понедельник, 4 октября 2021 г.

Выбор класса защиты компонентов криптошлюза и других СКЗИ

К нам периодически поступают вопросы относительно выбора компонентов криптошлюза КриптоПро NGate (хотя они применимы и к любым другим сертифицированным СКЗИ):

  1. Обязательно ли использовать клиентские и серверные компоненты одного класса защиты?
  2. Если шлюз класса КС2/КС3 а клиент КС1, то защищённое соединение будет класса КС1?

Если коротко, то на оба вопроса ответ - НЕТ. А теперь давайте разбираться.

Обратимся к «Методическим рекомендациям ФСБ (от 31 марта 2015 года № 149/7/2/6-432) по разработке НПА, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн…»: http://www.fsb.ru/files/PDF/Metodicheskie_recomendacii.pdf

Не смотря на название документа, как написано в самом документе - руководствоваться им необходимо не только органам власти при разработке соответствующих НПА, но целесообразно руководствоваться и остальным операторам ПДн.

Найдем в документе такой пункт (в 3-м разделе):

«В случае если оператор определил, что применение СКЗИ необходимо для обеспечения безопасности ПДн в различных сегментах ИСПДн, то класс СКЗИ определяется для каждого объекта защиты в рамках одной ИСПДн. В случае применения СКЗИ для обеспечения безопасности различных объектов защиты, возможно в рамках одной ИСПДн использовать СКЗИ разных классов».

Начнем ответы на вопросы с того, что такого понятия, как «класс защиты соединения», нет, класс СКЗИ определяется для каждого объекта защиты в рамках одной ИСПДн. В нашем случае серверные и клиентские компоненты находятся в разных сегментах ИСПДн и их целесообразно отнести к разным объектам защиты.

При этом совершенно типичной является ситуация, когда в модели нарушителя для системы фиксируются требования КС3 для сервера и КС1 для клиента. Самый близкий и массовый пример тут, пожалуй, ЕБС (Единая биометрическая система), в моделях для которой явно прописаны именно такие классы. И это не только следствие практической необходимости (на телефон на iOS или Android ничего выше КС1 поставить не получится), но и явное отражение существенных аспектов: классы КС2 и КС3 нужны тогда, когда к СКЗИ может получать физический доступ нарушитель (источник атак). На шлюзе это необходимо – нельзя считать всех уборщиц ЦОДа и всех администраторов доверенными людьми. А вот у пользователя совершенно спокойно хватит КС1, ведь свой ноутбук/смартфон он по объективным причинам в руки нарушителей давать не будет (по крайней мере не должен).

Таким образом, «обеспечение криптографической защиты для доступа к ресурсу по классу КС3» - это разворачивание на нем оборудование класса КС3. А вот клиенты подключаться к нему могут с помощью компонент разных классов.