Можно и нельзя

Согласно нормативным актам средства обеспечения информационной безопасности, используемые на территории РФ, подлежат сертифика­ции в Гостехкомиссии при Президен­те РФ, а те же средства для защиты автоматизированных систем, класси­фицированных по классам защищен­ности 1А, 1Б и 2А, обязательно включают в свой состав средства шифрова­ния, предварительно сертифицированные в ФАПСИ. Риск, связанный с использованием несертифицированных средств обеспечения безопасно­сти, лежит на владельце этих средств:

• государственным предприятиям запрещено использовать шифровальные средства, не имеющие сертификата ФАПСИ;

• юридическим и физическим лицам запрещено заниматься разработкой или эксплуатацией шифровальных средств, не имея соответствующей лицензии на подобную деятельность, выданную ФАПСИ;

• запрещено размещение государственных заказов на предприятиях, использующих не сертифицированные ФАПСИ шифровальные средства;

• сертифицированные ФАПСИ шифровальные средства рекомендованы для обязательного применения коммерческими банками при их взаимодействии с Центральным банком РФ.

Сложности с ГОСТами

И без того достаточно непростая ситуация с сертификацией и лицензированием в области разработки и приме­нения шифровальных средств в России осложняется тем, что ФАПСИ сертифицирует только средства криптографической защиты информации (СКЗИ), реализующие криптографические алгоритмы, определенные российскими ГОСТами. Но ГОСТы описывают алгоритм асимметричного шифрования только для электронной цифровой подписи, остальное – это

симметричные схемы и алгоритмы шифрования, совершенно не поддерживающие криптоалгоритмов западных разработчиков и не предусматривающие безопасного автоматизированного управления ключевой информацией. Как известно, функция управления ключами является очень важной для развертывания полноценной системы VPN и реализуется на основе алгоритмов асимметричного шифрования, поступивших в распоряжение западных разработчиков примерно 20 лет назад.

Кому нужны системы VPN?

Возвращаясь к вопросу о выборе под­ходящего VPN-решения в свете всех юридических тонкостей, можно сказать следующее. Во-первых, далеко не все перечисленные в этой статье и присутствующие на российском рынке продукты VPN имеют сертификаты ФАП­СИ, но, с другой стороны, многие име­ют или, по крайней мере, претендуют на получение сертификата Гостехкомиссии, что тоже довольно ценно. Во вторых, на основе анализа отечественной нормативной базы и опыта внедрения систем защиты информации, всех российских корпоративных потребителей систем информационной безопасности можно разделить на три группы:

• государственные предприятия, работающие с информацией, представляющей государственную тайну;

• государственные предприятия, работающие с конфиденциальной информацией, не представляющей государственную тайну;

•негосударственные предприятия,

работающие с конфиденциальной

информацией, не представляющей

государственную тайну.

В расчете на первую, не самую мно­гочисленную группу написано большинство законов и, конечно же, ГОСТы. Резюме: обязателен полный набор необходимых сертификатов и лицензий.

Третья группа - последняя в списке, но не последняя по значению. Ее трудно назвать сейчас основным потребителем систем безопасности, хотя в будущем, видимо, таковым станет именно она. Теоретически и практически потребителей этой группы должны интересовать надежные системы безопасности, а не сертификаты ФАПСИ или Гостехкомиссии.

Как показывает тенденция последних лет, предприятия второй группы являются пока наиболее активными покупателями сертифицированных си­стем безопасности. При этом сертификат Гостехкомиссии является обязательным. Сертификат ФАПСИ был бы идеальным решением, но при защите автоматизированной системы любого класса защищенности, кроме упомянутых выше классов 1А, 1Б и 2А, системой безопасности, сертифицированной Гостехкомиссией, даже использующей алгоритмы криптографических преоб­разований, объяснить отсутствие сер­тификата ФАПСИ также просто, как доказать необходимость его наличия.

Продукты и решения

В России продукты и решения VPN предлагают многие компании. Есть среди них и такие "монстры" сетевой индустрии, как Cisco Systems, и решения от признанных лидеров в области сетевой безопасности, например Checkpoint Software, продукты которой в нашей стране представляет ком­пания UNI; есть предложения и от российских разработчиков - МО ПНИЭИ, "Элвис+", "Сигнал-Ком", "ИнфоТеКС", "Инфосистемы Джет", "Информзащита" и др. В силу правовой ситуации, сложившейся с сертификацией СКЗИ, являющейся неотъемлемой частью VPN, и лицензированием деятельности предприятий, использующих эти средства в своей деятельности, российские разработчики получают серьезные преимущества перед западными конкурентами в борьбе за отечественный рынок VPN. (Более детальные сведения см. Техническое обозрение // Технологии и средства связи. - М., 2000. № 6. - Прим. ред.)

Secure Vision, Cisco Systems

Secure Vision от всемирно известной компании Cisco Systems — не продукт и даже не решение, а мировоззрение. Мировоззрение состоит в том, что в произвольной конфигурации VPN во всех узловых точках ставятся сетевые устройства Cisco Systems под управлением специализированной операционной системы IOS, которая будет поддерживать по возможности все базовые стандарты в области сетевой безопасности. В настоящее время такими универсальными, хотя и не безупречными, стандартами являются DES и IPSec. В зависимости от требований по производительности реализовать VPN можно либо программно, и тогда это называется IOS Firewall feature set, либо аппаратно - в таком случае мы имеем дело с PIX Firewall.

VPN-1, Checkpoint Software Tech­nologies

Криптошлюз VPN-1 - это только один из компонентов интегрированной системы Secure Virtual Network (SVN) bundle, в которую входят также межсетевой экран FireWall-1 и средство управления полосой пропускания FloodGate-1. Шлюз поддерживает форматы SKIP, IPSec и фирменный формат FWZ с алгоритмом симметричного шифрования FWZ1. Возможно также использование DES, CAST-40, 3DES. В качестве протокола управления открытыми ключами поддерживается схема ISAKMP. Однако для построения более-менее полноценной структуры PKI придется воспользоваться еще одним продуктом, который называется Certificate Manager и построен на Entrust CA Server, а в каче­стве каталога используется Netscape Directory. Вообще, решения Checkpoint Software выполнены на высокопрофессиональном уровне и, безусловно, универсальны, хотя стойкость алгоритмов шифрования, используемых криптошлюзом, находится под вопросом. Поддержка "чужих" криптобиблиотек, в частности ГОСТа, в ближайшее время не предвидится.

Для удаленного подключения мобильного пользователя из Интернета к локальной сети через VPN-1 Gateway используется программный VPN-клиент SecuRemote, работающий под управлением Windows.