использование одиночного АПКШ Континент IPC-10 Использование продукции «С-Терра СиЭсПи»: использование кластера CSP VPN Gate 3000


ОАО «РОСТЕЛЕКОМ»
УТВЕРЖДАЮ
Заместитель Министра связи
и массовых коммуникаций Российской Федерации
УТВЕРЖДАЮ
Старший Вице-президент по управлению бизнесом
ПАО «Ростелеком»
А. О. Козырев Л. С. Ткачук
«___» ___________ 2015 г. «___» ___________ 2015 г.
Требования к сети передачи данных участников информационного обмена
Листов NUMPAGES \# "0" \* Arabic \* MERGEFORMAT 19
Москва 2015
СОДЕРЖАНИЕ
TOC \o "1-3" \h \z \u Обозначения и сокращения PAGEREF _Toc432503831 \h 31Общие положения PAGEREF _Toc432503832 \h 42Типизация схем подключения PAGEREF _Toc432503833 \h 53Рекомендуемые требования, обеспечиваемые при подключении Организаций к ЗСПД PAGEREF _Toc432503834 \h 63.1Рекомендации по номенклатуре используемых решений в Организации PAGEREF _Toc432503835 \h 63.2Рекомендации по номенклатуре решений, обеспечивающих необходимую пропускную способность каналов связи PAGEREF _Toc432503836 \h 73.3Рекомендации по обеспечению резервного электроснабжения PAGEREF _Toc432503837 \h 84Обязательные требования, обеспечиваемые при подключении Организаций к ЗСПД PAGEREF _Toc432503838 \h 94.1Общие требования PAGEREF _Toc432503839 \h 94.2Требования к помещениям и организации защиты пи размещении технических средств PAGEREF _Toc432503840 \h 94.3Требования к размещению ЦУС PAGEREF _Toc432503841 \h 104.4Требования к размещению программной реализации криптошлюза PAGEREF _Toc432503842 \h 114.5Требования к размещению ViPNet Клиент PAGEREF _Toc432503843 \h 124.6Требования к размещению сетевого оборудования и сетевой связности PAGEREF _Toc432503844 \h 125Форма технических сведений участника PAGEREF _Toc432503845 \h 14
Обозначения и сокращенияАббревиатура Наименование
VPN Виртуальная частная сеть (Virtual Private Network)
NAT Преобразование сетевых адресов (Network Address Translation)
АС Автоматизированная система
БД База данных
ИО Проект "Информационное общество"
ЗСПД Защищенная сеть передачи данных
КЦОД Коллективный центр обработки данных
НПРОД Национальная платформа распределенной обработки данных
НСИ Нормативно-справочная информация
ОС Операционная система
ПАК Программно-аппаратный комплекс
ПО Программное обеспечение
СЗИ Средства защиты информации
ТЗ Техническое задание
ТП Технический проект
ФСБ Федеральная служба безопасности
ФЦОД Федеральный центр обработки данных
ФСТЭК Федеральная служба по техническому и экспортному контролю
ЦУС Центр управления сетью
ЭЦП Электронная цифровая подпись
Общие положенияЗащищенная сеть передачи данных проекта «Электронного правительства» предназначена для безопасного взаимодействия, управления и мониторинга распределенных информационных систем, входящих в состав систем проекта «Электронное правительство».
Данный документ определяет рекомендации, соответствие которым необходимо обеспечить Организациям / ИС, подключаемым к ЗСПД ОАО «Ростелеком».
Типизация схем подключенияВ рамках функционирования различных ИС, требующих в рамках ЗСПД обеспечения криптографической защиты данных при взаимодействии по открытым общедоступным сетям, необходимо организовывать подключение АС с различной архитектурой построения, расположения и назначения.
В части организации криптографической защиты передаваемых данных можно выделить ряд типовых схем подключения, применимых для существующих и перспективных информационных систем.
Большинство вариантов подключения к ЗСПД сводится к типовым и зависит от ряда таких факторов, как количество подключаемых АРМ / серверов, необходимости резервирования, необходимости именно программной реализации, уже имеющихся в наличии решений этого же вендора необходимой номенклатуры.
Типовые варианты подключения со стороны Организации / ИС, в зависимости от вендора, сводятся к следующим:
Использование продукции «Инфотекс»:
использование кластера ПАК HW1000;
использование одиночного ПАК HW1000;
использование одиночного ПАК HW100 модификаций A/B/C;
использование ПО ViPNet Client;
Использование продукции «Код безопасности»:
использование кластера АПКШ Континент IPC-100;
использование одиночного АПКШ Континент IPC-100;
использование одиночного АПКШ Континент IPC-25;
использование одиночного АПКШ Континент IPC-10;
Использование продукции «С-Терра СиЭсПи»:
использование кластера CSP VPN Gate 3000;
использование одиночного CSP VPN Gate 3000;
использование одиночного CSP VPN Gate 1000V;
использование одиночного CSP VPN Gate 100;
использование одиночного CSP VPN Gate 100 модификаций V/B;
Гибридная схема – симбиоз предыдущих вариантов.
Рекомендуемые требования, обеспечиваемые при подключении Организаций к ЗСПДНа объектах информатизации (Организациях), подключаемых к ЗСПД, должны быть реализованы требования по обеспечению информационной безопасности, регламентируемые текущим законодательством.
Рекомендации по номенклатуре используемых решений в ОрганизацииВ таблице REF Таблица_1 \h 1 представлены рекомендации по выбору типа ПАК ViPNet в зависимости от количества используемых в подключаемой организации сетевых узлов (АРМ, серверов, терминалов), обрабатывающих подлежащую защите информацию:
Таблица SEQ Таблица \* ARABIC 1 - Рекомендуемое оборудование в зависимости от количества АРМ
№ п/п Количество серверов, АРМ и терминалов в защищаемом сегменте Рекомендуемая номенклатура решений Инфотекс1 более 500 HW2000
2 от 10 до 500 HW1000
3 от 6 до 10 HW100C
4 от 3 до 5 HW100B
5 от 1 до 2 HW100A
6 1 ViPNet ClientВ таблице REF Таблица_2 \h 2 представлены рекомендации по выбору типа АПКШ Континент в зависимости от количества используемых в подключаемой организации сетевых узлов (АРМ, серверов, терминалов), обрабатывающих подлежащую защите информацию:
Таблица SEQ Таблица \* ARABIC 2 - Рекомендуемое оборудование в зависимости от количества АРМ
№ п/п Количество серверов, АРМ и терминалов в защищаемом сегменте Рекомендуемая номенклатура решений Код безопасности
1 более 500 IPC-3000/IPC-1000
2 от 25 до 500 IPC-100
3 от 3 до 25 IPC-25
4 от 1 до 2 IPC-10
В таблице REF Таблица_3 \h 3 представлены рекомендации по выбору типа CSP VPN Gate в зависимости от количества используемых в подключаемой организации сетевых узлов (АРМ, серверов, терминалов), обрабатывающих подлежащую защите информацию:
Таблица SEQ Таблица \* ARABIC 3 - Рекомендуемое оборудование в зависимости от количества АРМ
№ п/п Количество серверов, АРМ и терминалов в защищаемом сегменте Рекомендуемая номенклатура решений С-Терра СиЭсПи1 более 300 CSP VPN GATE 7000
2 от 100 до 300 CSP VPN GATE 3000
3 от 50 до 100 CSP VPN GATE 1000V
4 от 5 до 50 CSP VPN GATE 100V
от 3 до 5 CSP VPN GATE 100
5 от 1 до 2 CSP VPN GATE 100B
Рекомендации по номенклатуре решений, обеспечивающих необходимую пропускную способность каналов связиВ таблице REF Таблица_4 \h 4 представлены рекомендации по выбору типа ПАК ViPNet в зависимости от необходимой пропускной способности при подключении Организации к ЗСПД:
Таблица SEQ Таблица \* ARABIC 4 - Рекомендации по пропускной способности каналов связи
№ п/п Необходимая производительность шифрования Рекомендуемая номенклатура решений Инфотекс1 до 2,7 Гбит/сHW2000
2 до 250 Мбит/сHW1000
3 до 20 Мбит/сHW100A/B/C
В таблице REF Таблица_5 \h 5 представлены рекомендации по выбору типа АПКШ Континент в зависимости от необходимой пропускной способности при подключении Организации к ЗСПД:
Таблица SEQ Таблица \* ARABIC 5 - Рекомендации по пропускной способности каналов связи
№ п/п Необходимая производительность шифрования Рекомендуемая номенклатура решений Код безопасности
1 до 2,7 Гбит/сIPC-3000/IPC-1000
2 до 300 Мбит/сIPC-100
3 до 50 Мбит/сIPC-25
4 до 10 Мбит/сIPC-10
В таблице REF Таблица_6 \h 6 представлены рекомендации по выбору типа CSP VPN Gate в зависимости от необходимой пропускной способности при подключении Организации к ЗСПД:
Таблица SEQ Таблица \* ARABIC 6 - Рекомендации по пропускной способности каналов связи
№ п/п Необходимая производительность шифрования Рекомендуемая номенклатура решений С-Терра СиЭсПи1 до 2,7 Гбит/сCSP VPN GATE 7000
2 до 300 Мбит/сCSP VPN GATE 3000
3 до 100 Мбит/сCSP VPN GATE 1000/1000V
4 до 15 Мбит/сCSP VPN GATE 100/100V/100B
Рекомендации по обеспечению резервного электроснабженияПри подключении ПАК к UPS последний обеспечивает работу компьютера только до тех пор, пока не разрядится батарея. После разряда батареи компьютер будет некорректно выключен, что может привести к потере данных. В то же время большинство современных UPS могут подключаться к компьютеру с помощью интерфейсного кабеля и посылать сигнал об истощении батареи. Полученный сигнал компьютер может использовать для корректного выключения.
Обязательные требования, обеспечиваемые при подключении Организаций к ЗСПДОбщие требованияВо исполнение требований законодательства РФ и других нормативных документов в области обеспечения ИБ для организации защищённого информационного обмена следует обеспечивать криптографическую защиту каналов связи, проходящих через неконтролируемую зону, в том числе по открытым общедоступным сетям.
В ОАО «Ростелеком» для организации криптографической защиты каналов связи при взаимодействии информационных систем используются продуктовые линейки производства компаний «Инфотекс», «Код безопасности» и «С-Терра СиЭсПи». Все подключаемые к ЗСПД Организации для обеспечении совместимости СКЗИ обязаны использовать СКЗИ данного типа. Осуществляется централизованное управление и мониторинг СКЗИ силами ОАО «Ростелеком». Подключаемая организация на период действия технической поддержки передает полное управление СКЗИ специалистам ОАО «Ростелеком».
Данные СКЗИ имеют сертификат соответствия ФСБ до уровня КС3 включительно.
В случае, если в подключаемой Организации используются СКЗИ другого производителя, следует обеспечивать перешифрование трафика из СКЗИ другого производителя на СКЗИ представленных выше производителей.
Требования к помещениям и организации защиты пи размещении технических средствПри размещении технических средств (ТС) на объектах информатизации Организаций следует руководствоваться следующими требованиями:
Размещение, охрана и специальное оборудование помещений, в которых установлены ТС и ведется работа с носителями персональной ключевой информации, должны исключать возможность бесконтрольного проникновения в них посторонних лиц, прослушивания ведущихся там переговоров и просмотра помещений посторонними лицами, а также гарантировать сохранность находящихся в этих помещениях конфиденциальных документов.
Порядок охраны и организации режима помещений, в которых установлены ТС, регламентируется разделом IV инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи. Передача организована с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. № 152.
На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, утвержденные руководством учреждения, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений, очередность и порядок эвакуации конфиденциальных документов и дальнейшего их хранения.
Технические средства могут подключаться к общегородской сети электроснабжения с учетом требований инструкций по эксплуатации вычислительных средств и правил техники безопасности.
Оборудование помещений средствами вентиляции и кондиционирования воздуха должно соответствовать санитарно-гигиеническими нормам СНиП, устанавливаемым законодательством Российской Федерации.
При подключении СКЗИ к каналам передачи данных, выходящих за пределы контролируемой зоны, необходимо выполнение действующих в Российской Федерации требований по защите информации от утечки по техническим каналам, в том числе по каналу связи (например, СТР-К). При монтаже каналов связи, гальванические цепи которых непосредственно от ПЭВМ (с установленным на нем СКЗИ) выходят за пределы контролируемой территории, должны использоваться оптоволоконные развязки.
При использовании СКЗИ только для выполнения функций генерации/проверки ЭЦП, а также, если подключение к каналам передачи данных, выходящих за пределы контролируемой зоны, осуществляется через активное канальное оборудование (находящееся в пределах контролируемой зоны), то использование оптоволоконной развязки не требуется.
Требования к размещению ЦУСТекущие типовые схемы подключения к ЗСПД не предусматривают размещения Центра управления сетью на объектах информатизации Организаций. Под ЦУС подразумеваются решения разных производителей, имеющих разные названия: ViPNet Администратор, ПУ ЦУС, С-Терра КП. Однако, в случае принятия данного решения (изменение требований законодательства, специфичная архитектура ИС, иные мотиваторы) необходимо обеспечивать выполнение следующих требований:
Помещения, в которых устанавливаются компоненты ЦУС, относятся к защищаемым помещениям, обеспечивающим конфиденциальность проводимых работ и исключающим возможность бесконтрольного нахождения в нем посторонних лиц.
Входные двери помещений должны быть оборудованы внутренними замками, гарантирующими надежное закрытие дверей при выходе из помещения и в нерабочее время. Окна (при необходимости) и двери должны быть оборудованы охранной сигнализацией, связанной с центральным пультом наблюдения за сигнализацией поста охраны.
Служебные помещения Удостоверяющего центра, используемые для архивного хранения документов на бумажных, магнитных и оптических носителях, оборудуются средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима, вентиляции и очистки воздуха.
В помещение допускаются только сотрудники, имеющие непосредственное отношение к организации эксплуатации ЦУС.
Уборка помещения, обслуживание оборудования систем жизнеобеспечения осуществляется назначенным персоналом при выключенных мониторах в присутствии администратора.
Должны быть приняты меры по надежному сохранению в тайне паролей доступа, ключевых дистрибутивов и другой ключевой информации, размещенной на съемных носителях. Для хранения съемных носителей помещение должно быть оборудовано сейфом.
По окончании рабочего дня, помещения закрываются, опечатываются и сдаются под охрану. Порядок сдачи помещений определяется эксплуатирующей организацией.
Требования к размещению программной реализации криптошлюзаТребования:
ПО следует устанавливать в выделенных помещениях серверных узлов.
Доступ в помещение серверных узлов должен быть ограничен.
Дополнительных специальных требований к помещениям, где установлено ПО, не предъявляется.
Требования к размещению ViPNet КлиентViPNet Клиент является персональным средством защиты пользователя ViPNet и размещается на рабочем месте сотрудника Организации – пользователя ViPNet. Дополнительных специальных требований к помещениям, где установлено ПО ViPNet Клиент, не предъявляется.
Требования к размещению сетевого оборудования и сетевой связностиПри размещении сетевого оборудования, размещаемого на объектах информатизации Организации, подключаемой к ЗСПД, необходимо выполнить следующее:
Обеспечить физическое размещение оборудования на площадке 1 (одного) места размером 19 дюймов Rack 1U (для установки в стойку глубиной от 480 мм и более) 432х45х425 (ШхВхГ) каждое.
Обеспечить подключение оборудования максимальной потребляемой мощностью 270 Вт к сети гарантированного электропитания питания 220 В с помощью кабеля типа С13 – СЕЕ7/7 (евровилка).
Обеспечить возможность подключения к сетевому оборудованию Организации интерфейсов криптомаршрутизатора с использованием интерфейсов Ethernet Base T 100/1000.
Обеспечить связность на втором уровне модели OSI/ISO внутренних интерфейсов криптошлюзов при кластерном подключении, т. е., разместить два физических интерфейса в одном широковещательном сегменте.
При подключении через сеть Интернет обеспечить доступность внешнего интерфейса криптошлюза (внешний «белый» IP адрес) из сети Интернет одним из следующих способов:
обеспечение NAT-трансляции частного IP-адреса в публичный IP-адрес и публичного IP-адреса в частный по протоколам TCP, UDP и портам:
Таблица SEQ Таблица \* ARABIC 7 –Таблица данных
Оборудование Протокол Порт Примечание
ViPNetUDP 55777 Разрешить прохождение в обе стороны
С-Терра UDP 500, 4500 Разрешить прохождение в обе стороны
АПКШ Континент UDP 4433, 7500, 10000-1031, 5101, 5106, 5107, 5557 Разрешить прохождение в обе стороны
АПКШ Континент TCP 4431, 4444, 4445, 4446, 5100-5103 Разрешить прохождение в обе стороны
выделение для интерфейса публичного IP-адреса.
Обеспечение отсутствия логических препятствий для прохождения трафика по протоколу UDP, TCP и портам между внешним интерфейсом криптошлюза (ip внеш.) и адресами криптошлюзов ИС, список портов указан ниже:
Таблица SEQ Таблица \* ARABIC 8 – Таблица данных
Оборудование Протокол Порт Примечание
ViPNetUDP 55777 Разрешить прохождение в обе стороны
С-Терра UDP 500, 4500 Разрешить прохождение в обе стороны
АПКШ Континент UDP 4433, 7500, 10000-1031, 5101, 5106, 5107, 5557 Разрешить прохождение в обе стороны
АПКШ Континент TCP 4431, 4444, 4445, 4446, 5100-5103 Разрешить прохождение в обе стороны
Обеспечить маршрутизацию в локальной сети Организации таким образом, чтобы трафик с адресов серверов Организации, отправляемый через ЗСПД, направлялся на внутренний интерфейс криптомаршрутизатора;
При подключении АРМ`ов, обеспечить трансляцию адресов АРМ`ов в один адрес, принадлежащий сети внутреннего интерфейса криптошлюза.
Допускается не использовать трансляцию адресов при подключении единственного АРМа.
Форма технических сведений участникаПри подключении Организации к ЗСПД необходимо предоставить сведения, по Форме технических сведений Участника, приведённой в таблице REF Таблица_9 \h 9.
Таблица SEQ Таблица \* ARABIC 9 - Форма технических сведений Участника
Наименование Участника Статус Федеральный Региональный
Почтовый адрес Юр. адрес Потребность в услугах ЭП Перечислить цели подключения к ЦОД
Контактные данные Рабочий телефон Мобильный телефон Е-mail
Адм. лицо, ответственное за подключение ФИО Сетевой инженер ФИО Лицо, ответственное за ИБ ФИО Объект подключения Адрес Этаж Помещение
Наличие подключения Интернет IP/MPLS сеть
ОАО «Ростелеком» Отсутствует
Предпочтительный вариант подключения Предпочтительная типовая схема подключения согласно п. 6.1, 6.2 ТТ6.1 6.2
Параметры имеющегося оборудования Тип Интерфейс Параметры
Коммутатор Ethernet Граничный маршрутизатор ЛВС Наличие и тип имеющегося для подключения оборудования ViPNetHW1000 HW100A HW100B HW100C
х
Кол-во оборудования ViPNet используемого конкретно для подключения к ИЭП ОАО «Ростелеком» Потребность в закупке оборудования ViPNet через ОАО «Ростелеком»
Наличие и тип имеющегося для подключения оборудования АПКШ Континент IPC-100 IPC-25 IPC-10
Кол-во оборудования АПКШ Континент используемого конкретно для подключения к ИЭП ОАО «Ростелеком» Потребность в закупке оборудования АПКШ Континент через ОАО «Ростелеком» Наличие и тип имеющегося для подключения оборудования С-Терра GATE 3000 GATE 1000V GATE 100V GATE 100 GATE 100B
Кол-во оборудования С-Терра используемого конкретно для подключения к ИЭП ОАО «Ростелеком» Потребность в закупке оборудования С-Терра через ОАО «Ростелеком» Таблица 10 - Форма технических сведений участника (оборотная сторона)
№ IP адрес/маска Назначение
1
1.1
1.2
1.3 IP внеш./маска IP-адрес и маска сети внешнего интерфейса криптошлюза. Может быть как из частного, так и из публичного адресного пространства.
В случае отказоустойчивого кластера должны быть выделены 3 адреса одной подсети.
В случае подключения через IP/MPLS-сеть ОАО «Ростелеком» данные адреса не указываются.
2 IP gw внеш. Адрес шлюза по умолчанию в сети, в которую включается внешний интерфейс криптошлюза.
В случае подключения через IP/MPLS-сеть ОАО «Ростелеком» данные адреса не указываются.
3 IP fw (NAT) Публичный Интернет адрес NAT-трансляции, через который осуществляется доступ к внешнему интерфейсу криптошлюза.
Указывается в случае использования частного адреса на внешнем интерфейсе криптошлюза при подключении через сеть Интернет.
4
4.1
4.2
4.3 IP внут./маска Адрес и маска сети внутреннего интерфейса криптошлюза.
В случае отказоустойчивого кластера должны быть выделены 3 адреса одной подсети.
IP внеш. и IP внут. обязательно должны принадлежать разным подсетям.
5 IP gw внут. Адрес шлюза для доступа к внутренним ресурсам ведомства.
Указывается в случае нахождения ресурсов ведомства и внутреннего интерфейса криптошлюза в разных сетях.
6 IP сер. Адрес(а) сервера(ов) Организации, которые будут взаимодействовать через ЗСПД.
7 IP армАдрес устройства NAT, через который осуществляется взаимодействие АРМов и серверов ЦОД.

Параметры адресации, указанные на оборотной стороне Формы технических сведений Участника, зависят от выбранной схемы подключения и должны соответствовать приведённым на рисунке REF Рисунок_1 \h 1 и рисунке REF Рисунок_2 \h 2.
Параметры адресации при использовании кластерного или одиночного решения отличаются между собой, что отражено на соответствующих схемах:

Рисунок SEQ Рисунок \* ARABIC 1 - Адресация при использовании одиночного решения

Рисунок SEQ Рисунок \* ARABIC 2 - Адресация при использовании кластерного решения
Лист регистрации изменений
Изм. Номера листов (страниц) Всего
листов
(страниц)
в докум. №
докум. Входящий
№ сопрово-
дительногодокумента
и дата Подпись Дата
изменён-ныхзаменен-ныхновых изъятых

Приложенные файлы

  • docx 10991799
    Размер файла: 241 kB Загрузок: 0

Добавить комментарий