Выполняя поручение президента, предписывающее скорейший перевод госорганов на созданные в России современные криптографические средства обеспечения безопасности передаваемой информации и российские алгоритмы шифрования, кабинет министров обязан разработать комплекс мер, выполнение которых позволит завершить переход на отечественные СКЗИ до 01.12.2017. Кроме поэтапного перехода на российские СКЗИ, поручение президента предписывает обеспечить бесплатный доступ граждан страны к отечественным средствам шифрования.
Особенно важна применяемая в поручении формулировка, обязывающая обеспечить возможность использования высокотехнологичного оборудования, исключающего вероятность вмешательства «третьих лиц» в функционирование криптографических протоколов, если применяются коммуникационные сети общего пользования. Исключение сделано лишь для случаев, когда вмешательство обусловлено мероприятиями оперативно-розыскной деятельности и при необходимости «снятия информации» с используемых элементов сети электросвязи на основании существующих законодательных норм РФ.
Учитывая поставленные распоряжением президента задачи, аналитики российского создателя программно-аппаратных решений защиты безопасности ООО «Код безопасности» произвели предварительный расчет времени, необходимый для перевода IT-инфраструктур госорганов на российские СКЗИ. Для выполнения заявленных в поручении президента требований потребуется масштабная доукомплектация имеющихся инфраструктур средствами криптографической защиты информации (СКЗИ), разработанными в России.
На первом этапе потребуется произвести изменения на порталах госуслуг структур федерального и регионального подчинения, что предполагает внедрение элементов СКЗИ как пользователями, так и интеграция их в Web-server. Если для конечного потребителя будет достаточно встроить в web-обозреватель сертифицированную криптобиблиотеку, то внедрение СКЗИ в Web-server предполагает использование одного из 2-х вариантов:
- Встраивание оборудование СКЗИ в сам Web-server.
- Внедрение ПАК (программно-аппаратный комплекс) с использованием криптографического протокола Transport Layer Security Virtual Private Network (TLS VPN), что обеспечивает установленный программный модуль «Континент TLS VPN Сервер» от ООО «Код безопасности». Таким образом, будут созданы условия для перехвата HTTP/HTTPS-трафика с последующим его кодированием с применением определенной последовательности шифрования по ГОСТу (28147-89).
Предлагаемые ООО «Код безопасности» способы решения поставленной задачи имеют свои технические особенности, что влияет на сроки осуществления проекта. Встраивание СКЗИ предполагает:
-разработку ОРД (организационно-распорядительной документации), что потребует около 2-х месяцев;
- выполнение всех формальностей открытого конкурса по 44-ФЗ — минимум 2 с половиной месяца;
- внедрение оборудования – полмесяца;
- контроль функциональности СКЗИ со стороны ФСБ – 7 месяцев.
В общем итоге, для реализации аппаратного направления внедрения СКЗИ в Web-server потребуется не менее года.
Выбор варианта, предполагающего интегрирование ПАК, позволяет осуществить проект всего за 7 месяцев, а именно:
- разработка необходимой документации – 2 месяца;
- выполнение всех формальностей открытого конкурса по 44-ФЗ — минимум 2 с половиной месяца;
- предоставление необходимого оборудования и соответствующего софта – полтора месяца;
- внедрение проекта – полмесяца.
Общепринятая практика выполнения поручений президента свидетельствует, что для начала конкретного выполнения определенных проектно-монтажных работ, с учетом времени, затрачиваемого на разработку законопроектов, принятие всех полагающихся подзаконных актов, требуется не менее 3-х месяцев. Велика вероятность, что выбрав вариант встраивания в Web-server отечественной СКЗИ, организация просто не успеет уложиться в установленные президентским поручением сроки. Если же изменения законодательной базы затянутся на срок, больший, чем 3 месяца, срыв графика внедрения отечественных СКЗИ неизбежен.
Встраивание, даже отечественной СКЗИ, имеет и иные сложности:
- незапланированные трудозатраты на разработку и утверждение документов для предоставления в лабораторию, проводящую испытания СКЗИ;
- дополнительные расходы на внесение определенных усовершенствований в код, устранение погрешностей в работе приложений на основании отчетов об испытании, предоставленных лабораторией.
Второй способ, а именно запуск программно-аппаратного комплекса, предоставляет клиенту существенные преимущества, поскольку в распоряжение заказчика передается современная программная платформа, адаптированная для работы в условиях крупного предприятия – удобная в управлении, легко масштабируемая, интегрируемая с любыми Web browsers и SIEM-системами.
Вероятностное моделирование развитие ситуации с внедрением отечественных СКЗИ продемонстрировало, что оптимальным вариантом выполнения требований изменившегося законодательства является интегрирование ПАК с криптографическим протоколом TLS VPN. В этом случае защищенность доступа к web-ресурсам удаленных пользователей обеспечивает сертифицированный ФСБ РФ модуль «Континент TLS VPN». Это позволяет воспользоваться бесплатным TLS-клиентом, гибкостью и производительностью решения, одновременно поддерживающего не менее 100 тысяч подключений.