VIPNET И «КОНТИНЕНТ» В ОДНОМ СЕРВИСЕ: ЧТО МЕНЯЕТ ИНТЕГРАЦИЯ RED SECURITY
Главное
Red Security — MSSP-подразделение МТС — добавила продукты «ИнфоТеКС» в линейку управляемых сервисов шифрования каналов связи. Заказчик подключается к защищённой инфраструктуре по модели подписки: оборудование, лицензии, криптоадминистрирование и мониторинг остаются на стороне провайдера. Сертифицированные СКЗИ — ViPNet Coordinator и «Континент» — при этом сохраняют актуальные сертификаты ФСБ и соответствие классам КС2/КС3.
Что произошло
До расширения Red Security строила сервис шифрования преимущественно на собственной инфраструктуре и решениях партнёров первого уровня. Включение продуктов «ИнфоТеКС» — одного из крупнейших российских разработчиков сертифицированных СКЗИ — означает, что заказчик теперь может получить защиту на продуктах, которые уже прописаны в его модели угроз, внутренних регламентах или требованиях регулятора, не выстраивая собственную инфраструктуру ключевого управления.
Сервисная модель предполагает: Red Security разворачивает узлы шифрования, управляет ключами в рамках согласованной схемы, обеспечивает SLA по доступности канала и передаёт заказчику только логи и отчёты, необходимые для внутреннего аудита. Фактически организация арендует криптоинфраструктуру, сертифицированную по требованиям ФСБ, вместо того чтобы строить её с нуля.
Почему это важно
Для трёх категорий заказчиков изменение носит практический характер.
Субъекты КИИ. Федеральный закон № 187-ФЗ и приказы ФСТЭК № 239 требуют защиты каналов передачи данных между значимыми объектами. При этом регулятор не запрещает использование сертифицированных СКЗИ по сервисной модели — главное, чтобы документально подтверждалась ответственность за управление ключевой информацией. Red Security берёт эту ответственность на себя в рамках договора, что снимает часть организационной нагрузки с заказчика.
Госорганы и получатели бюджетного финансирования. Закупка по 44-ФЗ требует обоснования НМЦК и, как правило, растягивается на 3–6 месяцев. Сервисная модель оформляется как услуга связи или ИТ-аутсорсинг, что упрощает процедуру и позволяет зафиксировать предсказуемые ежегодные расходы вместо капитальных затрат на оборудование и лицензии.
Коммерческие организации с распределённой структурой. Компании с филиальной сетью от 10 точек присутствия традиционно сталкиваются с проблемой масштабирования криптоинфраструктуры: каждый новый офис требует отдельного узла, ключей, обученного администратора. Сервис снимает этот барьер — подключение новой точки становится операционной задачей, а не проектом.
Что не закрывает сервисная модель
Сервисная модель подходит не для всех сценариев — это важно понимать до принятия решения.
- Гостайна и ДСП с особыми требованиями. Если организация работает со сведениями, составляющими государственную тайну, управление ключевой информацией, как правило, должно оставаться внутри контролируемой зоны заказчика. Сервисная схема в этом случае требует отдельного согласования с регулятором.
- Изолированные сети без выхода в МТС-инфраструктуру. MSSP-сервис предполагает канал управления через инфраструктуру провайдера. Для объектов с физической изоляцией (air gap) классическая сервисная модель неприменима.
- Требование полного контроля над ключами. Часть организаций — особенно банки с жёсткими внутренними политиками — настаивает на том, чтобы ключевая информация никогда не покидала периметр. В этом случае on-premise остаётся единственным вариантом.
Что делать заказчику
- Проверить, какие СКЗИ уже зафиксированы в модели угроз и политике ИБ вашей организации. Если ViPNet или «Континент» там присутствуют — сервис Red Security позволяет сохранить привычный стек без собственной инфраструктуры.
- Уточнить у провайдера схему управления ключами: кто генерирует, кто хранит, кто отзывает. Этот вопрос регулятор задаст первым при проверке.
- Оценить TCO на 3 года: суммировать стоимость оборудования, лицензий, зарплаты двух криптоадминистраторов и сравнить с подпиской. Для организаций до 50 точек подключения сервисная модель, как правило, дешевле.
- Запросить копии действующих сертификатов ФСБ на используемые СКЗИ и убедиться, что срок действия покрывает горизонт планируемого контракта.
- Если организация — субъект КИИ, согласовать с юристами формулировки договора в части ответственности за инциденты, связанные с криптоключами: это зона повышенного регуляторного внимания.
Связанные продукты
Если задача — не арендовать, а построить собственную криптоинфраструктуру, отправной точкой служит доверенная загрузка рабочих мест. Два решения класса 1Б по ФСТЭК закрывают этот уровень:
- ПАК «Соболь» 3.0 — аппаратный модуль доверенной загрузки для стандартных рабочих станций и серверов. Применяется там, где нужно гарантировать целостность среды до запуска СКЗИ.
- КРИПТОН-ЗАМОК/Е (М-526Е1) — модификация для шины PCI Express с поддержкой удалённого управления. Актуален для распределённых инфраструктур, где администрирование на местах затруднено.
Оба продукта используются совместно с сертифицированными СКЗИ — в том числе с линейкой «ИнфоТеКС» — и формируют доверенную аппаратную основу для криптоинфраструктуры при on-premise-развёртывании.
Источник
Полный текст · CNews