«Сделано по ГОСТу»: как обеспечить защищенный канал
Рассказываем, кому нужен защищенный канал по ГОСТ и как его организовать.
Компании-разработчики редко сталкиваются со строгими требованиями по безопасности. Часто под «безопасностью» понимается именно защита персональных данных (ПД) сотрудников и контрагентов. Остальные требования устанавливают заказчики.
Так, если компания разрабатывает приложение для банка, то заказчик может потребовать, чтобы был соблюден стандарт PCI DSS. Или, например, при разработке сайта с обработкой ПД может понадобиться выполнить требования 152-ФЗ и 21 Приказа ФСТЭК по конкретному уровню защищенности.
Инфраструктура, на базе которой происходит разработка или находится само приложение, тоже должна соответствовать данным стандартам. Более того, если компания начинает оказывать услуги для государственных организаций или организаций, относящихся к КИИ, необходимо задуматься о передаче данных. Именно об этом мы и поговорим в статье.
«Мне нужен защищенный канал по ГОСТ?»
Все большему числу компаний необходимо использовать именно зашифрованный по ГОСТ канал, чтобы передавать и обрабатывать чувствительную информацию. Это связано с требованиями регулятора. Такие требования содержатся в 152-ФЗ «О персональных данных», 187-ФЗ «О безопасности критической инфраструктуры РФ», положении Банка России № 672-П, ГОСТ Р 57580.1-2017, приказе Министерства энергетики № 1015, 17 приказе ФСТЭК России, а также в других законодательных и нормативных актах. И если в 152-ФЗ «О персональных данных» использование ГОСТового шифрования не является обязательным, а зависит от модели угроз оператора персональных данных, то для многих других требований от ГОСТового шифрования не уйти.
Шифрование по ГОСТ является обязательным, если во владении компании находятся государственные информационные системы (ГИС) или она работает в стратегически важных для государства областях. Яркие примеры — здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и еще с десяток сфер.
Такие же требования предъявляются и к компаниям, которые оказывают какие-либо услуги «стратегически важным организациям». Очевидно, что если вы организуете доставку документов, разработку сайтов и приложений для «крупной энергетической компании», то потребуется организовать защищенный канал для передачи данных между вашей инфраструктурой и инфраструктурой заказчика.
«Мне нужен защищенный по ГОСТ канал. Что делать?»
Если вы столкнулись-таки с требованиями по организации защищенного канала, есть несколько вариантов решения.
Сделайте все самостоятельно
Это, наверное, первая идея, которая возникает у инженера при постановке задачи. Но есть важные нюансы. Например, для организации ГОСТ VPN с вашим заказчиком необходимо уточнить вендора, чье оборудование он использует. По сути, от этого зависит, на базе какого оборудования вы организуете связность. А если «железо» уже есть и не дружит с инсталляцией заказчика, это может вылиться в дополнительные затраты.
Допустим, вы все предусмотрели и узнали вендора заранее. Дальше необходимо закупить оборудование, установить его в дата-центр и настроить канал с заказчиком. Чаще всего для работ с СКЗИ требуется квалифицированный сотрудник, который умеет работать с данным оборудованием. Если в вашей команде такого специалиста нет, возможно, понадобится выделить дополнительные ресурсы на краудсорсинг или обучение действующего сотрудника. А это если не деньги, то время.
Также не менее, важно учесть, что оборудование всегда может выйти из строя и необходимо закупить резервное оборудование или настроить сразу кластер, что потребует дополнительных денежных затрат.
| Преимущества | Особенности |
| Полный контроль за оборудованием, оно принадлежит вам. | Наличие/найм сотрудников, которые имеют квалификацию в данном оборудовании. Затраты на оборудование, в том числе резервное, в случае выхода из строя основного. Наличие лицензии ФСБ на внедрение криптографического оборудования или затраты на привлечение лицензиата. |
Обратитесь к интегратору
Есть компании, которые могут закупить, установить, настроить и поддерживать в рабочем состоянии оборудование для организации защищенного по ГОСТ канала до вашего заказчика. Главное убедиться, что у такой компании есть лицензия ФСБ и ФСТЭК на осуществление данных работ. Вам также потребуется вложиться сразу во все оборудование, дополнительно заплатить интегратору за настройку и поддержание этого оборудование в рабочем состоянии.
| Преимущества | Особенности |
| Ничего не нужно делать самим. | Стоимость внедрения и поддержания. Затраты на оборудование, в том числе резервное, в случае выхода из строя основного. |
Закажите ГОСТ VPN в Selectel
Вы всегда можете приобрести сервис ГОСТ VPN у Selectel. Наши инженеры настроят межсетевое взаимодействие с вашим заказчиком от вашей инфраструктуры в дата-центре Selectel за несколько дней. Мы предоставляем оборудование в аренду в рамках сервиса с помесячной оплатой.
| Преимущества | Особенности |
| Ничего не нужно делать самим. Помесячная оплата. Если вы перестали работать с заказчиком, который требует шифрование по ГОСТ, вы можете просто отказаться от услуги. | Подходит для подключения к заказчикам со своей ViPNet-сетью. |
Подробнее о ГОСТ VPN
ГОСТ VPN — технология, которая позволяет организовать защищенный канал связи для передачи данных в интернете. Но есть одно важное отличие от других подобных решений: здесь используется оборудование с российскими алгоритмами шифрования, сертифицированное ФСБ России.
При этом компания может применять ГОСТ VPN в тех же сценариях, что и с обычным VPN: для передачи данных между территориально распределенными подразделениями, при подключении удаленных сотрудников к облачным ресурсам компании и т. д.
На практике такое решение создает зашифрованный туннель между клиентом и сервером. В нем шифрует передаваемые данные с помощью алгоритмов, одобренных ФСБ. Также решение расшифровывает входящий трафик, с этой целью оно использует специальные ключи шифрования.
Кто это будет поддерживать
На стороне Selectel услуга ГОСТ VPN предоставляется в виде сервиса. Стоимость складывается из аренды выделенного криптографического оборудования и работ наших администраторов по организации ГОСТ VPN. Выделенное криптографическое оборудование подбирается в зависимости от ваших требований. В зоне ответственности Selectel находится:
- предоставление аппаратного криптошлюза ViPNet Coordinator HW и его размещение в дата-центре;
- организация межсетевого соединения между ViPNet-партнером со своей ViPNet-сетью и Selectel или вашим офисом;
- мониторинг и установка обновлений ПО на аппаратном СКЗИ в рамках сервиса, а также изменение правил по требованию.
Как заказать ГОСТ VPN
Заказать услугу ГОСТ VPN как сервис можно из панели управления Selectel. В разделе Продукты → Аттестация и сертификация необходимо выбрать ГОСТ VPN.
Далее нужно нажать кнопку Выбрать ГОСТ VPN.
На следующей странице на выбор будет два самых популярных оборудования. Если вам данные решения не подходят, вы можете обратиться к нам через отдел продаж — специалисты подберут другой вариант из линейки ViPNet.
Если вам подходит данное оборудование, нажимаете кнопку Заказать и вводите номер ViPNet-сети, к которой необходимо будет настроить шифрованное по ГОСТ-соединение, количество соединений и уровень доступности.
После заказа с вами свяжется специалист в тикет-системе панель управления и опишет дальнейшие действия. Если вы хотите организовать подключение к вашему партнеру, который не является клиентом Selectel, необходимо будет запросить у него Согласие на установление межсетевого взаимодействия.
На старте мы организовываем установочную встречу всех участников процесса — вас, вашего партнера и специалиста Selectel. На ней обсуждаем этапы подключения ГОСТ VPN и планируемые сроки реализации. Далее вы организуете всю коммуникацию между вашим партнером и Selectel самостоятельно.
