Расширенный

Расширенный поиск

Автор

Статьи

Установка и настройка СКЗИ

12.02.2019
СКЗИ – это средство криптографической защиты информации. Его использование необходимо в случаях, явно установленных законодательством Российской Федерации (например, защита биометрических персональных данных), а также при наличии в информационной системе угроз, которые могут быть нейтрализованы только с помощью СКЗИ. Самая распространенная задача – защита информации при передаче по недоверенным каналам связи. В статье в качестве примера рассматривается подключение к Национальному координационному центру по компьютерным инцидентам (НКЦКИ) по защищенному каналу связи.

Содержание:

Классы защиты

СКЗИ сертифицируются ФСБ России по классам КС1, КС2, КС3, КВ и КА. Необходимый класс защиты определяется заказчиком (владельцем системы) на основе модели угроз – совокупности условий и факторов, создающих потенциальную или реальную опасность нарушения безопасности информации.

При этом детализированные требования к СКЗИ различных классов имеют ограничительную пометку «Для служебного пользования». Но существуют открытые документы, позволяющие получить общее представление о различных классах и их применении:

  • «Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации», предложенные техническим комитетом по стандартизации «Криптографическая защита информации» (ТК 26);
  • Приказ Федеральной службы безопасности Российской Федерации №378 об обеспечении безопасности персональных данных.


Рисунок 1: Иерархия классов защиты (от минимального к максимальному): КС1, КС2, КС3, КВ, КА.

С повышением класса увеличиваются потенциальные возможности нарушителя, соответственно, увеличивается и перечень механизмов защиты.

Для СКЗИ класса КС1 актуальны угрозы только из-за пределов контролируемой зоны. Для более высоких классов предполагается, что нарушитель имеет физический доступ к оборудованию. Поэтому предусмотрены дополнительные механизмы защиты: для КС2 – это, как правило, доверенная загрузка (проверка целостности при старте ОС, дополнительная аутентификация); для КС3 – замкнутая программная среда (зафиксированный перечень ПО для среды функционирования СКЗИ).

СКЗИ класса КВ применяются, когда злоумышленники могут располагать исходными текстами прикладного ПО, входящего в среду функционирования и взаимодействующего с СКЗИ, а СКЗИ класса КА, – если существует опасность, что преступники имеют возможность доступа к аппаратным компонентам СКЗИ и его среде функционирования.

Для подключения к инфраструктуре НКЦКИ в настоящее время используются СКЗИ класса КС3. Класс КС3 является де-факто стандартом для государственных информационных систем, например, СКЗИ этого класса широко распространены в Системе межведомственного электронного взаимодействия (СМЭВ).

Совместимость СКЗИ различных производителей

В отечественных СКЗИ используются российские криптографические алгоритмы, соответствующие требованиям ГОСТ.

Для формирования электронной подписи и проверки ее целостности ранее использовались ГОСТ 34.10-2001 и 34.11-94. Сейчас осуществляется переход на ГОСТ 34.10/34.11-2012. Переход планируется завершить до конца 2019 года.

Для шифрования чаще всего используется ГОСТ 28147-89. Некоторыми производителями СКЗИ уже реализованы более современные алгоритмы – «Кузнечик» и «Магма» (ГОСТ 34.12-2015). Планируется объявление пятилетнего переходного периода на новые ГОСТ. За это время производители СКЗИ должны будут реализовать поддержку ГОСТ 34.12-2015, а пользователи перейти на них с ГОСТ 28147-89.

Предлагаемые на рынке СКЗИ различных производителей не всегда совместимы между собой по некоторым причинам технического характера (разные таблицы замен для ГОСТ 28147-89, различные форматы ключевых контейнеров и др.).

При рассмотрении задачи построения виртуальных частных сетей (VPN) соответствующих ГОСТ, помимо совместимости криптографии, нужно учитывать совместимость протоколов передачи данных. На российском рынке преимущественно используются продукты нескольких производителей: «ИнфоТеКС» (ViPNet), «Код Безопасности» (Континент), «С-Терра», а также «Элвис-Плюс». «ИнфоТеКС» и «Код Безопасности» используют собственные протоколы, без публичного описания, не совместимые с протоколами других производителей. «С-Терра» и «Элвис-Плюс» применяют стандартный IPsec в соответствии с RFC, совместимый с реализациями других производителей (в частности, «С-Терра» совместима с «КриптоПро»).

По этой причине крупным организациям и государственным сервисам необходимо иметь центральное мультивендорное ядро для подключения к своей инфраструктуре (так, например, было сделано в СМЭВ). Это увеличивает расходы владельца системы на ее обслуживание, но зато позволяет избежать зависимости от одного производителя и сделать подключение более гибким для пользователей.

В настоящее время для подключения к НКЦКИ используется продукция линейки ViPNet компании «ИнфоТеКС»:

  • ViPNet Client КС3 для АРМ оператора – для ручной передачи данных через портал;
  • ViPNet Coordinator КС3 – для автоматизированной передачи данных через API.

В ближайшее время для подключения к НКЦКИ планируется задействовать продукты других компаний, например, «С-Терра», «Код Безопасности» и пр. При этом может быть использован архитектурный подход, аналогичный тому, что был реализован в СМЭВ.

При обсуждении вопросов стандартизации отдельно нужно отметить аспект защиты массового доступа к веб-ресурсам. ГОСТ TLS реализован у нескольких российских производителей, и эти реализации совместимы между собой.

Документация сертифицированного продукта

При сертификации СКЗИ разработчик, производитель, испытательная лаборатория и регулятор (ФСБ России) согласовывают Формуляр и Правила Пользования. Это важнейшие документы, которые существенно влияют на все этапы жизненного цикла СКЗИ.

Формуляр содержит основные характеристики изделия, описание комплекта поставки и другие данные на весь период эксплуатации. Формуляр имеет децимальный номер, который указывается на титульном листе формуляра и в колонтитулах, также номер дублируется в самом сертификате ФСБ России. Например, для ПАК ViPNet Coordinator HW 4 - ФРКЕ.00130-03 30 01 ФО.

В формуляре следует обратить внимание на следующие сведения:

  • Основные характеристики. В этом разделе указываются задачи, которые решает изделие. У криптопровайдера это, например, шифрование, вычисление имитовставки, хэширование, создание и проверка электронной подписи данных в областях памяти. У VPN-продукта – шифрование и имитозащита пакетов. Также в этом пункте указывается конкретная версия (сборка, билд), которая прошла сертификацию. Например, для подключения к НКЦКИ используется ViPNet Coordinator HW1000 (маркетинговое название продукта), у которого сертифицирована версия 4.2.0-1958.
  • Среда функционирования. Речь идет об операционной системе, в которой работает СКЗИ. В некоторых случаях это не имеет принципиального значения для пользователя, например, если СКЗИ поставляется как готовый программно-аппаратный комплекс (тот же криптошлюз ViPNet Coordinator). Но если речь о криптопровайдере или VPN-клиенте, то знание перечня поддерживаемых ОС становится очень важным.
  • Перечень исполнений и комплектность. В одном формуляре может быть указано несколько модификаций СКЗИ, эти модификации называются исполнениями. Они могут быть предназначены для разных задач, соответствовать разным классам защиты. Например, исполнение 1 – VPN-клиент класса КС1 для ОС Windows, исполнение 2 – VPN-клиент класса КС2 для ОС Windows, исполнение 3 – VPN-клиент класса КС1 для ОС  Linux. Чаще всего исполнения СКЗИ могут иметь различные коммерческие названия. Комплект поставки СКЗИ представляет собой следующий набор: Формуляр, копия сертификата ФСБ России, дистрибутив, комплект документации. Также может быть указано дополнительное средство защиты от несанкционированного доступа (далее – НСД), например, для VPN-клиентов класса КС2 обычно используется аппаратно-программный модуль доверенной загрузки (АПМДЗ).

Правила Пользования содержат условия, при которых СКЗИ обеспечивают защиту соответствующего класса. Соблюдение этих условий – обязанность администратора безопасности.

Множество требований к СКЗИ основываются на Приказе ФАПСИ от 13 июня 2001 г. № 152 и распространяются на продукцию большинства производителей СКЗИ, хотя в нем встречаются пункты, характерные для конкретного изделия.

В данном Приказе следует обратить внимание на следующие моменты:

  • Требования по размещению. Обычно требуется круглосуточная охрана, контроль периметра, пропускной режим с журналом учета, пожарная сигнализация. В большинстве случаев эксплуатация допускается только на территории Российской Федерации (экспортные СКЗИ – тема отдельной статьи).
  • Административные меры безопасности. Эксплуатация должна сопровождаться следующими документами: журнал учета СКЗИ, ключей, эталонных дисков и т. п.
  • Требования по защите от НСД. В разделе указываются требования к учетным записям администраторов, парольная политика (требования к паролям, регламент смены), периодичность контроля целостности, контроль вскрытия корпуса.
  • Требования к установке. Очень важный пункт, содержит информацию о возможности установки обновлений ОС и стороннего ПО, настройкам BIOS.
  • Требования по обращению с ключевыми документами. Обычно указываются поддерживаемые носители ключевой информации, способы формирования ключей, максимальный срок действия (как правило, 15 месяцев – для большинства случаев и три года – для токенов с неизвлекаемым ключом), способы и порядок смены, удаления, а также аннулирования.
  • Требования к процедурам конфигурирования. Первоначальное конфигурирование обычно локальное, в дальнейшем возможно удаленное по защищенному каналу. К рабочему месту администратора могут быть предъявлены дополнительные требования по обеспечению безопасности – наличие только лицензионного ПО, защита от НСД и т. д.
  • Требования к политике безопасности. Указываются как общие принципы формирования политики безопасности, например, «запрещено всё, что не разрешено», так и конкретные рекомендации для некоторых параметров, например, периодичность смены сессионного ключа – не реже одного раза в сутки.
  • Порядок ввода в эксплуатацию. Небольшой чек-лист с этапами настройки: ознакомление с документацией, смена паролей, подключение, опломбирование, генерация ключей, формирование политики безопасности.
  • Порядок вывода из эксплуатации. Обычно указано аннулирование ключевой информации и удаление СКЗИ.

Установка

После ознакомления с Формуляром, Правилами Пользования и другой эксплуатационной документацией на СКЗИ можно приступать к следующему этапу – установке.

Предварительно нужно убедиться, что купленное СКЗИ соответствует Формуляру – раздел «комплектность». Если в комплекте поставки дистрибутив с версией, отличной от версии в Формуляре, то это повод обратиться к производителю за разъяснениями. Это могла быть производственная ошибка – представленная версия уже сертифицирована, но по чьему-то недосмотру в комплекте оказался старый формуляр. В худшем случае бывает, что формуляр правильный, а фактически поставленная версия не сертифицирована.

Далее нужно оценить выполнение требований из Правил Пользования. Если СКЗИ поставляется как программное обеспечение, то нужно убедиться в выполнении требований к аппаратной платформе. При невыполнении требований из Правил Пользования, СКЗИ не сможет обеспечить уровень защиты, указанный в сертификате ФСБ России.

При выполнении работ по установке не стоит забывать об административных задачах: сделать отметки в журнале поэкземплярного учета СКЗИ и ключевой информации.

Для установки СКЗИ администратор безопасности должен использовать дистрибутив, доставленный доверенным способом. Обычно СКЗИ поставляется на CD-диске. Тем не менее, предварительно необходимо проверить контрольную сумму установочного файла.

Во время установки требуется ввести лицензию из комплекта поставки, а также пройти процедуру инициализации датчика случайных чисел (ДСЧ). Если ДСЧ биологический, то в зависимости от реализации появится предложение вводить указанные символы или попадать мышкой по «мишеням». Случайное число в таких случаях – интервал времени между нажатиями на клавиши или попаданиями по «мишеням». Если ДСЧ физический, например, в составе АПМДЗ, то процедура инициализации пройдет автоматически, практически незаметно для пользователя.

После завершения установки следует приступить к настройке.

Настройка

Настройка зависит от конкретной задачи и системы, в которой будет использоваться СКЗИ. Рекомендации по формированию политики безопасности указаны в Правилах Пользования, рассмотренных выше.

Настройка может производиться администратором безопасности локально либо централизованно через систему управления. Настройка на системе управления не означает, что никаких локальных действий не потребуется, но они значительно облегчаются. По сути, в центре из шаблона создаётся профайл с политикой безопасности и ключевая информация, далее эти данные доверенным способом доставляются к СКЗИ и импортируются. Дальнейшее управление происходит из системы управления по защищенному каналу.

В НКЦКИ в системе управления ViPNet Administrator создаются профайлы и ключевая информация, далее они передаются в организации, которым требуется подключение и импортируются в приобретенное оборудование ViPNet Coordinator или ViPNet Client.

В дальнейшем аналогичный подход будет использоваться и для СКЗИ других производителей: «С‑Терра», «Код Безопасности» и др.

Эксплуатация

После инициализации и настройки начинается эксплуатация СКЗИ. Во время эксплуатации необходимо техническое сопровождение, которое включает в себя:

  • обновление ключевой информации;
  • аудит политики безопасности;
  • аудит учетных записей и паролей;
  • контроль целостности;
  • просмотр и анализ журналов с протоколируемыми событиями;
  • контроль вскрытия корпуса или повреждения пломб и т. п.

Постоянный мониторинг и аудит – важное условие надежной защиты, которое позволяет принять оперативные меры реагирования при попытках взлома или компрометации СКЗИ.

Рассмотрим подробнее обновление ключевой информации. Максимальный срок ее действия обычно составляет 15 месяцев (для большинства случаев) и три года – для токенов с неизвлекаемым ключом. Обычно обновление происходит заранее, например, через год. Оно может быть локальным – путем доставки новой ключевой информации на съемном носителе (токене), либо удаленным – через систему управления.

Окончание жизненного цикла

Сертификат ФСБ России на СКЗИ выдается на три года. Также имеется возможность его продления примерно на полтора года (итого: пять лет с момента получения Положительного Заключения на СКЗИ). Таким образом, срок жизненного цикла составляет от трех до пяти лет. При этом СКЗИ может быть куплено не сразу после получения сертификата, а позже. В этом случае срок полезного использования уменьшается.

По окончании срока действия сертификата требуется:

  • если задача применения СКЗИ актуальна:
    • обновление СКЗИ до новой сертифицированной версии при технической возможности (наиболее вероятный сценарий развития событий);
    • замена СКЗИ на новое с выводом из эксплуатации старого (если обновление технически невозможно или принято решение использовать СКЗИ другого производителя);
    • пересертификация прежней версии СКЗИ (редкий вариант, так как зачастую у новых версий уже есть новые возможности, необходимые пользователю);
  • если задача больше не актуальна:
    • вывод СКЗИ из эксплуатации.

Последний пункт – это закономерный финал любого продукта, в том числе СКЗИ. В этом случае администратор безопасности удаляет СКЗИ и, как правило, отзывает ключевую информацию. Аналогичные действия выполняются при передаче аппаратных средств, на которых установлено СКЗИ, для ремонта в стороннюю организацию.

Резюме

Процесс эксплуатации СКЗИ регламентируется Формуляром, Правилами Пользования и другой эксплуатационной документацией СКЗИ. Из-за большого объема этих документов разобраться в них неподготовленному человеку довольно сложно. Для внедрения и эксплуатации СКЗИ требуется квалифицированный персонал – процессы очень ресурсоемкие. Этот недостаток может частично нивелироваться централизованным управлением, так как наличие в центральном офисе квалифицированного персонала значительно облегчает процесс внедрения СКЗИ. Но множество задач все равно придется решать на месте, среди них – ремонт или замена аппаратных платформ, замена ключевой информации при ее отзыве, восстановление после сбоев и т. п.

Альтернативный подход – использование сервисной модели с предоставлением преднастроенного СКЗИ. Вариации такого подхода используются при подключении к НКЦКИ. СКЗИ в виде услуги позволяет снизить капитальные затраты на приобретение оборудования и его внедрения, избежать проблем, связанных с дефицитом квалифицированных специалистов, более гибко подойти к эксплуатации – не задумываться об истечении срока действия сертификата ФСБ России на СКЗИ, необходимой производительности оборудования, актуализации политики безопасности и многом другом.

Отдельно нужно отметить проблему несовместимости реализаций СКЗИ различных производителей в рамках направления ГОСТ VPN. В связи с этим крупные организации развернули в центре своей инфраструктуры мультивендорное ядро для подключения к ней.

Автор:
Александр Веселов, руководитель направления ГОСТ VPN, «Ростелеком-Solar».