Подпишитесь на нашу ежедневную рассылку с новыми материалами

В Беларуси


Александр Сапрыкин | Фото предоставлено А. СапрыкинымКомпания "С-Терра Бел" 10 сентября 2009 получила экспертное заключение Оперативно-аналитического центра на свои продукты сетевой безопасности: в Беларуси появились собственные VPN-продукты с модулями криптографии отечественной разработки.

О том, что это значит для белорусских пользователей, о рынке средств безопасности в Беларуси и том, как правильно подойти к вопросу криптозащиты информации, мы беседовали с главой компании "С-Терра Бел", Александром Сапрыкиным.

– Александр, что вообще признание ваших продуктов ОАЦ несет для белорусского рынка?

– Это первые продукты подобного уровня с полномасштабной реализацией архитектуры IPsec/IKE на нашем рынке. Для их создания использован, без преувеличения, лучший российский некриптографический VPN-инструментарий мирового уровня. По качеству и возможностям они соответствуют аналогичной продукции от мирового бренда – лидера сетевой индустрии Cisco Systems. Но криптография – наша, белорусская!

VPN-продукты "С-Терры Бел" – "Шлюз безопасности Bel VPN Gate" и "Клиент безопасности Bel VPN Client" предназначены для защиты территориально распределенных ведомственных (корпоративных) вычислительных сетей. Наряду с пятью белорусскими криптостандартами в продуктах реализовано восемь международных технических стандартов – именно они и делают ее технологичной и универсальной в применении.

– В чем их отличия от других подобных решений?

– Среди особенностей продуктов – Cisco-ориентированная технология, т.е. с мировым производителем у них общий интерфейс управления политиками безопасности СЗИ и СКЗИ, обеспечиваются аудит и мониторинг (поддерживаются Cisco Works, CSM), командная строка – CLI. Хотя продукты могут использоваться и в сетях любых других производителей, но именно специалисты, знающие оборудование Cisco, без труда их осваивают и, в принципе, не требуют даже дополнительного обучения.

Еще одна наша особенность – как правило, отсутствие прямых продаж. Компания придерживается принципа, что для производителя качественной унифицированной продукции эта модель более приемлема, поэтому работает через своих партнеров – системных интеграторов. Как следствие, повышенные требования к устойчивости продуктов, полноте и ясности документации. Обеспечивается техническая и методическая поддержка партнерских сетей, высокое качество внедрения и сопровождения для конечного пользователя. Согласитесь, что непрямые продажи требуют высокой культуры производства и логистики.

Подробнее можно ознакомиться на сайте компании – http://s-terra.by/

– Расскажите о своей компании. Как она связана с российской "С-Террой"?


– "С-Терра Бел" на белорусском рынке ИТ появилась сравнительно недавно – полтора года назад. Ее учредитель – российская компания ЗАО "С-Терра СиЭсПи" (Зеленоград), известный производитель средств сетевой безопасности, первый технологический партнер Cisco Systems в РФ. Продукция этой компании в силу универсальности и высокого качества находит применение в России практически повсюду. Один из масштабных проектов с участием "С-Терра СиЭсПи" – это "Почта России".

В Беларуси у нас и нашего партнера – криптопровайдера ЗАО "Авест" эти полтора года пошли на встраивание белорусских криптографических стандартов в полученный от "С-Терра СиЭсПи" инструментарий. К слову, удалось реализовать в общей сложности пять стандартов (то есть все имеющиеся!) – это ГОСТ 28147-89, СТБ 1176.1-99, СТБ 1176.2-99, СТБ П 34.101.31-2007, РД РБ 07040.1202-2003. И, конечно, много времени – фактически год ушел на подготовку и прохождение экспертизы, которая проводилась некоторое время параллельно с доводкой продуктов – в соответствии с замечаниями и пожеланиями экспертов.

Продукты прошли испытания и на практике. Более двух месяцев Белорусская железная дорога тестировала опытный Bel VPN стенд на участке "Минск-Гомель". Судя по акту о результатах тестирования, продукция заслужила положительную оценку. В настоящее время продукты Bel VPN также проходят практические испытания в другой, не менее серьезной белорусской организации.

– А как вы, дипломат, стали директором софтверной компании?

– Последние четыре года я работал советником в посольстве Беларуси в России. Участвовал в работе различных международных конференций по профилю информационной безопасности. Членом Оргкомитета одной их них, наиболее для меня интересной – "Инфофорума-Евразия" остаюсь и по сей день. Словом, был, как говорят, в теме.

Принимал участие в консультациях по этой проблематике, например, в переговорах с Nortel по возможному встраиванию белорусской криптографии в их маршрутизаторы. Однако этот проект в Беларуси реализовать не удалось – Nortel, в частности, не захотел представить исходные коды. Да и в целом, аналогичный проект Contivity этой же компании в РФ также оказался неудачным.

Поэтому, когда познакомился с зеленоградской "С-Террой", решениями этой компании с Cisco (а она является ее первым технологическим партнером в РФ), то сомнений не возникло – это то, что нам надо! Например, по качеству сетевого обслуживания (QoS), мэппированию и др. сетевым сервисам продукции С-Терры в России нет равных. А когда, как говорят, предложение последовало, то отказаться было невозможно – и с дипслужбой пришлось расстаться.

Сами корни такого интереса к проблеме ИБ у меня находятся еще глубже – в "первой" части своей жизни был военнослужащим, и доводилось в качестве председателя рабочих групп категорировать режимные объекты ЭВТ на территории бывшего Союза, проводить комплекс защитных мероприятий.
Также в период работы в миссии ОБСЕ в Косово, где был старшим группы наших наблюдателей, убедился в том, насколько серьезное внимание европейцы уделяют средствам защиты и вопросам информационной безопасности в целом.

– Что вы вкладываете в понятие VPN в своих VPN-продуктах?

– В отношении определения VPN существуют разночтения. До сих пор бытует мнение, что "VPN – это способ шифрования данных при их распространении по открытым (недоверенным) каналам связи". Но это не так!

Согласно классическому определению: VPN – это "способ использования открытых или частных сетей таким образом, чтобы пользователи VPN были отделены от других пользователей и могли взаимодействовать между собой, как если бы они находились в единой закрытой (выделенной) сети", RFC 4026 (L. Andersson, T. Madsen, Acreo AB).

Именно поэтому современный шлюз безопасности должен быть по-настоящему гибким, унифицированным сетевым устройством и обеспечивать при взаимодействии с доверенным сетевым оборудованием маршрутизацию, фрагментацию/дефрагментацию трафика, сигнализацию, статистику, мониторинг, событийное протоколирование, адаптацию к NAT, диагностику отказов каналов связи и сетевого оборудования, качество сетевого обслуживания (QoS)… И если ваш "VPN" на это не способен, то вас "обманули", и это вовсе не VPN.

И можно лишь посоветовать быть разборчивее и не уродовать сеть "тупым" шифратором – она того не заслуживает!

– А почему бы не продолжать просто пользоваться традиционными средствами защиты и шифрования?

– Причины участия в подобном проекте назревали на протяжении нескольких лет – еще с тех времен, когда мне довелось работать начальником управления информационных технологий МИД Беларуси.

Конечно, каналы компьютерной связи необходимо было защищать. С участием предшественника ОАЦ – ГЦБИ, который хорошо нам помогал, для МИД разрабатывались и внедрялись в практику различные персональные СКЗИ. С их помощью защищались онлайновые ведомственные программные подсистемы с распределенными базами данных, также использовались они и для непосредственного шифрования файлов.

Но подсистемы росли и множились быстрее, чем средства защиты – при моем уходе с дипслужбы в прошлом году их уже насчитывалось более десятка. А ведь хочется не только защитить одну-две программные подсистемы, но и иметь удаленный криптографически стойкий канал доступа к внутренним ресурсам локальной сети, защитить голосовой трафик, да и провести защищенную видеоконференцию уже вполне можно себе позволить – согласитесь, что эта, еще недавняя "роскошь", все более входит в повседневную практику в развитых странах. Так вот, перечисленные "желания" это уже не уровень персональных СКЗИ – они эти проблемы не решают, а уровень VPN-продуктов.

– Существуют ли решения для персональных средств компьютерной защиты информации?

– Что касается рынка персональных СКЗИ, то в Беларуси он представлен в целом неплохо – одних только компаний со своими собственными криптобиблиотеками (а именно они с небольшой надстройкой-интерфейсом и являются основой персональных СКЗИ) насчитывается шесть.

– Есть ли аналоги ваших систем, одобренные в ОАЦ?

– Сетевые средства защиты предлагают лишь две компании – "С-Терра" и "БелХард", однако, предлагаемые ими СКЗИ заметно различаются.

Кстати, а Вы не задумывались, почему у нас усиленно и повсеместно предлагают для предприятий защищенный электронный документооборот, но почему-то не предлагают, например, защитить "Галактику" или "1С Бухгалтерию", или другие не менее важные распределенные программные подсистемы? Ответ прост – кто-то "вшил" эти самые персональные СКЗИ в Э/Д, и предлагает это решение.

Если вы купите VPN, то больше "вшивать" вам ничего никуда не понадобится. VPN – это универсальная технология именно для защищенного электронного государства, поскольку электронные государства, как ни странным это покажется на первый взгляд, нуждаются в защите не меньше, чем настоящие.

– А будут ли ваши продукты востребованы на белорусском рынке? Сильно ли на спрос повлиял/повлияет кризис?

– Кризис, безусловно, повлиял, заметно усложнив условия на старте, но все же общая ситуация остается благоприятной. Дело в том, что расчет делался на принятии в республике Закона "Об информации, информатизации и защите информации" (№ 455-З), а он, как известно, вступил в силу 26 мая 2009 года. В этот же день вышло Постановление Совмина № 675, утвердившее три положения, среди которых, можно выделить "Положение о порядке защиты информации в государственных информационных системах, а также информационных системах, содержащих информацию, распространение и (или) предоставление которой ограничено".

Согласно новому законодательству не допускается эксплуатация государственных информационных систем без реализации мер по защите информации, а информационные системы организаций любой формы собственности, содержащие персональные данные (а это банки, операторы GSM-связи, интернет-провайдеры. медучреждения и т.п.), должны использовать средства защиты информации, сертифицированные или прошедшие госэкспертизу в Национальной системе соответствия Республики Беларусь (ст.28 закона).

Таким образом, с конца мая не прошедшие национальную систему соответствия СЗИ не имеют легитимного статуса в Беларуси и не могут быть признаны в качестве средств защиты. Дату, после которой контролирующие органы смогут применять санкции за несоблюдение закона, в Беларуси еще не озвучили (в отличие от самих санкций – весьма существенных!), но, например, в России, где действует аналогичный закон "О персональных данных", таковым назван январь 2010 года.

Актуальной тему национальных VPN-продуктов делает и то обстоятельство, что законы РФ, а также международное законодательство, в частности, Евросоюза (Конвенция о защите данных физических лиц при их обработке в АИС) прямо требуют от иностранных государств обеспечить адекватную защиту персональных данных при трансграничной передаче информации (а это общие авиа- и ж/д-сообщения, миграционные потоки и т.п.).

К сожалению, в Беларуси эта тема еще не знакома широкой общественности.

Могу привести примеры. Например, именно 26 мая – в день вступления упомянутого закона № 455-З в силу – на страницах IT.TUT.BY один из наших уважаемых GSM-операторов объявил о введении услуги VPN на базе IPsec (конечно, западных), и при этом гарантировал своим клиентам защищенность, конфиденциальность и т.п., как бы не заметив, что государство в этом с ним уже несогласно.

– Александр, как правильно компании защитить данные? Какие технические и административные меры для этого надо предпринять?

– Все это во многом зависит от квалификации специалистов. А для тех, кто подпадает под действие закона просто необходимо учитывать действующие стандарты и нормы, применять те средства защиты, которые прошли сертификацию или государственную экспертизу. Кстати, проводить работы по защите информации на "чужой территории" могут только организации, имеющие лицензии Оперативно-аналитического центра при Президенте Республики Беларусь – главного регулирующего органа в данной сфере.

– Организация с распределенной сетью офисов. Как ей оптимальным образом наладить защищенные каналы внутренних коммуникаций?

– Конечно, использовать VPN: Шлюзы для защиты межсетевого трафика между офисами; Клиенты – для удаленных (мобильных) пользователей или защищенных терминалов.

– Насколько хорошо защищены приватные данные у госструктур и других организаций, которые их накапливают и собирают (тех же мобильных операторов), по вашим оценкам?

– Оценивать можно на основе стандартов, методик, норм. В сфере нормотворчества мы еще в самом начале пути, к примеру, нет пока даже самой методики аттестации объектов информатизации. До вступления в силу закона об информации, защите информации и информатизации, как и чем защищать данные, определяли сами организации, Естественно, разношерстность применяемых средств и методов при этом неизбежна, как и то, что в большинстве своем они явно не проходили экспертиз и сертификаций. Также не секрет, что зачастую безопасностью вовсе пренебрегали или относились к этому по остаточному принципу, экономя именно на этом. Вероятно, и в этом одна из причин того, что самые различные базы данных можно купить на компакт-дисках в Ждановичах или скачать с интернета. Однако, если отвечать на Ваш вопрос однозначно – нет, ни один из нащих GSM-операторов в области защиты информации пока не соответствует новому белорусскому законодательству в этой сфере. И, вероятно, еще не скоро будет соответствовать – пока не установят сроки перехода на национальные стандарты.

– Как вы планируете развиваться в дальнейшем?

– Планируем расширять функционал продуктов Bel VPN: применять аппаратные носители ключа – токены (для аутентификации, хранения политик безопасности VPN-клиента и шлюза, "кабинетных" решений и др.). Обеспечить переход на новые версии ОС семейства Unix – Solaris 10 и RHEL 5.

Собираемся принять участие в процессе освоения в республике методик сертификации продуктов сетевой информационной безопасности по общим критериям; организации специальных курсов Cisco/Bel VPN; практического обучения студентов на основе нашей продуктной линии и многое другое.

Надо сказать, что по этим вопросам мы весьма плодотворно взаимодействуем с Оперативно-аналитическим центром при Президенте Республики Беларусь, Белорусским государственным университетом (в первую очередь, его учреждением – НИИ ППМИ).

Планируем с нашим партнером – ЗАО "Авест" расширение продуктной линейки Bel VPN за счет Gate 1000-й серии – для малых офисов; специализированной 100-й серии – для банкоматов; сетевого блока от Cisco – аналога модуля NME-RVPN, ввоз которого в Беларусь не разрешен.

– Почему?

Вывоз средств криптографии регулируется законодательством многих стран. Этот криптомодуль отнесен к данной категории и для его ввоза в республику необходимо получить разрешение Госдепартамента США. Мы в какой-то степени недоучли этот фактор и написали для него с Авестом программное обеспечение с белорусскими криптостандартами, но, к сожалению, Cisco Systems не сочло возможным обратиться в Госдепартамент за подобным разрешением. Мотивация – экономическая нецелесообразность – белорусский рынок невелик. Хотя, помимо России, такое разрешение было получено для Украины и Казахстана.
Аналог же этого блока не отнесен к СКЗИ, спецразрешения не требует и мы надеемся, что к весне сможем решить проблему с его адаптацией и встраиванием белорусских криптоалгоритмов. Блок привлекателен тем, что используется в составе маршрутизаторов Cisco старших серий.

– Как бы вы порекомендовали организовать защиту личных данных обычным пользователям?

– Пользуюсь в этих целях нашей программкой с названием, говорящим за себя – "Электронный сейф" (AveSafe) производства ЗАО "Авест". Если обменяться с партнером ключами, то с ее помощью можно вести и переписку. Кстати, персональные СКЗИ и VPN прекрасно дополняют друг друга – каждые из них хороши на своем уровне.

– Ваше пожелание нашим читателям?

– Больше приятных минут в общении с IT.TUT.BY!

Мы все разные, но это наш – ИТ-мир, и он нас объединяет. Мне нравится эта рубрика – "интервью по понедельникам", где можно встретить знакомых – Константина Леонова, Игоря Черненко, других, узнать от них что-то новое, интересное.

Досье

Сапрыкин Александр Михайлович, директор ИП "С-Терра Бел".

Имею 4 образования, базовое – радиотехническое, "инженер-системотехник".
Бывший военнослужащий, полковник запаса. В течение последних 12 лет работал на дипломатических должностях в системе МИД и загранучреждений, последнее место работы – советник Посольства Беларуси в России.

Женат, имею сына – выпускника МГИМО (У).




Нужные услуги в нужный момент
{banner_819}{banner_825}
-50%
-50%
-10%
-15%
-20%
-10%
-50%
-30%
-35%
-50%