среда, 20 июня 2012 г.

Защищенный доступ к web-серверу или когда стоит проводить оценку влияния на СКЗИ

Ну что, начну писательство потихоньку. Тем более появился такой хороший повод - опубликовать официальный ответ представителей ФСБ по поводу необходимости проведения оценки влияния на СКЗИ при организации защищенного доступа к web-серверу.

Для тех, кто не в курсе. Что такое "оценка влияния" и с чем её едят - ну допустим взяли вы какое-нибудь ПО или написали сами и хотите интегрировать в него нашу, любимую сердцу, отечественную криптографию (для шифрования данных или подписания с помощью ЭЦП и т.п.). Наиболее часто встречающаяся задача такого типа - это организация защищенного доступа к web-серверу через TLS-соединения (HTTPS-сервер, если проще). Понятно, что для этого нужно взять отечественное криптоядро (СКЗИ типа КриптоПро CSP, ViPNet CSP или других). И вот тут встает вопрос (на самом деле у многих по незнанию он даже не встает) - а достаточно ли просто использования сертифицированного ФСБ такого криптоядра или нужно ещё что-то? Вот в рамках ответа на этот вопрос и ФСБ и говорит об оценке влияния ПО на СКЗИ. Процедура это нетривиальная, нужно писать ТЗ с моделью нарушителя, согласовывать его в ФСБ, проводить испытания, при этом проводить их должны организации с лицензией ФСБ или вообще испытательные лаборатории ФСБ (в зависимости от класса применяемого СКЗИ). Сложно!!! Я постараюсь разнести все по полочкам, чтобы было ясно, как можно избежать этой процедуры.

Первое, что вы должны сделать - это посмотреть формуляр на криптоядро (вы можете скачать его с сайта вендора или запросить, если он не опубликован). Внимательно его изучите. Там указывается когда и при каких условиях следует проводить оценку влияния ПО на СКЗИ. Для ViPNet CSP, например, это п. 9 раздела 3, для КриптоПро CSP - п.1.5 раздела 1. Прочитали - и поняли, надо вам её делать или нет. Есть правда в данном моменте одна юридическая несостыковка. Существует ещё такой документ в ФСБ - ПКЗ-2005, где описывается порядок разработки, эксплуатации и прочего СКЗИ для информации, не составляющей гос. тайну. Так вот в нем также указана необходимость проведения оценки влияния (п.35), есть в нем и п.3, который один в один совпадает с теми условиями, которые прописаны в формулярах СКЗИ. Но!!! есть и п.4, который определяет условия, когда положения ПКЗ-2005 являются только рекомендациями (в том числе и п.35), и вот это в формулярах не учтено. Т.е. возможны условия, когда по ПКЗ-2005 мы на оценку влияния не выходим, а вот по формуляру почему-то должны (к примеру при защите коммерческой тайны негосударственными органами).

Первый шаг я описал, допустим пока что мы выходим на необходимость оценки влияния. Но это ещё не конец, и вот тут начинается самое интересное - мы изучаем формуляр дальше (и другие документы разработчика СКЗИ, для КриптоПро, например, это документ "Описание реализации"). И находим в этих документах перечень ПО и ОС, под управлением которых это СКЗИ штатно работает. Если наше ПО, с которым будет работать СКЗИ, входит в этот перечень, то проблема решена - оценку влияния проходить не надо. Если ПО, которое мы будем использовать, входит в состав ОС, которые указаны в документах СКЗИ - то тоже оценку влияния проводить не надо. В частности это касается встроенных в ОС веб-серверов и браузеров. Если же мы не попадаем под этот перечень ПО, то вынужден вас огорчить - оценку влияния делать придется.

Таким образом, делаю заключительный практический вывод - если вам надо организовать например защищенный доступ к веб-серверу с передачей защищаемой законом информации или вы являетесь органом исполнительной власти (см. п.3 ПКЗ-2005) и вы не хотите проходить через оценку влияния - организуйте его встроенными средствами ОС, подходящей под выбранное криптоядро. Для продуктов КриптоПро CSP и ViPNet CSP - это брузер IE, веб-сервер IIS, веб-сервер Apache (из состава ОС Linux). Для подтверждения своих выводов публикую официальный ответ представителей ФСБ на этот счет.




Да граждане, на забываем, что все это касается только работы с прикладным ПО, если мы говорим о VPN-системах, то здесь нужна обязательная отдельная сертификация ФСБ, об этом уже много где говорилось.