Реализовать требования по криптографической защите информации (например, персональных данных) по классу КС3 ранее возможно было исключительно на устройствах с ОС Microsoft Windows. Однако с выходом КриптоПро CSP 5.0 R2 для решения данной задачи появилась возможность использовать отечественные сертифицированные дистрибутивы (ОС), в частности Astra Linux.
Важно отметить, что СКЗИ КриптоПро CSP 5.0 R2 поддерживает новейшие российские криптографические алгоритмы шифрования и современные версии протоколов TLS и CMS, предоставляя пользователям широчайшие возможности работы с ключевым носителями, в том числе новейшими смарт-картами Рутокен ЭЦП 3.0 NFC, работающими по стандарту NFC и на платформах х86. Кроме того, СКЗИ имеет удобный графический интерфейс взаимодействия с пользователями (cptools), позволяющий удобно работать на современных устройствах, в том числе с сенсорными экранами. IQRA: режим выработки имитовставки, сохраняющий свойство обновляемости при смене ключевого материала
В качестве аппаратной платформы для обеспечения защиты по классу КС3 могут выступать решения, в которых реализована среда функционирования криптосредства, выполняющая необходимые для данного класса защиты требования, например, планшетный компьютер ПКЗ 2020, представленный в 2020 году российским разработчиком ОКБ САПР.
В ПКЗ 2020 установлен сертифицированный ФСБ России аппаратный модуль доверенной загрузки класса защиты 1Б: "Аккорд АМДЗ" на базе контроллера Аккорд-GXM.2, поддерживающий работу в ОС Astra Linux и присутствующий в формуляре на СКЗИ КриптоПро CSP 5.0 R2.
При этом, для обеспечения криптографической защиты передаваемой информации при организации защищенного удаленного доступа к публичным и корпоративным ресурсам ПКЗ 2020 может использоваться совместно с VPN-шлюзом КриптоПро NGate, поддерживающим различные способы аутентификации, в том числе многофакторной, с возможностью создания комбинированных вариантов аутентификации под решение конкретных задач. К примеру, возможна конфигурация, при которой пользователю потребуется сперва предоставить имеющийся на каком-либо ключевом носителе сертификат и соответствующий ему закрытый ключ, затем данные учетной записи из LDAP (логин и пароль пользователя) и в завершении одноразовый пароль (OTP), полученный по почте или через SMS.
Также хочется отметить, что описанное комплексное решение построено на основе отечественных программных и аппаратных продуктов и помимо прочего позволяет выполнить требования законодательства по импортозамещению.
Авторы:
Луцик П.И.
Никитков А.А.