ГОСТ VPN: когда нужен и как выбрать средство защиты каналов
Что такое ГОСТ VPN и когда он обязателен: защита каналов связи сертифицированным ФСБ России средством криптографической защиты (СКЗИ) с алгоритмами ГОСТ. Разбираем, в каких случаях криптозащита каналов обязательна (передача ПДн вне контролируемой зоны, подключение к ГИС, значимые объекты КИИ), как выбрать класс СКЗИ и на что смотреть при выборе решения.
«ГОСТ VPN» — распространённое название защищённого канала связи, построенного на отечественной криптографии. Разберём, что это такое, когда он обязателен, а когда нет, и как выбрать подходящее решение.
Что такое ГОСТ VPN
ГОСТ VPN — это защита канала передачи данных с помощью сертифицированного ФСБФедеральная служба безопасности — Регулятор криптографической защиты информации и взаимодействия с ГосСОПКА. России средства криптографической защиты информации (СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ.), реализующего алгоритмы шифрования ГОСТ. Трафик между узлами (например, между офисами или между рабочим местом и сервером) шифруется криптошлюзами, поэтому перехват в канале не даёт доступа к данным. От обычного (например, зарубежного) VPN его отличает именно использование сертифицированного СКЗИ с российскими алгоритмами.
Когда ГОСТ VPN обязателен
Криптографическая защита каналов нужна не всегда, а когда это следует из требований и модели угроз:
- Передача ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). по каналам вне контролируемой зоны. Если защита персональных данных ведётся с применением СКЗИ (когда актуальны угрозы перехвата в каналах связи), применяются сертифицированные ФСБ России СКЗИ соответствующего класса (приказ ФСБ России №378).
- Подключение к ГИСГосударственная информационная система — Информационная система, созданная на основании закона или НПА госоргана; меры защиты — по приказу ФСТЭК. и ФГИС. Регламенты подключения к государственным системам, как правило, требуют защищённый канал на сертифицированном СКЗИ.
- Значимые объекты КИИКритическая информационная инфраструктура — Информационные системы и сети госорганов и организаций ключевых отраслей; режим защиты установлен 187-ФЗ. и взаимодействие с ГосСОПКАГосударственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак — Система ФСБ для мониторинга и реагирования на компьютерные атаки, прежде всего на объекты КИИ.. Защита каналов при необходимости строится на сертифицированных средствах — в зависимости от модели угроз, категории объекта и требований.
Для обычной обработки ПДн внутри контролируемой зоны криптозащита каналов может не требоваться — необходимость определяется моделью угроз и применимыми требованиями.
Как выбрать решение
- Класс СКЗИ. Определите требуемый класс (КС1, КС2, КС3, КВ, КА) по уровню защищённости ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств., типу угроз и модели нарушителя — быстро прикинуть можно в калькуляторе класса СКЗИ.
- Сертификат ФСБ. Средство должно иметь действующий сертификат ФСБ России нужного класса; проверять его — по реестру сертифицированных СКЗИ.
- Форм-фактор. Программный или программно-аппаратный криптошлюз в зависимости от нагрузки и архитектуры (примеры классов решений — криптошлюзы отечественных производителей).
- Учёт. СКЗИ и ключевые документы подлежат поэкземплярному учёту (Инструкция ФАПСИ №152).
Чем СКЗИ отличается от обычного файла-сертификата — в статье «Является ли сертификат сайта СКЗИ».
Главное
ГОСТ VPN — это защита каналов связи сертифицированным ФСБ России СКЗИ с алгоритмами ГОСТ. Он обязателен, когда криптозащита каналов следует из требований и модели угроз: передача ПДн вне контролируемой зоны с применением СКЗИ, подключение к ГИС, защита значимых объектов КИИ. Класс СКЗИ выбирается по уровню защищённости и модели угроз, средство должно иметь действующий сертификат ФСБ и подлежит поэкземплярному учёту.