О построении защищенных систем передачи информации в ИС ЭПС ФТС России

Комментарий специалиста по вопросу «О построении защищенных систем передачи информации в ИС ЭПС ФТС России». Комментирует: Немцов Игорь Юрьевич Генеральный директор ООО "Поликом" (г. Нижний Новгород) Вообще задача не тривиальная и инициатива, по моему, должна исходить от ФТС России в виде рекомендаций по построению защищенных систем передачи информации и выбору оборудования для криптозащиты, защиты от НСД и т.д. Так поступил, например, Центробанк России, сначала разработал систему, а затем рекомендовал к внедрению… Также хотелось бы обратить внимание, что следует понимать под сертифицированными средствами защиты информации. Например, купили Вы операционную системы Windows XP Professional, она имеет сертификат ФСТЭК России, соответственно может показаться, что сертификат распространяется на все копии данной ОС. Однако это не так. Сертифицированными в системе сертификации ФСТЭК России считаются средства защиты информации, имеющие формуляр именно на Ваше средство с указанным Вашим серийным номером, а также защитный голографический знак, а в случае сертификации партии в сертификате указывается диапазон серийных номеров продукции, которые прошли сертификацию, и также оформляется формуляр с защитным голографическим знаком. Читаем приказ… На основании требований Приказа ФТС России от 24 января 2008 г. № 52 предоставление таможенным органам сведений в электронной форме для целей таможенного оформления товаров, в том числе с использованием международной ассоциации сетей "Интернет" должно осуществляться с обязательным соблюдением следующих требований: Приложение № 3 п. 6а) - на средства вычислительной техники ИС ЭПС в обязательном порядке должны быть установлены лицензионные операционные системы, сертифицированные Федеральной службой по техническому и экспортному контролю (далее - ФСТЭК России) по требованиям безопасности информации; Для этих целей подходят ОС семейства Windows, имеющие сертификаты ФСТЭК России. Например: Сертификат соответствия ФСТЭК № 1093 удостоверяет, что Microsoft Windows XP Professional SP2 - является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к конфиденциальной информации, и имеет оценочный уровень доверия ОУД 1 /усиленный/ в соответствии с Руководящим документом Гостехкомиссии России "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий". Сертификат соответствия ФСТЭК № 1516/1 от 04.04.2008 удостоверяет, что Microsoft Windows Vista SP1 - является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к конфиденциальной информации, и имеет оценочный уровень доверия ОУД 1 /усиленный/ в соответствии с Руководящим документом Гостехкомиссии России "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий". п. 7а) - на средства вычислительной техники ИС ЭПС в обязательном порядке должны быть установлены лицензионные средства антивирусной защиты информации, сертифицированные ФСТЭК России и Федеральной службой безопасности России (далее - ФСБ России) по требованиям безопасности информации; На сегодняшний день это следующие антивирусные продукты: DrWeb и Антивирус Касперского для различных операционных систем, рабочих станций и серверов. п. 7б) - для обеспечения целостности и юридической значимости передаваемой информации в процессе информационного взаимодействия должны использоваться сертифицированные ФСБ России средства криптографической защиты информации и электронной цифровой подписи, совместимые с системой ведомственных удостоверяющих центров таможенных органов (далее - СВУЦТО) п. 7в) - должны быть обеспечены разграничение и контроль доступа должностных лиц Заявителя к ресурсам ИС ЭПС с использованием сертифицированных средств защиты информации (ИС ЭПС должна быть аттестована по требованиям безопасности информации). Из этих пунктов следует, что использование сертифицированных ФСБ России средств криптографической защиты информации и электронной цифровой подписи необходимо на всём маршруте прохождения информации от любого участника внешнеэкономической деятельности (участник ВЭД) до таможенного органа (в данном случае до ГНИВЦ ФТС России) не зависимо от наличия/отсутствия промежуточных/региональных операторов. Криптографическая защита информации должна присутствовать на каждом участке прохождения информации. При этом, операционная система Windows, имея сертификат ФСТЭК России по требованиям безопасности информации, не имеет сертификата ФСБ России, как криптографическое средство, и, соответственно, не может использоваться как таковое. Промежуточный оператор в процессе информационного обмена может: 1) транслировать через своё оборудование зашифрованный канал связи от участника ВЭД до ГНИВЦ ФТС России, криптографическое средство и каналообразующее оборудование, установленное у участника ВЭД, соответствует оборудованию ГНИВЦ ФТС России. 2) транслировать через своё оборудование зашифрованную информацию используя различную каналообразующую аппаратуру в направлении ГНИВЦ и в направлении участника ВЭД исходя из технических особенностей этих подключений. Для справки Используемые сертифицированные криптографические средства: 1) Программные продукты семейства  КриптоПро CSP имеют сертификат соответствия ФСБ России и могут использоваться как криптографическое средство для шифрования информации, формирования ключей электронной цифровой подписи, защиты соединений в Интернете (TLS для HTTPS), и т.д. Сертификат соответствия, регистрационный номер СФ/144-1174 от 12 сентября 2008 г., действителен до 30 апреля 2010 г., выдан обществу с ограниченной ответственностью "Крипто-Про". Настоящий сертификат удостоверяет, что средство криптографической защиты информации (СКЗИ) "КриптоПро CSP (версия 3.0)" в составе согласно формуляру ЖТЯИ.00015-01 30 01 соответствует требованиям ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.10-2001, ГОСТ Р34.11-94 и требованиям ФСБ России к СКЗИ класса КС1 (КС2 при использовании совместно с сертифицированными аппаратно-программными модулями доверенной загрузки ЭВМ "Аккорд-АМДЗ" или "Соболь-PCI") и может использоваться для криптографической защиты (генерация и управление ключевой информацией, шифрование, вычисление имитовставки и электронной цифровой подписи, выработки значения хеш-функции для областей оперативной памяти, идентификацию, аутентификацию, шифрование, имитозащиту TLS соединений) информации, не содержащей сведений, составляющих государственную тайну. 2) АПКШ "Континент" обеспечивает: - надежную защиту информационных сетей организации от вторжения со стороны сетей передачи данных; - конфиденциальность при передаче информации по открытым каналам связи (VPN); - безопасный доступ пользователей VPN к ресурсам сетей общего пользования; - защищенное взаимодействие сетей различных организаций. Основные возможности: - Объединение через Интеренет локальных сетей предприятия в единую сеть VPN; - Подключение удаленных и мобильных пользователей к VPN по защищенному каналу; - Разграничение доступа между информационными системами предприятия; - Организация защищенного взаимодействия со сторонними организациями; - Безопасное удаленное управление маршрутизаторами. Сертификаты ФСТЭК (сертификат ФСТЭК № 1168 от 11.04.2006г.) подтверждают соответствие требованиям: - по 4-му классу защищенности для межсетевых экранов; Сертификаты ФСБ (№ СФ/525-1352 от 21.07.2009, № СФ/124–0948 от 13.11.2006, № СФ/124–0947 от 13.11.2006, № СФ/114–0946 от 13.11.2006) подтверждают соответствие требованиям классов КС1 и КС2 и могут быть использованы для криптографической защиты конфиденциальной информации. 3) программно-аппаратная система "ФПСУ-IP" + “ФПСУ-IP/Клиент” обеспечивает безопасный информационный обмен между удаленным абонентским пунктом (рабочей станцией) и защищенной комплексом "ФПСУ-IP" сетью через открытые сети передачи данных. Комплекс “ФПСУ-IP/Клиент” устанавливается на рабочей станции удаленного пользователя и выполняет функции межсетевого экрана и VPN построителя для информационных взаимодействий «рабочие станции – защищенные сервера». Тем самым обеспечивается аутентифицированный и безопасный доступ к серверам, защищаемым комплексом «ФПСУ-IP», за счет создания VPN-соединения между рабочей станцией и центральным комплексом «ФПСУ-IP». Административное управление, контроль и аудит всех VPN-соединений осуществляется централизовано с использованием АРМ «Удаленного управления». Персональный межсетевой экран "ФПСУ-IP/Клиент" имеет сертификат ФСТЭК № 1281 по 5 классу защищенности в соответствии с РД на межсетевые экраны, а при осуществлении сеанса связи с базовым межсетевым экраном "ФПСУ-IP" (сертификат ФСТЭК № 1091 от 31.10.2005г.) - по 3 классу защищенности. В качестве криптоядра используется сертифицированное ФСБ (сертификат № СФ/124-0888 от "01" июня 2006г., по уровню КС1) средство криптографической защиты информации «Туннель/Клиент». Выводы: В итоге имеем схему информационного обмена, полностью удовлетворяющую требованиям Приказа ФТС России от 24 января 2008 г. № 52: - Программный продукт КриптоПро CSP встроенный в специализированный комплекс подготовки таможенных документов осуществляет наложение электронной цифровой подписи на подготовленный пакет документов; - Персональный межсетевой экран "ФПСУ-IP/Клиент" обеспечивает аутентифицированный безопасный доступ к серверу оператора с шифрованием потока данных; - Для разграничения доступа к автоматизированной системе должностных лиц участника ВЭД рекомендуется использовать электронный замок типа «Аккорд-АМДЗ» или «Соболь». - АПКШ "Континент" обеспечивает безопасный доступ от оператора к оборудованию ГНИВЦ ФТС России также с шифрованием потока данных. - В совокупности использование данных решений обеспечивает целостность передаваемой информации в процессе информационного взаимодействия, а применённые сертифицированные ФСБ России средства криптографической защиты информации и электронной цифровой подписи совместимы с СВУЦТО и удовлетворяют требованиям по защите информации. При реализации задачи поставленной Приказом ФТС России от 24 января 2008 г. № 52 могут быть использованы и иные сертифицированные криптографические средства, присутствующие на Российском рынке устройств защиты информации. Дополнительные размышления: Сведения, присутствующие в грузовой таможенной декларации, можно отнести к персональным данным, а информационной системе, обрабатывающей такие данные, может быть присвоен класс К3 (максимум К2, но не мне это решение принимать!) в соответствии с действующим законодательством РФ о персональных данных. (совместный Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 года № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных») ( http://www.zki.infosec.ru/law/personal/doc/146/ ). Всё это лишь подтверждает требования приказа № 52 ФТС России о необходимости применения сертифицированных ФСБ России средств криптографической защиты информации и электронной цифровой подписи.