Купить криптомаршрутизаторы Dionis-DPS 5000/6000, криптографическая защита персональных данных – Фактор-ТС

«континент» («код безопасности»)

Аппаратно-программный комплекс шифрования «Континент» (АПКШ) — криптографический шлюз производства российской компании «Код Безопасности». АПКШ обеспечивает межсетевое экранирование и криптографическую защиту открытых каналов связи в соответствии с ГОСТ 28147-89.

АПКШ позволяет обеспечить защиту сетевого трафика в мультисервисных сетях, разделить сегменты сети, организовать защищенный удаленный доступ к локальной сети, реализовать межсетевое взаимодействие с другими защищенными сетями (построенными на базе данного продукта). АПКШ функционирует на базе FreeBSD.

АПКШ обладает следующими особенностями:

Рисунок 3. АПКШ «Континент» IPC -3034

Необходимо отметить, что АПКШ поставляется со встроенным средством защиты от НСД — программно-аппаратным комплексом «Соболь». Также на уровне формуляра АПКШ и руководства администратора имеется ограничение на максимальное количество криптошлюзов в сети с одним «Центром управления сетью «Континент».

АПКШ входит в реестр отечественного ПО (№310) и имеет ряд действующих сертификатов соответствия, среди которых:

• ФСБ России №СФ/124-2617, подтверждающий соответствие требованиям к шифровальным (криптографическим) средствам класса КС3 и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование и имитозащита данных, передаваемых в IP-пакетах по общим сетям передачи данных) информации, не содержащей сведений, составляющих государственную тайну;
• ФСТЭК России №3008, подтверждающий соответствие требованиям к межсетевым экранам тип «А» (ИТ.МЭ.А3.ПЗ) и средствам обнаружения вторжения уровня сети (ИТ.СОВ.С3.ПЗ) по 3 классу (на сайте производителя документ к просмотру недоступен, предоставляется по запросу).

Подробнее с информацией об АПКШ «Континент» можно ознакомиться на сайте производителя.

2852 | программно-аппаратный комплекс «dionis-nx» с версиями программного обеспечения dionis-nx r 1.1-0 mill, dionis-nx 1.0-0 harvest, dionis-nx c 1.2-0 hand | государственный реестр средств защиты информации фстэк 2021

Altell neo («альтэль»)

Программно-аппаратный комплекс ATLELL NEO производства компании «АльтЭль».

Ключевой функциональностью является межсетевое экранирование в сочетании с возможностями построения защищенных каналов связи. Также ALTELL NEO позиционируется как UTM-решение (Unified Threat Management), сочетающее в себе не только возможности межсетевого экрана, VPN-шлюза, но и средства обнаружения и предотвращения вторжений, контент-фильтрации и защиты от вредоносных программ.

Продукт представляет собой аппаратную платформу в сочетании со встроенным сертифицированным программным обеспечением. В качестве протоколов шифрования с использованием ГОСТ 28147-89 поддерживаются IPsec, OpenVPN.

Предлагаемые производителем платформы, за исключением младших (100 и 110), могут функционировать с использованием одной из трех версий ПО: FW (межсетевой экран), VPN (криптошлюз), UTM. Каждый последующий вариант программного обеспечения включает в себя функциональность предыдущих.

ALTELL NEO обладает следующими особенностями:

• широкий модельный ряд аппаратных платформ различной конфигурации;
• аппаратная платформа Enterprise-класса (модель 340, форм-фактор 2U) обладает повышенной плотностью сетевых интерфейсов (до 65 портов RJ45 GbE/до 64 портов SFP GbE/до 16 портов SFP 10 GbE);
• производительность по шифрованию (в зависимости от аппаратной платформы) при использовании алгоритма IPsec составляет от 18 Мбит/с до 2,4 Гбит/с, OpenVPN — от 14 Мбит/с до 1,4 Гбит/с.

Рисунок 5. Шлюз ALTELL NEO 340

Используемое в составе решения программное обеспечение входит в реестр отечественного ПО (№3768) и имеет следующие сертификаты соответствия:

• ФСБ России №СФ/СЗИ-0074, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности и то, что ПО может использоваться для защиты информации от несанкционированного доступа в информационных и телекоммуникационных системах органов государственной власти Российской Федерации;
• ФСТЭК России №2726, удостоверяющий, что ПО соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.

Необходимо отметить, что на момент публикации обзора в открытых источниках не удалось обнаружить действующий сертификат ФСБ России на соответствие требованиям к шифровальным (криптографическим) средствам классов КС1/КС2/КС3.

Подробнее с информацией об ALTELL NEO можно ознакомиться на сайте производителя.

Cisco vpn solutions (cisco asa 5500-x, cisco firepower, cisco asav, cisco ios vpn)

У международной компании Cisco Systems большое портфолио решений для построения VPN, которые отличаются не только особенностями реализации данной возможности, но и основной функциональностью. Например, Cisco ASA 5500-X или Cisco Firepower — это многофункциональные защитные шлюзы, среди функций которых есть и VPN, которая особенно эффективно может использоваться для Remote Access VPN.

Cisco Adaptive Security Appliance (ASA) и Cisco Firepower — одни из основных продуктов в направлении информационной безопасности Cisco. Эти решения, а также виртуализированный защитный шлюз ASAv и маршрутизатор с функцией IOS VPN, позволяют реализовать взаимодействие по VPN с использованием IPSec, IPSec RA, SSL, SSL clientless, DTLS на скоростях от 100 Мбит/сек до 51 Гбит/сек и с поддержкой до 60000 удаленных пользователей.

Отличительными особенностями являются

• Резервирование. Возможны два варианта: отказоустойчивое решение (failover) и кластеризация (clustering), в том числе геораспределенная. В первом случае два устройства объединяются в одно логическое. Доступны два режима работы: active/standby и active/active. Во втором — возможно объединение до 16 устройств ASA (для модели 5585-Х) в одно логическое. Такая возможность позволяет существенно повысить производительность решения.
• Поддержка технологий DMVPN, GET VPN, Easy VPN.
• Оптимизация защиты мультимедиа-трафика.
• Поддержка функции per application VPN (дифференцированное шифрование трафика для различных приложений).
• Поддержка оценки соответствия удаленного узла (мобильного устройства) требованиям безопасности перед созданием VPN-туннеля.
• Встроенные дополнительные механизмы безопасности, например, встроенный центр сертификатов (CA).
• Наличие API для интеграции с внешними системами фильтрации и управления сервисами — Web-прокси, AAA и оценки соответствия.
• Интеграция с защитными возможностями многофункциональной защитной платформы Cisco ASA 5500-X, Cisco Firepower или маршрутизатором Cisco, МСЭ и NGFW, NGIPS, подсистемой защиты от вредоносного кода, подсистемой URL-фильтрации.

Рисунок 9. Cisco Firepower 9300

Управление Cisco ASA 5500-X, Cisco Firepower или Cisco ISR осуществляется локально посредством Cisco Adaptive Security Device Manager (ASDM), Cisco Firepower Device Manager или Cisco Security Device Manager, или централизованно с помощью Cisco Security Manager, Cisco Firepower Management Center или Cisco Defense Orchestrator.

Для подключения удаленных клиентских рабочих мест может использоваться локализованный на русский язык Cisco AnyConnect Secure Mobility Client или безклиентскую технологию Cisco SSL clientless, а также встроенные в Apple iOS и Android клиенты VPN.

Решения Cisco ASA 5500-X, Cisco Firepower и Cisco ISR обладают несколькими десятками различных действующих сертификатов соответствия ФСТЭК, в том числе № 3738, удостоверяющий, что ПАК соответствует требованиям к межсетевым экранам по классам А6, Б6, а также сертифицирован на отсутствие недокументированных возможностей.

Совместно с компанией С-Терра СиЭсПи компания Cisco разработала модуль шифрования на базе российских алгоритмов шифрования (ГОСТ 28147-89 и др.) и сертифицировала его в ФСБ как СКЗИ по классам КС1/КС2. Этот модуль предназначен для маршрутизатора с интеграцией сервисов Cisco ISR, который может быть использован как платформа для запуска на ней и других VPN-решений. В частности, была проведена интеграция и испытания совместных решений Cisco ISR с решениями VipNet и TSS VPN.

Подробнее с информацией о Cisco ASA 5500-Х, Cisco Firepower, Cisco ISR можно ознакомиться на сайте производителя.

Diamond vpn (тсс)

Программно-аппаратный комплекс Diamond VPN/FW производства компании ТСС представляет собой производительное UTM-решение, сочетающее в себе функции межсетевого экрана, VPN-шлюза, системы обнаружения вторжений (IDS).

ПАК обеспечивает шифрование ГОСТ 28147-89 по протоколу DTLS.

Основными особенностями являются:

• поддержка создания отказоустойчивой конфигурации в режиме «активный/пассивный»;
• наличие исполнения (модель 7141), обеспечивающего высокую производительность (шифрование со скоростью до 16 Гбит/с, межсетевое экранирование — до 40 Гбит/с);
• высокая плотность портов в максимальной аппаратной конфигурации (до 32 портов RJ45 GbE/до 32 портов GbE SFP/до 16 портов 10G SFP );
• наличие криптошлюза в индустриальном исполнении (модель Diamond VPN/FW Industrial) для защиты информации в АСУ ТП.

Рисунок 7. ПАК Diamond VPN/FW

ПАК входит в реестр отечественного ПО (№1425) и обладает действующим сертификатом ФСТЭК России №2260, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.

Необходимо отметить, что действующим сертификатом ФСБ России №124-2702 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС2 (в зависимости от вариантов исполнения) обладает СКЗИ Dcrypt 1.0, реализующее функции шифрования и ЭП в составе ПАК.

Подробнее с информацией о Diamond VPN/FW можно ознакомиться на сайте производителя.

Dionis-nx («фактор-тс»)

Программно-аппаратный комплекс Dionis-NX является разработкой российской компании «Фактор-ТС». ПАК является UTM-устройством, которое может использоваться как межсетевой экран, криптомаршрутизатор, система обнаружения и предотвращения вторжений.

ПАК позволяет строить VPN-туннели по ГОСТ 28147-89 посредством использования протоколов GRE, PPTP, OpenVPN.

Обладает следующими отличительными особенностями:

• производитель предлагает пять вариантов аппаратных платформ, обеспечивающих скорость шифрования от 100 Мбит/с до 10 Гбит/с;
• поддержка кластерного исполнения в отказоустойчивой конфигурации (режим «активный/пассивный»);
• поддержка взаимодействия с программным обеспечением «Дисек», реализующим функциональность VPN-клиента.

Dionis-NX входит в реестр отечественного ПО (№2772) и обладает действующим сертификатом ФСТЭК России №2852, подтверждающим соответствие требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 2 классу защищенности.

Необходимо отметить, что действующим сертификатом ФСБ России №124-2625 на соответствие требованиям к шифровальным (криптографическим) средствам класса КС1 и КС3 (в зависимости от вариантов исполнения) обладает СКЗИ DioNIS-NX, реализующее функции шифрования в составе ПАК.

Подробнее с информацией о «Dionis-NX» можно ознакомиться на сайте производителя.

F5 networks vpn solutions

F5 Networks предлагает комплексные решения и автономные VPN-устройства. С 2021 года компания сделала акцент на комплексных решениях, и изолированные VPN-шлюзы постепенно перестают выпускаться.

Продукт F5 Access Policy Manager (APM) — это специальный модуль программного обеспечения, который включает в себя функциональные возможности VPN, а также множество различных функций, включая BIG-IP — полный 
прокси
 между
 пользователями 
и серверами 
приложений, обеспечивающий
 безопасность,
 оптимизацию
 трафика приложений 
и 
балансировку 
его
 нагрузки.

Клиент BIG-IP VPN использует протоколы TLS и DTLS (Datagram TLS), что позволяет работать чувствительным к задержке приложениям. Этот клиент доступен на всех распространенных настольных и мобильных платформах.

Решения BIG-IP функционируют на базе собственной операционной системы (ОС) F5 TMOS. Среди ее преимуществ можно отметить:

• Открытый API, который позволяет гибко управлять потоком трафика и увеличить производительность с помощью API Control.
• Контроль за трафиком производится с помощью F5-устройств, использующих специальный язык сценариев iRules.
• Шаблоны iApps, которые позволяют развертывать и управлять сетевыми услугами для конкретных приложений.

На сегодняшний день предложения компании F5 начинаются с модели BIG-IP 1600 и заканчиваются BIG-IP 11050, которая является их крупнейшим автономным VPN-устройством.

Самым большим решением на основе блейд-сервера является Viprion 4800. Оно поддерживает до 30000 SSL-транзакций.

Рисунок 10. F5 Viprion 4800

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) продуктов F5 Networks не представлено.

Подробнее с информацией о продукции F5 Networks можно ознакомиться на сайте производителя.

Netscaler (citrix systems)

NetScaler — линейка продуктов сетевой безопасности от компании Citrix Systems. VPN-решения от Citrix встроены в продукт NetScaler Gateway. Шлюз NetScaler, как и все оборудование фирмы Citrix, штатно интегрируется во многие линейки продуктов компании.

NetScaler Gateway предлагает функциональные возможности SSL VPN, включая безопасный доступ к Citrix XenDesktop, XenApp, XenMobile, MS RDP, VMware horizon, а также web-приложениям и ресурсам внутри корпоративной сети. Также продукт предоставляет возможности безопасного сетевого доступа к любому серверу, наряду с анализом и определением устройства.

Citrix Gateway поддерживает как протокол TLS, так и DTLS, в зависимости от требований к трафику.

Самая младшая MPX-платформа продукта (5550) поддерживает до 1500 SSL-транзакций. Наиболее производительная (22120) — до 560000 SSL-транзакций.

Рисунок 11. Citrix NetScaler MPX-8005

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Citrix NetScaler не представлено.

Подробнее с информацией о продукции Citrix можно ознакомиться на сайте производителя.

Pulse secure (juniper networks)

Pulse Secure — серия продуктов американской компании Juniper Networks. Ключевая функциональность — SSL VPN.

Производитель предлагает четыре программно-аппаратных комплекса различной производительности и форм-фактора.

Модель минимальной конфигурации (PSA300) обеспечивает пропускную способность 200 Мбит/с для 200 SSL-соединений. Наиболее производительное решение (PSA7000) — 10 Гбит/с для 25000 SSL-соединений.

Отличительной особенностью в линейке Pulse Secure является наличие двух блоков питания у модели PSA7000.

Рисунок 12. Pulse Secure Appliance 7000

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов Pulse Secure не представлен.

Подробнее с информацией о продукции Pulse Secure можно ознакомиться на сайте производителя.

Sonicwall

SonicWALL — американская компания-производитель решений для сетевой безопасности. В 2021 году компания была приобретена Dell Software Group. В 2021 же году Dell продала SonicWALL.

Компания предлагает решения различной производительности. В основной массе это UTM-решения, реализующие функциональность NGFW, IPS, VPN, потокового антивируса.

В части VPN производитель поддерживает IPSec, SSL. Наиболее производительное решение, представленное на рисунке ниже, обеспечивает пропускную способность VPN до 14 Гбит/с. Максимальное же число VPN-соединения составляет в этом случае 25000.

Шлюзы SonicWALL находятся под управлением собственной операционной системы — Sonic OS.

Рисунок 13. SonicWALL SuperMassive 9000 Series

В государственном реестре сертифицированных средств защиты информации № РОСС RU.0001.01БИ00 (ФСТЭК России) шлюзов SonicWALL не представлен.

Подробнее с информацией о продукции SonicWALL можно ознакомиться на сайте производителя.

Анализ рынка сертифицированных межсетевых экранов и систем обнаружения вторжений

Вслед за утверждением профилей защиты уже появилось заметное количество решений, сертифицированных по новым требованиям. Однако по некоторым классам продукты отсутствуют или имеют истёкший срок действия сертификата. Для межсетевых экранов это — ИТ.МЭ.А3.ПЗ, ИТ.МЭ.Б1.ПЗ, ИТ.МЭ.Б2.ПЗ, ИТ.МЭ.Б3.ПЗ, ИТ.МЭ.Б5.ПЗ; для систем обнаружения вторжений — ИТ.СОВ.С1.ПЗ и ИТ.СОВ.С6.ПЗ.

По соответствию уровням доверия (состояние — на февраль 2020 года) не сертифицирован ни один продукт, поэтому для обзора выбраны средства защиты из реестра ФСТЭК России. Разработки с недействительными сертификатами или без информации на сайтах производителей не рассматривались.

 Таблица 4. Межсетевые экраны типа «А» с сертификатом ФСТЭК России

Аппаратные межсетевые экраны и шлюзы безопасности huawei

Производитель: Huawei Technologies.

Название в реестре ФСТЭК:

1. Аппаратные межсетевые экраны и шлюзы безопасности Huawei (модель Eudemon 8000E-X3) версии V500.
2. Межсетевой экран серии Huawei (модели: USG6320 (Eudemon200E-N1D), USG6330 (Eudemon200E-N1), USG6350 (Eudemon200E-N2), USG6360, USG6370 (Eudemon200E-N3), USG6380, USG6390 (Eudemon200E-N5), USG6620 (Eudemon1000E-N3), USG6630 (Eudemon1000E-N5), USG6650, USG6660 (Eudemon1000E-N6), USG6670 Eudemon1000E-N7), USG6680 (Eudemon1000E-N7E), USG9560 (Eudemon8000E-X8), USG9580 (Eudemon8000E-X16)) версии V500.

Соответствует требованиям документов:

1. Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А6.ПЗ — тип «А», шестой класс защиты; ИТ.МЭ.Б6.ПЗ — тип «Б», шестой класс защиты).
2. Требования к МЭ, Профиль защиты МЭ (ИТ.МЭ.А4.ПЗ — тип «А», четвёртый класс защиты; ИТ.МЭ.Б4.ПЗ — тип «Б», четвёртый класс защиты).

Схема сертификации:

1. Серия, модель Eudemon 8000E-X3 версии V500.
2. Серия, модели: USG6320 (Eudemon200E-N1D), USG6330 (Eudemon200E-N1), USG6350 (Eudemon200E-N2), USG6360, USG6370 (Eudemon200E-N3), USG6380, USG6390 (Eudemon200E-N5), USG6620 (Eudemon1000E-N3), USG6630 (Eudemon1000E-N5), USG6650, USG6660 (Eudemon1000E-N6), USG6670 Eudemon1000E-N7), USG6680 (Eudemon1000E-N7E), USG9560 (Eudemon8000E-X8), USG9580 (Eudemon8000E-X16) версии V500.

Сертификат ФСТЭК:

1. № 3909 от 05.04.2021, действует до 05.04.2021.
2. № 4083 от 04.02.2021, действует до 04.02.2024.

Реестр российских программ Минкомсвязи: не включён.

Информация на сайте производителя:    

Атликс-vpn («нтц атлас»)

Программно-аппаратный комплекс (ПАК) «Атликс-VPN» — продукт российской компании «НТЦ Атлас». ПАК разработан для обеспечения создания и взаимодействия виртуальных частных сетей (VPN) на основе протокола IPsec и стандарта X.509 с использованием российских криптографических алгоритмов.

В качестве поддерживаемых стандартов заявлены ГОСТ 28147-89, ГОСТ Р 34.11-94, ГОСТ Р 34.10-2001.

Отличительной особенностью является способ ввода ключевой информации, необходимой для реализации его функций. Для этого используется «Российская интеллектуальная карта» (РИК) — микропроцессорная карта, разработанная «НТЦ Атлас», ЗАО «Программные системы и технологии», ОАО «Ангстрэм». Карта выполнена на основе отечественного микропроцессора производства ОАО «Ангстрэм».

С аппаратной точки зрения «Атликс-VPN» функционирует на базе сервера специализированной, фиксированной платформы. ПАК обеспечивает относительно небольшую по меркам сегодняшнего дня производительность по шифрованию — 85 Мбит/с. Такая скорость и тип аппаратной платформы обусловлены высоким классом защищенности по требованиям ФСБ России, который обеспечивает ПАК, — КВ2.

Рисунок 2. ПАК «Атликс- VPN»

«Атликс-VPN» имеет следующие действующие сертификаты соответствия:

• ФСБ России №СФ/124-2958, подтверждающий, что ПАК соответствует требованиям к шифровальным (криптографическим) средствам класса КВ2 и может использоваться для криптографической защиты (шифрование и имитозащита IP-трафика) информации, не содержащей сведений, составляющих государственную тайну;
• ФСТЭК России №1864, подтверждающий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 4 классу защищенности.

Подробнее с информацией о ПАК «Атликс-VPN» можно ознакомиться на сайте производителя.

Зарубежные криптошлюзы

В данном разделе более подробно рассмотрим основных иностранных производителей средств защиты информации. Здесь представлены разнообразные варианты решений в программно-аппаратном исполнении.

Указанные ниже производители предлагают современному рынку UTM-решения, «комбайны» из разряда «всё-в-одном». Здесь и функциональность NGFW (Next Generation Firewall — межсетевой экран нового поколения), IDS/IPS (системы обнаружения и предотвращения вторжений), потоковый антивирус, и, конечно же, VPN-шлюз. Последний нас особенно интересует в контексте данного обзора.

Необходимо отметить, что зарубежные вендоры для своего VPN используют исключительно иностранные алгоритмы шифрования — DES, 3DES, AES. Соответственно, целевой заказчик таких решений (в части VPN) в России не является государственным учреждением или организацией, ведущей деятельность в соответствии с указанными начале обзора нормативными актами.

Поскольку на территории РФ рынок средств криптозащиты является регулируемым, зарубежным производителям необходимо официально ввезти свои продукты в соответствии со всеми действующими нормами и требованиями. В данном случае возможны два варианта:

В связи с использованием иностранных криптографических алгоритмов в системе сертификации ФСБ России рассматриваемые в этом разделе решения не представлены.

Застава (элвис-плюс)

Программно-аппаратные комплексы ЗАСТАВА — разработка российской компании ЭЛВИС-ПЛЮС. ПАК обеспечивает защиту корпоративных информационных систем на сетевом уровне с помощью технологий виртуальных защищенных сетей (VPN) на базе протоколов IPsec/IKE. ЗАСТАВА представляет собой не только VPN-шлюз с поддержкой отечественных криптографических алгоритмов, но и межсетевой экран.

ЗАСТАВА является единственным российским продуктом, реализующим текущую версию протокола IKE (IKEv2). Большинство российских вендоров использует протокол IKEv1, который более 10 лет назад официально признан в IETF устаревшим в том числе по причине наличия проблем с безопасностью.

По сравнению с ним протокол IKEv2 обладает большей стойкостью к атакам отказа в обслуживании, большей устойчивостью к сетевым проблемам, большей гибкостью в использовании. Протокол IKEv2 в настоящее время продолжает активно развиваться в IETF, включая такие передовые направления в криптографии как, например, защита данных от квантовых компьютеров или использование принципа proof-of-work для противодействия DoS-атакам.

ЗАСТАВА состоит из трех отдельных компонентов:

• ЗАСТАВА-Клиент реализует функциональность клиента удаленного доступа по VPN;
• ЗАСТАВА-Офис реализует функции VPN-шлюза и межсетевого экрана;
• ЗАСТАВА-Управление выполняет функции Центра управления политиками безопасности для унифицированного управления сетевой безопасностью.

Отличительные особенности:

• использование внешних криптографических модулей, реализующих отечественные стандарты ГОСТ Р 34.10-2001, ГОСТ Р 34.10-2021, ГОСТ Р 34.11-2021, ГОСТ 28147-89, в частности, СКЗИ «КриптоПро CSP»;
• поддержка не только отечественных криптографических алгоритмов, но и зарубежных — RSA, DH, ECDH, DES, 3DES, AES, SHA1, SHA2;
• аутентификация партнеров с использованием X.509-сертификатов;
• поддержка централизованного управления ПАК посредством продукта ЗАСТАВА-Управление;
• реализация функциональности отказоустойчивого кластера, работающего в режиме «активный/пассивный»;
• в зависимости от аппаратной платформы производительность по шифрованию может варьироваться от 40 Мбит/с до 4 Гбит/с;
• для обеспечения шифрования канала связи от клиентских рабочих мест до ПАК используется собственная разработка — продукт ЗАСТАВА-Клиент.

ЗАСТАВА имеет несколько действующих сертификатов соответствия требованиям ФСБ России и ФСТЭК России, в частности:

• ФСБ России №СФ/114-3067, подтверждающий соответствие требованиям к средствам криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, класса КС3; может использоваться для криптографической защиты (шифрование IP-пакетов на базе протокола IPsec ESP, вычисление хэш-функции для IP-пакетов на базе протокола IPsec AH и/или протокола IPsec ESP, криптографическая аутентификация абонентов при установлении соединения на базе протокола IKE v1 или протокола IKE v2) информации, не содержащей сведений, составляющих государственную тайну;
• ФСТЭК России №2573, удостоверяющий, что ПАК соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 2 классу защищенности.

Подробнее с информацией о ПАК ЗАСТАВА можно ознакомиться на сайте производителя.

Изменения в системе сертификации средств защиты информации, уровни доверия

Средства защиты информации (СЗИ) содержат программный код, в котором могут присутствовать компоненты, позволяющие провести успешную атаку на охраняемые объекты. Не указанные в документации или описанные с искажениями функциональные возможности, использование которых приводит к нарушению информационной безопасности, называются недекларированными.

• «Положение о сертификации средств защиты информации по требованиям безопасности информации» (утверждено приказом Гостехкомиссии России от 27  октября 1995 г. № 199);
• руководящий документ «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (утверждён приказом Гостехкомиссии России от 4 июня 1999 г. № 114).

В 2021 и 2021 годах появились новые документы:

• «Положение о системе сертификации средств защиты информации» (утверждено приказом ФСТЭК России от 3 апреля 2021 г. № 55, вступило в силу 1 августа 2021 г.);
• «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» (утверждены приказом ФСТЭК России от 30 июля 2021 г. № 131, вступили в силу 1 августа 2021 г., применяются при проведении сертификационных испытаний с 1 мая 2021 г.);
• «Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении» (утверждена ФСТЭК России 11 февраля 2021 г., применяется при проведении сертификационных испытаний с 1 мая 2021 г.).

Перечислим основные изменения:

• Увеличение срока действия сертификата соответствия до 5 лет.
• Возможность применения средств защиты информации по окончании срока  действия сертификата.
• Детализация процедур сертификации и установление сроков их осуществления.
• Определение порядка, согласно которому в сертифицированные СЗИ вносятся изменения.
• Повышение требований, предъявляемых к заявителю на сертификацию и к изготовителю СЗИ.
• Уточнение схем сертификации, введение процедуры проверки технической  поддержки.
• Установление критериев, на основании которых можно отказать в принятии решения о проведении сертификации, приостановить и прекратить действие сертификатов.
• Возможность контроля за проведением сертификации.

Требования к изготовителю средств защиты информации

Производители должны обладать соответствующим разрешением ФСТЭК России в зависимости от того, какого рода данные они собираются охранять: лицензией на проведение работ, связанных с созданием средств защиты информации, составляющей государственную тайну, или на деятельность по разработке и производству средств защиты конфиденциальной информации.

Требования доверия

С 1 мая 2021 года подаются только заявки на сертификацию средств защиты информации по «Требованиям к уровням доверия». Если процесс проверки был запущен до этой даты, то можно завершить сертификацию на соответствие старому руководящему документу по уровню контроля недекларированных возможностей.

Критерии оценки СЗИ и профили защиты не затрагивают уровни доверия и применяются только в части общих предписаний, а также требований к функциям безопасности.

«Требования к уровням доверия» предъявляются к программным и программно-аппаратным средствам технической защиты информации, средствам обеспечения безопасности информационных технологий, включая защищённые СЗИ. Они представляют собой обязательную часть технического регулирования продукции, работ и услуг по защите сведений, составляющих государственную тайну или относящихся к иной информации ограниченного доступа (в том числе — охраняемой в соответствии с российским законодательством).

Таблица 1. Соответствие между уровнями доверия и системами различных типов

*включая информационные системы общего пользования II класса

Согласно сообщению ФСТЭК России от 29 марта 2021 г. № 240/24/1525, действующие сертификаты нужно пересмотреть до 1 января 2020 г., и в результате в них появится информация о соответствии «Требованиям к уровням доверия».  По состоянию на февраль 2020 года эти указания ещё не выполнены. Пока средства защиты находятся в реестре, применять их допустимо, но ФСТЭК России исключит их при необходимости.

Принятие новых требований повышает остроту вопроса о конкуренции на российском рынке программных средств защиты информации. Не каждый продукт отечественного производителя сразу пройдёт сертификацию по обновлённым критериям, не говоря уже о зарубежных решениях. Возможно, что скоро в этом сегменте в России вообще не останется иностранных разработок.

Купить криптомаршрутизаторы dionis-dps 5000/6000, криптографическая защита персональных данных – фактор-тс

Маршрутизаторы esr

Производитель: Предприятие «ЭЛТЕКС».

Название в реестре ФСТЭК: маршрутизатор ESR-1000 с программным обеспечением esr-1000-1.0.7-ST; маршрутизатор ESR-100 с программным обеспечением esr-100-1.0.7-ST; маршрутизатор ESR-200 с программным обеспечением esr-200-1.0.7-ST.

Соответствует требованиям документов: Профиль защиты МЭ (ИТ.МЭ.А5.ПЗ — тип «А», пятый класс защиты).

Схема сертификации: серия; с программным обеспечением esr-1000-1.0.7-ST, с программным обеспечением esr-100-1.0.7-ST, с программным обеспечением esr-200-1.0.7-ST.

Сертификат ФСТЭК: № 3778 от 10.08.2021, действует до 10.08.2020; № 3788 от 10.08.2021, действует до 10.08.2020; № 3789 от 10.08.2021, действует до 10.08.2020.

Мировой рынок криптошлюзов

Непрерывность бизнеса для любой территориально распределенной компании всегда связана с обеспечением защиты передаваемой информации. Уже долгое время эту задачу решают различные VPN-устройства. Они заметно отличаются по своей реализации: это могут быть специализированные решения, решения на базе программно-аппаратных комплексов, таких как межсетевые экраны/маршрутизаторы, или полностью программные комплексы.

Подобные продукты на мировом рынке применяют компании из разных сфер деятельности: здравоохранение, промышленные предприятия, транспортные компании, государственные учреждения и многие другие.

В большинстве случаев заказчику необходимо решить одну или несколько из перечисленных задач:

• защита распределенной корпоративной сети в различных топологиях;
• подключение удаленных пользователей к корпоративной сети (в том числе с мобильных устройств);
• защита канального уровня.

На мировом рынке прочно обосновался SSL VPN, что подтверждается исследованиями Alliedmarketresearch. По их данным, глобальный рынок SSL VPN в 2021 году составлял более 3 млрд долларов США. Прогнозируемый рост к 2023 году — до 5,3 млрд.

Среди ключевых игроков на мировом рынке лидерские позиции занимают Cisco Systems, Citrix Systems, Pulse Secure, F5 Networks.

Рисунок 1 наглядно демонстрирует ключевые сегменты роста глобального рынка SSL VPN:

• режим тонкого клиента;
• режим полного туннелирования;
• режим без клиента.

Рисунок 1. Направления роста мирового рынка SSL VPN

Обзор сертифицированных межсетевых экранов и систем обнаружения вторжений

Всякий производитель старается выделить свой продукт, поэтому в обзоре каждая позиция отображена структурированно, по пунктам:

• название в реестре ФСТЭК России (не всегда совпадает с текущим названием продукта),
• соответствие требованиям документов (при выборе решения важно понимать, какой класс защиты СОВ или МЭ необходим; таблицы соответствия размещены в разделе с описанием требований регуляторов),
• схема сертификации (производители любят рекламировать наличие сертификата у их продукции, но важно знать, какая именно версия имеет соответствующий документ; также распространены ситуации, когда сертифицируется не всё оборудование серии, а только конкретная партия под проект),
• действующий сертификат ФСТЭК России (можно использовать продукт с истёкшим сроком действия сертификата, но не стоит рассчитывать, что он надолго задержится в реестре),
• наличие в реестре российских программ (даёт госзаказчику право закупать СЗИ без дополнительных обоснований необходимости их приобретения),
• информация на сайте производителя (наиболее подробный и актуальный источник сведений).

Сертифицированные межсетевые экраны и системы обнаружения вторжений зарубежного производства

Агентство Reuters в 2021 году опубликовало статью о том, что российские спецслужбы изучают исходные коды программ, которые используются правительством США. Последнее предполагает, что это делается для разведки и применения найденных уязвимостей.

Российские разработки, в свою очередь, выводятся с американского рынка. Например, в 2021 году власти США ввели официальный запрет на использование продуктов «Лаборатории Касперского»,посчитав, что эти решения представляют угрозу безопасности страны и могут использоваться российскими властями для доступа к правительственным документам США.

Эти события и с каждым годом усиливаемые требования регуляторов делают российский рынок малопривлекательным для зарубежных производителей — как минимум в части государственных и других критически важных информационных систем, для которых защита при помощи сертифицированного оборудования обязательна.

Сертифицированные межсетевые экраны и системы обнаружения вторжений российского производства

Кроме требований к самому средству защиты информации, которые предъявляются при сертификации и ограничивают присутствие зарубежных производителей на российском рынке информационной безопасности, существуют также и директивы по импортозамещению для государственных заказчиков.

С 2021 года в соответствии с постановлением Правительства РФ от 16 ноября 2021 года № 1236 такие заказчики обязаны закупать российское программное обеспечение во всех случаях, кроме тех, когда отечественные разработки с необходимыми функциональными, техническими или эксплуатационными характеристиками отсутствуют.

При этом соответствующую потребность нужно обосновать — в порядке, предусмотренном законом о контрактной системе в сфере государственных закупок. Российским признаётся ПО, сведения о котором внесены в единый реестр российских программ и баз данных. Это ещё больше ограничивает круг продуктов, которые используются при защите государственных систем.

С-терра шлюз 4.1 («с-терра сиэспи»)

Продукт С-Терра Шлюз производства российской компании «С-Терра СиЭсПи» представляет собой программный комплекс (далее — ПК) на базе различных аппаратных платформ.

СС-Терра Шлюз 4.1 обеспечивает шифрование по ГОСТ 28147-89 и имитозащиту передаваемого по открытым каналам связи трафика с использованием протокола IPsec. Помимо VPN, продукт обладает функциональностью межсетевого экрана. В качестве операционной системы используется Debian.

Криптографические функции в ПК реализуются криптобиблиотекой собственной разработки — С-Терра ST, которая совместима с СКЗИ «КриптоПро CSP».

С-Терра Шлюз 4.1 обладает следующими основными особенностями:

• поддерживает централизованное удаленное управление посредством системы «С-Терра КП»;
• производительность решения по шифрованию от 60 Мбит/с до 2,5 Гбит/с, в зависимости от модели шлюза и аппаратной платформы;
• возможно исполнение в виде виртуальной машины (С-Терра Виртуальный Шлюз);
• возможна установка ПК С-Терра Шлюз на АП заказчика;
• производитель предлагает решение для защиты канала связи 10 Гбит/с на уровне L2, посредством размещения в двух ЦОД по 4 пары шлюзов модели 7000 High End с программным модулем С-Терра L2 и двух пар коммутаторов (с учетом того, что в защищаемом канале связи трафик преимущественно TCP, IP-телефония отсутствует).

Рисунок 6. С-Терра Шлюз 1000

• С-Терра Шлюз 4.1 сертифицирован ФСБ России в качестве СКЗИ по классам КС1, КС2, КС3 и в качестве МЭ 4 класса, а также ФСТЭК России как межсетевой экран 3 класса (МЭ 3). В числе сертификатов:

– ФСБ России №СФ/124-2517, подтверждающий выполнение требований к шифровальным (криптографическим) средствам класса КС3;

– ФСБ России №СФ/525-2663, подтверждающий выполнение требований к межсетевым экранам 4 класса защищенности;

– ФСТЭК России № 3370, удостоверяющий, что С-Терра Шлюз соответствует требованиям руководящего документа «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» — по 3 классу защищенности.

Подробнее с информацией об «С-Терра Шлюз» можно ознакомиться на сайте производителя.

Требования к сертифицированным межсетевым экранам

Текущие требования к межсетевым экранам утверждены ФСТЭК России 12 сентября 2021 года.

Межсетевые экраны типа «А» применяются на физической границе (периметре) информационной системы или между физическими границами её сегментов; брандмауэры типа «Б» — на логической границе или между таковыми; типа «В» — на узле (хосте) информационной системы.

К типу «Г» относятся межсетевые экраны веб-приложений (Web Application Firewall, WAF), которые используются на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов; они могут иметь программное или программно-аппаратное исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от него.

Наконец, продукты типа «Д» — это межсетевые экраны уровня промышленной сети, которые применяются в автоматизированной системе управления технологическими или производственными процессами. Такое решение тоже может быть представлено в программном или программно-техническом исполнении и должно обеспечивать контроль и фильтрацию промышленных протоколов передачи данных.

В этом обзоре рассматриваются только межсетевые экраны типов «А» и «Б».

От класса защиты межсетевого экрана (6-й — самый низкий, 1-й — самый высокий) зависит уровень требований к СЗИ. 

Таблица 2. Соответствие между классами защиты межсетевых экранов и системами различных классов

Требования к сертифицированным системам обнаружения вторжений

Требования к системам обнаружения вторжений (СОВ) утверждены приказом ФСТЭК России № 638 от 6 декабря 2021 года. Профили защиты открыто опубликованы только для четвёртого, пятого и шестого классов защиты, потому что другие связаны с охраной государственной тайны.

Введено два типа систем обнаружения вторжений:

• Система уровня сети подключается к коммуникационному оборудованию (например, коммутатору) и контролирует сетевой трафик, наблюдая за несколькими сетевыми узлами.
• Система уровня узла устанавливается на отдельно взятое устройство и проводит анализ системных вызовов, журналов работы приложений и других источников.

В обзоре мы рассматриваем только СОВ уровня сети.

Так же, как и в случае межсетевых экранов, от класса защиты СОВ зависит уровень предъявляемых требований.

Таблица 3. Соответствие между классами СОВ и системами различных классов

Фпсу-ip (амикон, «инфокрипт»)

Программно-аппаратный комплекс «Фильтр пакетов сетевого уровня — Internet Protocol» (ФПСУ-IP) производства российской компании АМИКОН при участии «ИнфоКрипт». ПАК представляет собой межсетевой экран и средство построения виртуальных частных сетей (VPN).

ФПСУ-IP поддерживает отечественные стандарты ГОСТ 28147-89, ГОСТ Р 34.10-2021, ГОСТ Р 34.11-2021, реализованные с использованием СКЗИ «Туннель 2.0» производства «ИнфоКрипт» (в части криптографии). ПАК функционирует на базе Linux.

ФПСУ-IP обладает следующими особенностями:

• поддерживает возможность работы в режиме «горячего» резервирования (предлагается производителем как опция);
• реализуется на базе различных аппаратных платформ типоразмеров как 1U, так и 2U;
• использует собственный VPN-протокол;
• в качестве удаленного клиентского компонента используется ПО «ФПСУ-IP/Клиент» (активация возможности взаимодействия с клиентским программным обеспечением на ПАК предлагается производителем как опция);
• модельный ряд обеспечивает скорость шифрования данных от 10 Мбит/с до 12 Гбит/с (при размере IP-пакета 1450 байт и 56 вычислительных потоках).

Рисунок 4. Шлюз ФПСУ-IP

ФПСУ-IP представляет собой решение на базе различных аппаратных платформ и программного обеспечения со встроенным сертифицированным СКЗИ.

Встроенное СКЗИ имеет действующий сертификат ФСБ России №СФ/124-3060 и соответствует требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2, КС3.

Подробнее с информацией о ФПСУ-IP можно ознакомиться на сайте производителя.