ», в отчетный период ему предоставляется статистика по работоспособности и запросам. При этом размер ежемесячного платежа остается неизменным, если не меняются параметры получаемой услуги, например, связанные, с появлением у клиента новых офисов или повышением пропускной способности каналов связи, — комментирует Александр Веселов. |
После установки СКЗИ у заказчика за их эксплуатацию полностью отвечает команда квалифицированных ИБ-специалистов «Ростелеком-Солар», что гарантирует:
- производительность и отказоустойчивость сервиса (в соответствии с соглашением об уровне услуг SLA);
- применение актуальных настроек VPN и политик ИБ;
- возможность взаимодействия с другими защищенными сетями;
- быстрое обнаружение и устранение инцидентов безопасности в режиме 24×7.
Важно, что провайдер услуги берет на себя все заботы, связанные с соблюдением законодательства в отношении средств криптозащиты: применение только сертифицированных продуктов лидирующих вендоров, тщательное отслеживание всех изменений нормативной базы – сервис всегда соответствует всем нюансам актуальных законов и регламентов. И это при минимуме бюрократии на стороне клиента и прогнозируемых затратах.
В чем преимущества сервисной модели ГОСТ VPN
Оплата фактически потребляемого сервиса дает прямую экономию:
- снижаются затраты на оборудование и персонал — капитальные издержки переходят в операционные;
- совокупная стоимость владения сервисами значительно дешевле традиционной схемы, включающей покупку, внедрение и последующую поддержку ИБ-решений;
- благодаря распределенной отказоустойчивой инфраструктуре и квалифицированной команде эксплуатации минимизируются издержки на подключение к сервисам, ремонты и простои оборудования по причине аварий или инцидентов ИБ;
- простая масштабируемость услуги позволяет оперативно менять ее параметры, что тоже сокращает затраты на модернизацию;
- заключение единого договора на услуги связи и шифрования также дает определенную экономию заказчику.
Экономия на стоимости услуг высококвалифицированного ИБ-персонала:
- устраняется зависимость от дорогостоящих кадров узкой специализации.
- нет необходимости создавать еще один отдел в составе своего ИБ-департамента.
Как правило, физической границей разделения зон ответственности между заказчиком и поставщиком сервиса являются внутренние порты предоставляемого оборудования. Поскольку оно устанавливаются у клиента, тот должен заботиться о сохранности аппаратных решений и соблюдать ряд условий: по электропитанию, климат-контролю, свободным сетевым интерфейсам, при необходимости — местам в стойке.
Кому «доктор прописал» сервис ГОСТ VPN
Небольшая компания с двумя-тремя офисами вполне может обойтись при создании защищенных каналов собственными силами: начальные расходы на старте проекта невелики, а трудозатраты по эксплуатации решения вполне можно распределить между имеющимися сотрудниками.
Компании среднего бизнеса с 10–40 объектами имеют более сложные сетевые инфраструктуры, им зачастую требуется помощь сторонней профессиональной компании-интегратора для проектирования защищенной сети, внедрения решения, а также дальнейшей технической поддержки. В таких условиях сервисная модель оказывается практически идеальным выбором: сервис-провайдер предоставит оборудование и обеспечит эксплуатацию, а заказчику вообще не придется участвовать в процессах технической поддержки, содержать дополнительный ИТ/ИБ-персонал в офисах. Понятно, что радикально снижается совокупная стоимость системы защиты.
В крупных распределенных компаниях с количеством офисов более 50 всегда есть множество специфических особенностей. И обычно в таких организациях есть свой штат квалифицированного персонала. В этом случае для проектирования и внедрения защищенной сети обмена данными компания может привлечь интегратора, а эксплуатацию осуществлять собственными силами. И здесь переход на сервисную модель поможет распределять во времени затраты на поддержку системы, а также освободит персонал от рутинных работ, позволяя сконцентрироваться на основном бизнесе.
Смотрите также