К нам периодически поступают вопросы относительно выбора компонентов криптошлюза КриптоПро NGate (хотя они применимы и к любым другим сертифицированным СКЗИ):
- Обязательно ли использовать клиентские и серверные компоненты одного класса защиты?
- Если шлюз класса КС3 а клиент КС1, то защищённое соединение будет класса КС1?
Если коротко, то на оба вопроса ответ - НЕТ. А теперь давайте разбираться.
Обратимся к «Методическим рекомендациям ФСБ (от 31 марта 2015 года № 149/7/2/6-432) по разработке НПА, определяющих угрозы безопасности ПДн, актуальные при обработке ПДн в ИСПДн…»: http://www.fsb.ru/files/PDF/Metodicheskie_recomendacii.pdf
Не смотря на название документа, как написано в самом документе - руководствоваться им необходимо не только органам власти при разработке соответствующих НПА, но целесообразно руководствоваться и остальным операторам ПДн.
Найдем в документе такой пункт (в 3-м разделе):
«В случае если оператор определил, что применение СКЗИ необходимо для обеспечения безопасности ПДн в различных сегментах ИСПДн, то класс СКЗИ определяется для каждого объекта защиты в рамках одной ИСПДн. В случае применения СКЗИ для обеспечения безопасности различных объектов защиты, возможно в рамках одной ИСПДн использовать СКЗИ разных классов».
Начнем ответы на вопросы с того, что такого понятия, как «класс защиты соединения», нет, класс СКЗИ определяется для каждого объекта защиты в рамках одной ИСПДн. В нашем случае серверные и клиентские компоненты находятся в разных сегментах ИСПДн и их целесообразно отнести к разным объектам защиты.
При этом совершенно типичной является ситуация, когда в модели нарушителя для системы фиксируются требования КС3 для сервера и КС1 для клиента. Самый близкий и массовый пример тут, пожалуй, ЕБС (Единая биометрическая система), в моделях для которой явно прописаны именно такие классы. И это не только следствие практической необходимости (на телефон на iOS или Android ничего выше КС1 поставить не получится), но и явное отражение существенных аспектов: классы КС2 и КС3 нужны тогда, когда к СКЗИ может получать физический доступ нарушитель (источник атак). На шлюзе это необходимо – нельзя считать всех уборщиц ЦОДа и всех администраторов доверенными людьми. А вот у пользователя совершенно спокойно хватит КС1, ведь свой ноутбук/смартфон он по объективным причинам в руки нарушителей давать не будет (по крайней мере не должен).
Таким образом, «обеспечение криптографической защиты для доступа к ресурсу по классу КС3» - это разворачивание на нем оборудование класса КС3. А вот клиенты подключаться к нему могут с помощью компонент разных классов.
