СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Павел Луцик
03.10.2021
#Dev#ИБ#Инфра

Выбор класса защиты компонентов криптошлюза и других СКЗИ

Выбор класса защиты компонентов криптошлюза и других СКЗИ

/


К нам периодически поступают вопросы
относительно выбора компонентов криптошлюза КриптоПро NGate (хотя они применимы и
к любым другим сертифицированным СКЗИ):

  1. Обязательно ли использовать клиентские и серверные компоненты одного класса
    защиты?
  2. Если шлюз класса КС2/КС3 а клиент КС1, то защищённое соединение будет класса
    КС1?

Если коротко, то на оба вопроса ответ — НЕТ. А теперь
давайте разбираться.

Обратимся к «Методическим рекомендациям ФСБ (от 31
марта 2015 года № 149/7/2/6-432) по разработке НПА, определяющих угрозы безопасности
ПДн, актуальные при обработке ПДн в ИСПДн…»: http://www.fsb.ru/files/PDF/Metodicheskie_recomendacii.pdf

Не смотря на название документа, как написано в самом
документе — руководствоваться им необходимо не только органам власти при
разработке соответствующих НПА, но целесообразно руководствоваться и остальным
операторам ПДн.

Найдем в документе такой пункт (в 3-м разделе):

«В случае если оператор определил, что применение
СКЗИ необходимо для обеспечения безопасности ПДн в различных сегментах ИСПДн,
то класс СКЗИ определяется для каждого объекта защиты в рамках одной ИСПДн. В
случае применения СКЗИ для обеспечения безопасности различных объектов защиты,
возможно в рамках одной ИСПДн использовать СКЗИ разных классов».

Начнем ответы на вопросы с того, что такого
понятия, как «класс защиты соединения», нет, класс СКЗИ определяется для
каждого объекта защиты в рамках одной ИСПДн. В нашем случае серверные и
клиентские компоненты находятся в разных сегментах ИСПДн и их целесообразно отнести
к разным объектам защиты.

При этом совершенно типичной является ситуация,
когда в модели нарушителя для системы фиксируются требования КС3 для сервера и
КС1 для клиента. Самый близкий и массовый пример тут, пожалуй, ЕБС (Единая биометрическая
система), в моделях для которой явно прописаны именно такие классы. И это не
только следствие практической необходимости (на телефон на iOS или Android ничего
выше КС1 поставить не получится), но и явное отражение существенных аспектов:
классы КС2 и КС3 нужны тогда, когда к СКЗИ может получать физический доступ
нарушитель (источник атак). На шлюзе это необходимо – нельзя считать всех
уборщиц ЦОДа и всех администраторов доверенными людьми. А вот у пользователя
совершенно спокойно хватит КС1, ведь свой ноутбук/смартфон он по объективным
причинам в руки нарушителей давать не будет (по крайней мере не должен).

Таким образом, «обеспечение криптографической
защиты для доступа к ресурсу по классу КС3» — это разворачивание на нем оборудование
класса КС3. А вот клиенты подключаться к нему могут с помощью компонент разных
классов.

Источник — Блог Павла Луцика «Информационная безопасность на 360°».

Павел Луцик
Автор: Павел Луцик
Блог Павла Луцика "Информационная безопасность на 360°"
Комментарии: