Обозначения и сокращения 3
1)Общие положения 4
2)Типизация схем подключения 5
3)Использование продукции «Инфотекс»: 5
4)Использование продукции «Код безопасности»: 5
5)Использование продукции «С-Терра СиЭсПи»: 5
6)Гибридная схема – симбиоз предыдущих вариантов. 5
7)Рекомендуемые требования, обеспечиваемые при подключении Организаций к ЗСПД 6
7.1Рекомендации по номенклатуре используемых решений в Организации 6
7.2Рекомендации по номенклатуре решений, обеспечивающих необходимую пропускную способность каналов связи 7
7.3Рекомендации по обеспечению резервного электроснабжения 8
8)Обязательные требования, обеспечиваемые при подключении Организаций к ЗСПД 9
8.1Общие требования 9
8.2Требования к помещениям и организации защиты пи размещении технических средств 9
1)Размещение, охрана и специальное оборудование помещений, в которых установлены ТС и ведется работа с носителями персональной ключевой информации, должны исключать возможность бесконтрольного проникновения в них посторонних лиц, прослушивания ведущихся там переговоров и просмотра помещений посторонними лицами, а также гарантировать сохранность находящихся в этих помещениях конфиденциальных документов. 9
9)Порядок охраны и организации режима помещений, в которых установлены ТС, регламентируется разделом IV инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи. Передача организована с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденная приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. № 152. 10
10)На случай пожара, аварии или стихийного бедствия должны быть разработаны специальные инструкции, утвержденные руководством учреждения, в которых предусматривается порядок вызова администрации, должностных лиц, вскрытие помещений, очередность и порядок эвакуации конфиденциальных документов и дальнейшего их хранения. 10
11)Технические средства могут подключаться к общегородской сети электроснабжения с учетом требований инструкций по эксплуатации вычислительных средств и правил техники безопасности. 10
12)Оборудование помещений средствами вентиляции и кондиционирования воздуха должно соответствовать санитарно-гигиеническими нормам СНиП, устанавливаемым законодательством Российской Федерации. 10
13)При подключении СКЗИ к каналам передачи данных, выходящих за пределы контролируемой зоны, необходимо выполнение действующих в Российской Федерации требований по защите информации от утечки по техническим каналам, в том числе по каналу связи (например, СТР-К). При монтаже каналов связи, гальванические цепи которых непосредственно от ПЭВМ (с установленным на нем СКЗИ) выходят за пределы контролируемой территории, должны использоваться оптоволоконные развязки. 10
14)При использовании СКЗИ только для выполнения функций генерации/проверки ЭЦП, а также, если подключение к каналам передачи данных, выходящих за пределы контролируемой зоны, осуществляется через активное канальное оборудование (находящееся в пределах контролируемой зоны), то использование оптоволоконной развязки не требуется. 10
14.1Требования к размещению ЦУС 10
1)Помещения, в которых устанавливаются компоненты ЦУС, относятся к защищаемым помещениям, обеспечивающим конфиденциальность проводимых работ и исключающим возможность бесконтрольного нахождения в нем посторонних лиц. 11
15)Входные двери помещений должны быть оборудованы внутренними замками, гарантирующими надежное закрытие дверей при выходе из помещения и в нерабочее время. Окна (при необходимости) и двери должны быть оборудованы охранной сигнализацией, связанной с центральным пультом наблюдения за сигнализацией поста охраны. 11
16)Служебные помещения Удостоверяющего центра, используемые для архивного хранения документов на бумажных, магнитных и оптических носителях, оборудуются средствами вентиляции и кондиционирования воздуха, обеспечивающими соблюдение установленных параметров температурно-влажностного режима, вентиляции и очистки воздуха. 11
17)В помещение допускаются только сотрудники, имеющие непосредственное отношение к организации эксплуатации ЦУС. 11
18)Уборка помещения, обслуживание оборудования систем жизнеобеспечения осуществляется назначенным персоналом при выключенных мониторах в присутствии администратора. 11
19)Должны быть приняты меры по надежному сохранению в тайне паролей доступа, ключевых дистрибутивов и другой ключевой информации, размещенной на съемных носителях. Для хранения съемных носителей помещение должно быть оборудовано сейфом. 11
20)По окончании рабочего дня, помещения закрываются, опечатываются и сдаются под охрану. Порядок сдачи помещений определяется эксплуатирующей организацией. 11
20.1Требования к размещению программной реализации криптошлюза 11
1)ПО следует устанавливать в выделенных помещениях серверных узлов. 12
21)Доступ в помещение серверных узлов должен быть ограничен. 12
22)Дополнительных специальных требований к помещениям, где установлено ПО, не предъявляется. 12
22.1Требования к размещению ViPNet Клиент 12
22.2Требования к размещению сетевого оборудования и сетевой связности 12
1)Обеспечить физическое размещение оборудования на площадке 1 (одного) места размером 19 дюймов Rack 1U (для установки в стойку глубиной от 480 мм и более) 432х45х425 (ШхВхГ) каждое. 12
23)Обеспечить подключение оборудования максимальной потребляемой мощностью 270 Вт к сети гарантированного электропитания питания 220 В с помощью кабеля типа С13 – СЕЕ7/7 (евровилка). 12
24) Обеспечить возможность подключения к сетевому оборудованию Организации интерфейсов криптомаршрутизатора с использованием интерфейсов Ethernet Base T 100/1000. 12
25)Обеспечить связность на втором уровне модели OSI/ISO внутренних интерфейсов криптошлюзов при кластерном подключении, т. е., разместить два физических интерфейса в одном широковещательном сегменте. 12
26)При подключении через сеть Интернет обеспечить доступность внешнего интерфейса криптошлюза (внешний «белый» IP адрес) из сети Интернет одним из следующих способов: 12
27)Обеспечение отсутствия логических препятствий для прохождения трафика по протоколу UDP, TCP и портам между внешним интерфейсом криптошлюза (ip внеш.) и адресами криптошлюзов ИС, список портов указан ниже: 13
28)Обеспечить маршрутизацию в локальной сети Организации таким образом, чтобы трафик с адресов серверов Организации, отправляемый через ЗСПД, направлялся на внутренний интерфейс криптомаршрутизатора; 13
29)При подключении АРМ`ов, обеспечить трансляцию адресов АРМ`ов в один адрес, принадлежащий сети внутреннего интерфейса криптошлюза. 13
30)Допускается не использовать трансляцию адресов при подключении единственного АРМа. 13
31)Форма технических сведений участника 14