Блог Александра Веселова

Про ГОСТ VPN и не только

ЦБ

Про VPN в проекте ГОСТ «Защита информации финансовых организаций»

Александр Веселов
На данный момент отраслевой стандарт для финансового сектора СТО БР носит рекомендательный характер. В следующем году планируется его перевод в ГОСТ и обязательное выполнение всеми финансовыми организациями.
Рассмотрим, как изменятся требования по использованию VPN после принятия ГОСТ «Защита информации финансовых организаций», содержащего Базовый состав организационных и технических мер защиты информации.

На данный момент документ находится в статусе проекта и доступен на сайте технического комитета №122.

Основные моменты

Для кого:

Положения настоящего стандарта предназначены для использования кредитными организациями и некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)»

О чем:

Устанавливает три уровня защиты информации и состав мер для каждого из них.

Определены три уровня защиты информации:
— уровень 3 – минимальный;
— уровень 2 – стандартный;
— уровень 1 – усиленный.

Установлены три варианта реализации меры:
— «О» – реализация путем применения организационной меры защиты информации;
— «Т» – реализация путем применения технической меры защиты информации;
— «Н» – реализация, является необязательной.

Как определить уровень защиты:

Уровень защиты информации финансовой организации для конкретной области применения устанавливается нормативными актами Банка России и зависит от:
— вида деятельности финансовой организации, состава реализуемых бизнес-процессов и (или) технологических процессов;
— объема финансовых операций;
— размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
— значимости финансовой организации для финансового рынка и национальной платежной системы.

О каких актах Банка России идет речь выше, пока не понятно. Зато указано как соотнести уровни данного документа с уровнями защищенности ПДн из ПП1119:
• 2 стандартный = УЗ3, УЗ4;
• 1 усиленный = УЗ1, УЗ2.

Реализация мер в части СКЗИ

Как и ранее в СТО БР финансовая организация самостоятельно определяет необходимость использования СКЗИ. Например, вместо VPN-туннеля можно реализовать защиту канала связи между двумя соседними зданиями с помощью сотрудников ЧОП:

6.14 Финансовая организация самостоятельно определяет необходимость использования средств криптографической защиты информации (СКЗИ), если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации, в том числе нормативными актами Банка России, и (или) правилами платежной системы.

В разделе «7. Требования к системе защиты информации» перечислены меры защиты и варианты реализаций для различных уровней. Раздел разбит на процессы, некоторые из них – на подпроцессы.

Процесс 2 «Обеспечение защиты вычислительных сетей»
Подпроцесс «Защита информации, передаваемой по вычислительным сетям»

Условное обозначение и номер меры
Содержание мер системы защиты информации
Уровень защиты информации
3
2
1
ЗВС.3
Защита информации от раскрытия и модификации, применение двухсторонней аутентификации с применение СКЗИ при ее передаче с использованием сети Интернет, телекоммуникационных каналов и (или) линий связи, не контролируемых финансовой организацией
Н
Н
Т
Процесс 7 «Защита среды виртуализации»
ЗСВ.19
Запрет на копирование текущих образов виртуальных машин использующих СКЗИ, с загруженными криптографическими ключами
Т
Т
Т
Процесс 8 «Защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств»
ЗУД.5
Реализация защиты информации от раскрытия и модификации, двухсторонняя аутентификация участников информационного обмена с применение СКЗИ
Н
Н
Т
Таким образом, необходимость использования СКЗИ указана только для 1 уровня защиты.
Далее в разделе «8 Требования к организации и управлению защитой информации» указаны основные этапы жизненного цикла и принципы построения системы защиты, а также базовый состав защитных мер.

8.3.1 Деятельность в рамках направления «реализация» выполняется по результатам выполнения направлений «планирование» и (или) «совершенствование» (см. 8.2 и 8.5 соответственно).

 В рамках направления «реализация» финансовая организация обеспечивает: …

— применение средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации;

В явном виде указано использование сертифицированных средств защиты. Конкретика указана в выдержках из таблицы с базовым составом мер.
Базовый состав мер по реализации системы защиты информации
Условное обозначение и номер меры
Меры защиты информации
Уровень защиты информации
3
2
1
РЗИ.14
Применение СКЗИ имеющие класс не ниже КС2
Н
Н
Т
РЗИ.11
Применение средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации:
— средств вычислительной техники, за исключением средств (систем) защиты информации от несанкционированного доступа, не ниже шестого класса;
 систем обнаружения вторжений и средств антивирусной защиты не ниже пятого класса защиты;
— межсетевых экранов не ниже четвертого класса
Н
Т
Н
РЗИ.12
Применение средств защиты информации, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации:
— средств вычислительной техники, за исключением средств (систем) защиты информации от несанкционированного доступа, не ниже пятого класса;
— средств (системы) защиты информации от несанкционированного доступа не ниже четвертого класса;
— систем обнаружения вторжений и средств антивирусной защиты не ниже четвертого класса защиты;
— межсетевых экранов не ниже четвертого класса
Н
Н
Т
РЗИ.13
Применение при взаимодействии с информационно-телекоммуникационной сетью Интернет межсетевых экранов, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации, не ниже третьего класса
Н
Т
Т
Итого:
• Уровень защиты информации финансовой организации устанавливается нормативными актами Банка России;
• Использование СКЗИ, сертифицированных по классу не ниже КС2, обязательно для обеспечения 1 уровня защищенности при защите каналов связи и защите удаленного доступа (и не только для ПДн);
• Для обеспечения 2 и 3 уровня защищенности при защите каналов связи и защите удаленного доступа (если это не противоречит другим НПА, в частности — по защите ПДн) использование сертифицированных СКЗИ необязательно;
• Если СКЗИ используется в виртуальной среде, то необходимы дополнительные меры защиты (упомянул только запрет копирования, всего в 7 процессе 41 мера защиты);
• Регламентировано применение сертифицированных межсетевых экранов и систем обнаружения вторжений, которые довольно часто входят в состав VPN-продуктов, являющихся СКЗИ. Указана сертификация по старым требованиям ФСТЭК, но документ еще в статусе проекта, поэтому ждем обновления в новых версиях.
PS Проект стал стандартом 

Один комментарий к “Про VPN в проекте ГОСТ «Защита информации финансовых организаций»

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *