Обеспечение информационной безопасности (ИБ) – это весьма специфическая и комплексная сфера информационных технологий, с которой технический персонал компаний не сталкивается в своей повседневной работе. Поэтому неудивительно, что, когда встает задача выбора решения для защиты информации в компании или организации, у наших заказчиков и партнеров могут возникать вопросы, ответы на которые не очевидны.
С целью помочь нашим партнерам и заказчикам сделать правильный и обоснованный выбор того или иного решения для защиты информации, нашими специалистами были подготовлены ответы на вопросы, которые нам чаще всего задают партнеры, заказчики, пользователи.
Мы надеемся, что эти ответы также помогут развеять некоторые «мифы» и распространенные опасения, которые могут возникать у руководства компаний или технических специалистов при выборе решения для защиты информации.
Документ предполагается дополнять и обновлять в соответствии с новыми получаемыми от Вас вопросами по продуктам и решениям С-Терра и их применению. Ваши предложения по составу вопросов и пожелания по ответам Вы можете прислать нам по адресу presale@s-terra.ru.
При рассмотрении задачи обеспечения защиты информации в сети возникает множество вариантов ее решения, отличающихся как по общей реализации, так и по используемым продуктам и их поставщикам. Для того, чтобы помочь Вам сделать правильный выбор VPN продукта на основе реальных критериев мы подготовили специальную статью.
Производительность оборудования зависит от многих факторов:
При производстве ПАК (Программно-Аппаратных Комплексов) осуществляется тестирование производительности на разном типе трафика (TCP, UDP, различный размер пакетов и MTU). В описаниях ПАК на сайте, в презентациях и т.д. указываются не пиковые значения, полученные при шифровании пакетов большого размера, а данные для смешанного трафика (IMIX).
С максимальными значениями производительности шлюзов безопасности С-Терра можно ознакомиться на сайте:
Для получения подробной информации по какому-либо из шлюзов, необходимой при проектировании конкретной системы, рекомендуем обращаться в наш отдел технического консалтинга по адресу presale@s-terra.ru.
Правила пользования для продуктов С-Терра всех версий входят в состав документации и находятся в свободном доступе на портале документации компании «С-Терра СиЭсПи».
Для VPN-продуктов С-Терра, использующих криптографию «КриптоПро CSP» (СР), в формуляре указано, что:
«… 1.2. Эксплуатация ПAК должна проводиться в соответствии с эксплуатационной документацией
…
1.4. … Эксплуатация СКЗИ «КриптоПро CSP», при использовании его в ПК, должна проводиться в соответствии с эксплуатационной документацией, предусмотренной Формуляром на СКЗИ «КриптоПро CSP»…»
Иными словами, при использовании VPN продуктов с криптографией СР, необходимо руководствоваться как документацией на продукты ООО «С-Терра СиЭсПи», так и документацией на продукты производства ООО «КРИПТО-ПРО».
Для VPN-продуктов с собственной встроенной криптографией ST достаточно руководствоваться только документацией C-Терра, которая доступна на портале документации.
Таким образом, в отличие от некоторых поставщиков СКЗИ (даже хорошо известных на рынке РФ), которые «стесняются» раскрывать правила пользования своими VPN-продуктами, компания «С-Терра СиЭсПи» открыто публикует их на своем сайте.
Производительность зависит от множества факторов и может существенно различаться в зависимости от типа защищаемого трафика. Поэтому для каждого из наших устройств мы проводим большое количество измерений.
В частности, измеряется производительность при использовании пакетов UDP различного размера (64 байта, 512 байт, 1400 байт, 9000 байт) и TCP-трафика, как в один, так и в несколько потоков. Кроме того, нами используется модель сетевого трафика IMIX, которая состоит из набора сетевых пакетов различных размеров в определенных пропорциях – для того, чтобы измерения были применимы для более точной оценки производительности на реальном трафике.
При измерении производительности, мы, помимо непосредственно скорости (Мбит/с), контролируем и другие параметры, такие как задержку, jitter, процент потерянных и переупорядоченных пакетов, и следим за тем, чтобы эти показатели соответствовали самым высоким критериям качества.
Более подробно о производительности шлюзов шифрования и факторах, влияющих на нее можно узнать из этой статьи.
Нет, не обязательно.
Компания «С-Терра СиЭсПи» использует для производства шлюзов безопасности аппаратные платформы отечественных и зарубежных производителей. При этом все устанавливаемое на них программное обеспечение сертифицировано ФСБ и ФСТЭК России.
Основная задача продуктов С-Терра – обеспечить криптографическую защиту трафика и межсетевое экранирование. Кроме того, реализованы и другие функциональные возможности для решения смежных задач – такие как динамическая маршрутизация, сетевая трансляция адресов и т.п.
Для решения своих основных задач продукты С-Терра могут и должны применяться в комплексе с другими средствами защиты и сетевым оборудованием. Оно может быть как отечественного, так и импортного производства – это зависит от Ваших предпочтений.
Необходимость использования АПМДЗ (Аппаратно-Программный Модуль Доверенной Загрузки) для каждого исполнения описана в разделе «Комплектность» формуляров СКЗИ, доступных на портале документации.
Для достижения высоких классов сертификации КС2 и КС3 необходимо использовать средства локальной аутентификации и контроля целостности (защита от НСД). В частности, АПМДЗ являются удобным решением для выполнения этих требований и поэтому присутствуют в формулярах большинства производителей СКЗИ. Однако, для выполнения функций защиты от НСД могут применяться и другие средства, например, специальный загрузочный носитель – СЗН «ПОСТ-USB-01», либо комплекс специализированных программных и аппаратных средств, как, например, в криптомаршрутизаторах ESR-ST. Для использования исполнений класса КС1 использование подобных средств не требуется.
Многие продукты других производителей имеют жестко регламентированные разрешенные к использованию аппаратные платформы. В отличие от них, продукты С-Терра могут поставляться на любых аппаратных платформах общего назначения, в том числе на платформе, выбранной заказчиком.
Аналогичная ситуация и с АПМДЗ – существует перечень разрешенных для использования в наших продуктах АПМДЗ. Он включает в себя продукты разных производителей. Это дает возможность конечному пользователю (заказчику) выбрать, какой АПМДЗ ему будет удобней использовать.
В документации на продукты С-Терра с криптографией ST нет обязательного требования по использованию УЦ (Удостоверяющего Центра) КриптоПро. Его использование носит рекомендательный характер.
Например, в документации "ПАК "С-Терра VPN" Правила пользования для группы исполнений СКЗИ со встроенной криптографической библиотекой" в п.4.7. указано:
«… Сертификаты ключей проверки ЭП и списки аннулированных сертификатов должны быть выпущены в формате, совместимом с сертифицированным УЦ «КриптоПро», и подписаны с использованием сертифицированного СКЗИ. …»
Продукты С-Терра позволяют заказчику выбрать подходящий способ получения сертификатов для аутентификации. В том числе существуют весьма бюджетные варианты:
Отчасти – да. Антивирусное ПО необходимо применять при использовании любого СКЗИ, что является общим требованием, записанным в эксплуатационную документацию
Но, в отличие от многих других СКЗИ, при использовании С-Терра VPN не обязательно устанавливать антивирусное ПО на каждое рабочее место, а достаточно организовать централизованную антивирусную защиту, как это описано в документации "ПАК «С-Терра VPN». Правила пользования" (как для СКЗИ с КриптоПро CSP, так и для СКЗИ с криптографией ST), п.4.6.:
«… Для антивирусной защиты пользователей защищаемой сети средства антивирусной защиты должны устанавливаться либо непосредственно на ПЭВМ пользователя сети, либо на сервер централизованной антивирусной защиты, либо на ПАК с установленным СКЗИ (при наличии совместимого средства антивирусной защиты).
При наличии канала обмена информацией между ПЭВМ пользователя СКЗИ и незащищёнными автоматизированными системами, средства антивирусной защиты должны устанавливаться непосредственно на ПЭВМ пользователя СКЗИ, или на выделенный носитель ПЭВМ пользователя СКЗИ или предустанавливаться на СЗН (например, для бездисковой рабочей станции). При отсутствии такого канала обмена информацией, достаточно использование средств антивирусной защиты, устанавливаемых на сервер централизованной антивирусной защиты. …»
Продукты С-Терра уже являются сертифицированным СКЗИ и не требуют от заказчика проведения дополнительных исследований при функционировании в системах, использующих стандартные* средства обработки данных, в том числе для обработки информации, подлежащей обязательной защите в соответствии с законодательством РФ.
Мы предлагаем своим заказчикам только готовые к использованию продукты и решения и не перекладываем на них никаких дополнительных проблем.
* Стандартными в данном контексте считаются программы, входящие в состав операционной системы, либо разработанные производителем операционной системы или средства криптографической защиты информации (СКЗИ).
Нет, проводить исследования не требуется.
Исследование ПО BIOS СВТ на соответствие требованиям «Временных методических рекомендаций к проведению исследований программного обеспечения BIOS по документированным возможностям» проводится нашей компанией для всех производимых программно-аппаратных комплексов (ПАК) на основании соответствующей лицензии ФСБ России.
Другими словами, компания «С-Терра СиЭсПи» уже провела все необходимые исследования и предлагает своим заказчикам и партнерам только готовые к использованию продукты и решения.
Да, существует.
Система централизованного управления С-Терра КП появилась в версии 3.1 (2011 год). Сегодня она представляет собой мощнейший инструмент администрирования и используется у наших крупнейших заказчиков, системы которых насчитывают тысячи устройств С-Терра. В отличие от многих компаний, мы не навязываем заказчикам нашу систему управления, а позиционируем её как опциональный компонент.
Поддерживаются различные системы SNMP мониторинга, в том числе HP Arcsight.
Да, отказоустойчивость поддерживается.
Отказоустойчивость – способность системы выполнять свое предназначение в случае отказа какого-либо из своих элементов. Эта характеристика очень важна, поэтому наша компания предлагает различные варианты реализации отказоустойчивости и резервирования оборудования, а также его компонентов.
Кроме того, поддерживается резервирование интерфейсов оборудования по протоколу LACP. Возможна комплектация шлюзов безопасности дополнительными блоками питания и жесткими дисками (RAID).
Многообразие вариантов реализации и комплектации продуктов С-Терра позволяет повысить надежность любой ИС!
Компания «С-Терра СиЭсПи» поставляет все аппаратные платформы с гарантией производителя – 3 года. Причем, при возникновении гарантийного случая, заказчик может обращаться как в отдел технической поддержки компании «С-Терра СиЭсПи», так и к производителю АП напрямую, контактная информация которых приведена на нашем сайте в разделе «Поддержка».