ГОСТ VPN: три примера, когда сервис лучше собственного проекта

ГОСТ VPN: три примера, когда сервис лучше собственного проекта

На фоне цифровизации экономики вопросу шифрования корпоративных каналов связи уделяется всё больше внимания. В некоторых отраслях, например госсекторе, энергетике или финансах, законодательство требует использовать только российские криптоалгоритмы. Ниже мы разберём на конкретных примерах, когда заказчик может организовать шифрование по ГОСТ самостоятельно, а когда ему выгоднее обратиться к услугам сервис-провайдера.

 

 

 

 

 

  1. Введение
  2. Траты заказчика
    1. 2.1. Затраты на старте
    2. 2.2. Периодические затраты
    3. 2.3. Сотрудники
    4. 2.4. Получение лицензий
    5. 2.5. Доступность
    6. 2.6. Размещение
  3. Описание проектов и сводный расчёт
    1. 3.1. Объединение офисов в целую сеть
    2. 3.2. Подключение дочерних компаний и контрагентов
    3. 3.3. Организация доступа к ресурсам ЦОД
  4. Выводы 

Введение

Соблюдение требований информационной безопасности при передаче данных контролируется федеральным законодательством, на котором основываются приказы отдельных регуляторов и требования для каждой конкретной отрасли. Ключевое из них — использование сертифицированных ФСБ России средств криптографической защиты информации (СКЗИ) при шифровании каналов связи. Применение российской криптографии в госсекторе отдельно прописано в указе президента России № 334.

 

Рисунок 1. Законодательство в части требований ИБ при передаче данных

Законодательство в части требований ИБ при передаче данных

 

Основные отрасли, которые подпадают под это регулирование:

  • государственный сектор;
  • кредитно-финансовые организации и страховые компании;
  • электроэнергетика;
  • здравоохранение;
  • транспорт.

Потребность в создании защищённых каналов связи во всех этих сферах, как правило, возникает при:

  1. объединении территориально распределённых объектов в целое информационное пространство;
  2. подключении дочерних компаний и контрагентов;
  3. переносе инфраструктуры во внешний ЦОД.

Для построения зашифрованного канала связи заказчик может выбрать два варианта: решение on-premise или сервис. Первое предполагает установку оборудования и управление им локально, то есть внутри организации (силами штатных специалистов или через вендора). Второе — аутсорсинг защиты каналов связи, когда услугу полностью предоставляет сервис-провайдер. Он, в свою очередь, покупает СКЗИ и ведёт их учёт, занимается документированием, настройкой, эксплуатацией, обновлением ключей шифрования, физической заменой оборудования и т. п.

Выбирая способ защиты сети по ГОСТ, заказчик может руководствоваться несколькими критериями. Разберём каждый из них.

Траты заказчика

Затраты на старте

Для небольших проектов (когда речь идёт всего о нескольких криптошлюзах) капитальные затраты невелики и могут быть заказчику по карману. Если количество устройств приближается к нескольким десяткам, уже стоит задуматься о сервисной модели; если к сотням — альтернатива в виде сервиса почти наверняка станет лучшим решением по соотношению цены и качества.

Периодические затраты

К ним относятся:

  • приобретение стандартной технической поддержки на оборудование (20 % от первичной закупки ежегодно);
  • покупка новой версии ПО раз в 3–4 года (25–30 % от первичной закупки) или сразу приобретение расширенной (более дорогой) технической поддержки, которая уже включает выдачу новых версий ПО (25–30 % от первоначальной закупки ежегодно);
  • оплата труда специалистов, которые будут заниматься администрированием и мониторингом оборудования, его заменой при выходе из строя, учётом СКЗИ и ключей (здесь стоимость сильно различается в зависимости от количества оборудования и региона, поэтому точно указать её невозможно).

Сотрудники

Хорошо, если сотрудники ИТ- или ИБ-службы организации уже знакомы со средствами криптозащиты основных производителей. Но если это не так, им потребуется обучение по каждому конкретному вендору, а при текучке кадров этот процесс станет постоянным. При этом собственные специалисты часто и так перегружены работой и физически не успевают изучать новые продукты и системы. Для сотрудников сервис-провайдера регулярное обучение работе с решениями вендоров-партнёров — одна из ключевых задач, а не дополнение к основной деятельности.

Получение лицензий

В проекте «для собственных нужд» лицензия не требуется, но при необходимости подключать другие юрлица (пусть даже дочерние компании) она понадобится. Стоит ли её получать — зависит от объёма деятельности, связанной с криптографией. Если это — не ключевая составляющая бизнеса организации, то приобретение лицензии очевидно будет лишним.

В то же время сервис-провайдер, предоставляющий услугу ГОСТ VPN, априори её получает. Обычно это — и лицензия ФСБ России с множеством пунктов, и лицензии ФСТЭК России по мониторингу и технической защите конфиденциальной информации (ТЗКИ).

Доступность

Многие виды деятельности полностью зависят от качества канала связи, так как сотрудники удалённых офисов работают в системах, расположенных в ЦОД или центральном офисе. При этом собственные специалисты заказчика обычно работают по чёткому графику, в то время как неисправности могут возникнуть в любой момент. Захочет ли штатный специалист подключаться к решению проблемы из дома или ехать ночью в офис? Наверное, не захочет, но ему придётся. Сервис-провайдер организует свою работу посменно, и дежурная бригада всегда готова устранить неполадки.

Размещение

Этот вопрос актуален при организации работы через ЦОД сервис-провайдера. Поставить собственное СКЗИ в ЦОД обычно можно при аренде юнитов или отдельных стоек, в облаке это сделать невозможно. В этом случае даже при небольшом количестве оборудования лучше сервисная модель.

Описание проектов и сводный расчёт

Основываясь на этих критериях, рассмотрим оптимальные подходы для каждого из трёх кейсов: объединение офисов в целую сеть, подключение дочерних компаний и контрагентов, организация доступа к ресурсам ЦОД.

Объединение офисов в целую сеть

На этапе инсталляции требуются значительные капитальные затраты на закупку оборудования. В дальнейшем необходима техническая поддержка его работоспособности и периодическое обновление версий ПО от вендора. К операционным затратам также относятся зарплата и обучение штатных специалистов.

Рассмотрим пример: пропускная способность канала связи в центральном офисе компании составляет 100 Мбит/c, в 19 филиалах — по 20–30 Мбит/c. Есть штатные ИТ- и ИБ-подразделения. Необходимо организовать защищённую сеть передачи данных с резервированием в центре.

При проектной модели (on-premise) на старте необходима закупка оборудования примерно на 3,5 млн рублей (эта сумма включает систему управления, криптошлюзы, запасное оборудование). Проектирование и внедрение обойдутся примерно в 750 тыс. рублей с учётом доставки оборудования и работ в регионах. Обслуживание будет осуществляться собственными силами, поэтому необходимо обучить двух сотрудников — ещё по 20 тыс. рублей за каждого.

Ежегодные затраты на вендорскую техподдержку составят 700 тыс. рублей. Затраты на сотрудников — около 250 тыс. рублей (на двух специалистов с зарплатой от 30 до 60 тыс. рублей каждый (после вычета налогов), коэффициент накладных расходов — 1,5, загруженность сотрудников задачей — 10–15 %).

Стоимость обновления ПО, которое потребуется через 3 года, составит примерно 1,5 млн рублей (работы выполняются сотрудниками компании). Обновление оборудования через 6 лет — ещё 3,5 млн рублей.

При выборе сервисной модели заказчик должен оплатить только ежегодную подписку — в данном случае она составляет 2 млн рублей в год. Таким образом, экономия в сравнении с моделью on-premise в первый год составит 56 %, во второй — 27 %, в третий — 17 %. С четвёртого по шестой год on-premise становится более выгодной моделью, но на шестом году из-за покупки нового оборудования взамен устаревшего затраты выравниваются с сервисом.

В итоге сервисная модель поможет распределить финансовые вложения при ограниченном бюджете. Вариант on-premise, в свою очередь, подойдёт для реализации небольших проектов, но только при наличии собственной ИБ-службы заказчика.

Подключение дочерних компаний и контрагентов

Здесь, как правило, возникают организационные проблемы. Во-первых, для передачи СКЗИ или ключей шифрования другой организации либо предоставления услуг по их настройке и эксплуатации требуется лицензия ФСБ России, которой у большинства компаний нет. Чтобы её получить, нужно, в частности, отправить своих сотрудников на обучение (переподготовка по направлению ИБ), которое стоит 120 тыс. рублей на сотрудника и занимает 512 часов. Зарплата работников, обладающих необходимыми компетенциями, составляет от 30 до 90 тыс. рублей в месяц в зависимости от региона.

Во-вторых, когда каждая организация администрирует оборудование «на своей стороне», отсутствует единая точка ответственности. Непонятно, кто будет устранять неисправности в каждом конкретном случае: специалисты центрального офиса или местные работники.

Сервисная модель освободит заказчика от выполнения лицензионных требований и обеспечит высокую доступность и качество услуги. On-premise подойдёт в том случае, если у каждой из подключаемых организаций налажен процесс приобретения СКЗИ и ключей шифрования, а также если для них не будет критически важным время восстановления после сбоя (несколько часов, а не минут).

Организация доступа к ресурсам ЦОД

Для этого в ЦОД должно быть оборудование, предназначенное для установления ГОСТовых туннелей. Иногда это может быть виртуальная машина, но её класс защиты минимален — КС1. Для более высоких классов — КС2 и КС3 — нужно «железо» рядом с облаком, то есть установка СКЗИ непосредственно в стойку рядом с сервером, на котором расположены защищаемые ресурсы.

Стоимость криптошлюза, устанавливаемого в стойку в ЦОД, составляет порядка 250 тыс. рублей. Ещё один шлюз должен быть установлен на площадке заказчика — минимальный вариант для офиса стоит около 80 тыс. рублей. Необходимо также приобрести ещё один резервный шлюз за 80 тыс. рублей, чтобы при поломке не ждать месяц ремонта в сервис-центре. Суммарно стоимость такого решения составляет 410 тыс. рублей на старте. Ежегодная техподдержка вендора обойдётся ещё в 100 тыс. рублей. Затраты на работы и аренду юнитов могут сильно различаться в зависимости от условий размещения в конкретном ЦОД.

Однако для большинства заказчиков это — слишком дорогой и сложный проект, поэтому они выбирают либо сервис, либо программное решение в виде виртуальной машины (шлюза). Стоимость виртуального шлюза составляет около 100 тыс. рублей (их должно быть два), ежегодная техподдержка составляет 40 тыс. рублей. Резервирование в этом случае осуществляется средствами виртуализации. При этом спустя 5–7 лет потребуется обновление ПО (то есть самого шлюза), а также серверов, на которых работает виртуальная инфраструктура заказчика.

У сервис-провайдеров оборудование обычно уже установлено на логической границе инфраструктуры и заказчику требуется только приобрести подписку на сервис: стоимость защищённого доступа к ЦОД составляет 25 тыс. рублей в месяц. При этом провайдер предоставляет СКЗИ более высокого класса защиты.

В периоде трёх лет совокупные затраты для сервисной и локальной (on-premise) моделей примерно одинаковы. Однако первый вариант обеспечивает высокий класс защиты (КС3) и удобный защищённый доступ к ресурсам в облаке. Решение on-premise подойдёт для организаций, которым достаточно минимального класса защиты в виртуальной среде.

 

Таблица 1. Краткие выводы по всем трём описанным кейсам

Кейс Сервисная модель  Модель on-premise
Объединение офисов в целую сеть Поможет распределить затраты при ограниченном бюджете.
Расходы:
• подписка на сервис — 2 млн рублей в год;
• суммарно в периоде 7 лет — 14 млн рублей.
Подходит для небольших проектов и при наличии уже обученного персонала.
Расходы:
• капитальные затраты в первый год - 4,5 млн рублей;
• суммарно за 7 лет — 14 млн рублей.
Подключение дочерних компаний и контрагентов

Не требует от заказчика выполнения лицензионных требований и гарантирует высокое качество услуг.
Расходы:
• минимальная цена для одной площадки составляет 10 тыс. рублей в месяц (цена варьируется в зависимости от производительности и требований к отказоустойчивости оборудования).

Подходит для организаций, где налажен процесс приобретения СКЗИ и ключей шифрования, а также не является критически значимым время восстановления после сбоя.
Расходы:
• обучение персонала — примерно 120 тыс. рублей;
• зарплата профильных сотрудников — 60–90 тыс. рублей в месяц;
• стоимость лицензии сильно варьируется.
Доступ к ресурсам ЦОД Обеспечит высокий класс защиты и доступ к ресурсам в облаке.
Расходы:
• подписка на услуги сервис-провайдера — 25 тыс. рублей в месяц (300 тыс. рублей в год).

Подходит организациям, которым достаточно минимального класса защиты в виртуальной среде.
Расходы:
• 200 тыс. рублей для организации ГОСТ VPN c минимальным классом защиты в первый год, техподдержка в размере 40 тыс. рублей ежегодно, а также расходы на построение виртуальной среды, которые ранее понесла компания, и траты на её поддержку.
• 410 тыс. рублей — в первый год для организации ГОСТ VPN c высоким классом защиты, а также ежегодная техподдержка вендора в размере 100 тыс. рублей. Суммарно за 7 лет — 1,4 млн руб.

 

Выводы

Таким образом, при выборе одного из двух вариантов построения зашифрованного канала связи (on-premise или сервис) заказчику стоит ориентироваться на объём средств, которые он готов вложить в проект, на наличие или отсутствие собственной подготовленной ИБ-службы и компетенций по приобретению лицензий ФСТЭК и ФСБ России, а также на уровень защиты информации, который ему необходим.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru