Распоряжение Мингосуправления МО от 03.12.2015 N 10-35/РВ "Об утверждении регламента подключения к защищенной виртуальной сети Правительства Московской области (Сеть ViPNet 2131)"
В целях выполнения требований нормативных правовых актов и методических документов по технической защите информации на основании Положения о Министерстве государственного управления, информационных технологий и связи Московской области, утвержденного постановлением Правительства Московской области от 13 июня 2012 г. N 820/19:
1. Утвердить прилагаемый регламент подключения к защищенной виртуальной сети Правительства Московской области (Сеть ViPNet 2131) (далее - Регламент).
2. Руководителям центральных исполнительных органов государственной власти Московской области, государственных органов Московской области, органов местного самоуправления муниципальных образований Московской области и государственных учреждений Московской области, не входящих в систему исполнительных органов государственной власти Московской области, при организации работ по подключению к защищенной виртуальной сети Правительства Московской области (Сеть ViPNet 2131) руководствоваться Регламентом.
3. Директору Государственного казенного учреждения Московской области "Московский областной центр информационно-телекоммуникационных технологий" осуществлять подключение телекоммуникационных сетей центральных исполнительных органов государственной власти Московской области, государственных органов Московской области, органов местного самоуправления муниципальных образований Московской области и государственных учреждений Московской области, не входящих в систему исполнительных органов государственной власти Московской области, в соответствии с Регламентом.
4. Контроль за исполнением настоящего распоряжения возложить на заместителя министра государственного управления, информационных технологий и связи А.А. Герасимова.
Министр государственного управления, информационных технологий и связи Московской области М.И. Шадаев
Утвержден распоряжением Министерства государственного управления, информационных технологий и связи Московской области от 3 декабря 2015 г. N 10-35/РВ
РЕГЛАМЕНТ
ПОДКЛЮЧЕНИЯ К ЗАЩИЩЕННОЙ ВИРТУАЛЬНОЙ СЕТИ ПРАВИТЕЛЬСТВА МОСКОВСКОЙ ОБЛАСТИ (СЕТЬ VIPNET 2131)
1. Термины и определения
АРМ | - | автоматизированное рабочее место |
ВИС | - | ведомственная ИС |
ЗВС | - | защищенная виртуальная сеть |
ИС | - | информационная система |
ПАК | - | программно-аппаратный комплекс |
ПМО | - | Правительство Московской области |
ПО | - | программное обеспечение |
РИС | - | региональная ИС |
РЦОД | - | резервный центр обработки данных |
СКЗИ | - | средство криптографической защиты информации |
ТТ | - | технические требования |
ЦОД | - | центр обработки данных |
ЦОД ДПМО-1 | - | основной центр обработки данных |
ЦОД ПМО | - | центры обработки данных Правительства Московской области (в настоящее время - две территориально разнесенные площадки - ЦОД ДПМО-1 и РЦОД) |
ЦУС | - | центр управления сетью |
ViPNet Administrator | - | программное обеспечение для администрирования и управления сетью ViPNet |
ViPNet Client | - | программный комплекс, выполняющий на рабочем месте пользователя функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования |
ViPNet Coordinator | - | сетевой узел сети с установленным программным обеспечением ViPNet Coordinator, размещаемый на границах сетей или сегментов сети и выполняющий в рамках сети ViPNet серверные функции, маршрутизацию трафика и служебной информации |
ViPNet Сеть | - | сеть, организованная с помощью ПО ViPNet и представляющая собой совокупность защищенных сетевых узлов сети ViPNet. Сеть ViPNet имеет свою адресацию, позволяющую организовать обмен информацией между ее узлами. Каждая сеть ViPNet имеет свой уникальный номер (идентификатор) |
Внешняя сеть | - | сеть, имеющая другое адресное пространство по отношению к внутренней сети. Как правило, этот термин используется для обозначения глобальной сети Интернет. Внешняя сеть по отношению к рассматриваемой внутренней сети является физически и (или) логически самостоятельной и имеет свое адресное пространство, которое не должно пересекаться с адресным пространством рассматриваемой внутренней сети |
Внутренняя сеть | - | локальная сеть, подлежащая защите. Для организации внутренней сети используются IP-адреса из пространства адресов, не применяемых в Интернете (10.0.0.0-10.255.255.255; 172.16.0.0-172.31.255.255; 192.168.0.0-192.168.255.255) |
Дистрибутив ключей | - | файл с расширением .dst, создаваемый для каждого сетевого узла ViPNet и устанавливаемый на узел. В файл помещены адресные справочники, ключевая информация и файл лицензии, необходимые для обеспечения первичного запуска и последующей работы сетевого узла |
Защищенный узел сети | - | оборудование сети с установленным ПО ViPNet с функцией шифрования трафика на сетевом уровне |
Коммуникационное ядро | - | комплекс сетевых устройств, обеспечивающих резервирование каналов и высокоскоростную передачу данных |
Открытый узел сети | - | оборудование сети, с которым обмен информацией происходит в незашифрованном виде |
Туннелирование | - | шифрование трафика открытых узлов сети при передаче через сеть общего пользования |
Туннелируемый узел | - | открытый узел сети, для которого трафик зашифровывается и расшифровывается ViPNet Coordinator для ее передачи другим узлам внутренней сети или во внешнюю сеть |
Файл экспорта | - | файл, содержащий данные об экспортированных сетевых узлах, коллективах и пользователях, данные о сервере-маршрутизаторе, через который будет осуществляться взаимодействие с другой сетью |
Частный адрес | - | IP-адрес из диапазона адресов, которые не применяются в Интернете (10.0.0.0-10.255.255.255; 172.16.0.0-172.31.255.255; 192.168.0.0-192.168.255.255) |
2. Назначение документа
Настоящий документ разработан с целью определения порядка подключения центральных исполнительных органов государственной власти Московской области, государственных органов Московской области, органов местного самоуправления муниципальных образований Московской области и государственных учреждений Московской области, не входящих в систему исполнительных органов государственной власти Московской области (далее - заявители), к ЗВС Правительства Московской области для организации защищенного взаимодействия с размещаемыми в ЦОД Московской области информационными системами.
В документе приведены сведения для подключения к ЗВС и представлены варианты подключения в зависимости от состава программных или программно-технических средств.
3. Общие сведения о защищенной виртуальной сети
ЗВС организована на базе сертифицированных по требованиям безопасности информации СКЗИ <1>, обеспечивающих создание защищенной доверенной среды передачи данных, транспортной средой для которой может являться как сеть Интернет, так и любой коммутируемый канал на базе протокола IP.
--------------------------------
<1> См. сведения о сертификатах ФСБ России, ФСТЭК России на сайте производителя ОАО "ИнфоТекс" http://infotecs.ru/products/cert/.
ЗВС обеспечивает выполнение требований безопасности информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.
ЦУС ЗВС и его коммуникационное ядро размещены в ЦОД Правительства Московской области и реализованы с использованием соответственно программного комплекса ViPNet Administrator и программно-аппаратных комплексов ViPNet Coordinator HW. Структура ЗВС и необходимые пояснения представлены на рисунке 1 (не приводится).
Одной из функций ЦУС ЗВС является выдача дистрибутивов ключей, изготовленных организацией, лицензиатом ФСБ России на основании государственного контракта.
Дистрибутивы ключей используются для средств ViPNet, которые включаются в логическую структуру ЗВС, то есть могут рассматриваться как узлы ЗВС, но при этом в состав ЗВС не входят (например, по признаку собственника средства ViPNet).
В случае наличия у заявителя собственной защищенной сети ViPNet и обязательного в этом случае установленного в сети средства управления сетью <2> (программного комплекса ViPNet Administrator) средствами ЦУС изготавливается файл экспорта сети ЗВС и сети ViPNet заявителя.
--------------------------------
<2> См. документацию "ViPNet Administrator Центр управления сетью. Руководство администратора". ФРКЕ.00006-05 32 01".
При этом изготовление дистрибутива ключей для узлов сети ViPNet заявителя осуществляется самим заявителем без обращения к услугам ЦУС ЗВС.
Рисунок 1. Общая структура сети ViPNet 2131
Рисунок не приводится.
4. Объекты подключения к защищенной виртуальной сети и возможные схемы подключения
В качестве объектов сети заявителя, подключаемых к ЗВС, рассматриваются:
ПАК ViPNet Coordinator HW (100 A, B, C)/1000/2000).
АРМ с установленным ПО ViPNet Client.
Указанные средства создают шифрованный канал передачи данных и по терминологии сетей ViPNet называются защищенными узлами сети.
При организации взаимодействия открытых узлов сети заявителя и РИС и ВИС, размещенных в ЦОД, применяется механизм туннелирования трафика.
В режиме туннелирования передаваемые данные остаются незащищенными только на участке от АРМ заявителя до его ViPNet Coordinator HW, в дальнейшем все данные подвергаются шифрованию (рисунки 2а, 2б - не приводятся).
Количество туннелируемых узлов определяется конфигурацией оборудования ViPNet Coordinator HW. В частности, координаторы ПАК ViPNet Coordinator HW100 A/B/C могут поддерживать соответственно 2/5/10 туннелей, координатор ПАК ViPNet Coordinator HW1000 может поддерживать неограниченное количество туннелей <3>.
--------------------------------
<3> См. технические характеристики ПО ViPNet Coordinator, ПАК ViPNet Coordinator HW, ПО ViPNet Client на сайте производителя http://infotecs.ru/products/ispolnenie.php?SECTION_ID=&ELEMENT_ID= 14322, http://www.infotecs.ru/products/line/custom.php.
Рисунок 2а. Подключение к сети ViPNet 2131 с использованием арендуемых каналов связи
Рисунок не приводится.
Рисунок 2б. Подключение к сети ViPNet 2131 с использованием сети Интернет
Рисунок не приводится.
5. Процедура подключения к защищенной виртуальной сети и порядок ее исполнения
Заявка на подключение к ЗВС, подписанная руководителем заявителя, направляется в адрес Министерства государственного управления, информационных технологий и связи Московской области (далее - Министерство) по Межведомственной сети электронного документооборота Московской области.
Необходимо в графе "Краткое содержание" указать "Заявка на подключение к ЗВС", к заявке приложить данные согласно п. 5.1 по форме, указанной в приложении 1.
После рассмотрения заявка направляется в подведомственное Министерству Государственное казенное учреждение Московской области "Московский областной центр информационно-коммуникационных технологий" (далее - ГКУ МО "МОЦ ИКТ"), которое организует выдачу заявителю дистрибутива ключей, файлов экспорта, а также их хранение.
В заявке на получение файлов в зависимости от требуемой схемы подключения к сети ЗВС указываются следующие сведения:
5.1. При отсутствии у заявителя собственной защищенной сети ViPNet:
полное наименование заявителя (органа/организации/учреждения);
подключаемые к сети защищенные узлы;
тип ПАК ViPNet Coordinator HW 100 (A/B/C)/1000, тип ПО ViPNet Client с указанием серийного номера оборудования ViPNet Coordinator (s/n);
фамилия, имя, отчество сотрудников (пользователей) заявителя, подключаемых к сети ЗВС;
фамилия, имя, отчество лица, назначенного для решения организационно-технических вопросов в случае их возникновения (далее - ответственное лицо), его контактный телефон и/или адрес электронной почты;
фамилия, имя, отчество лица, наделенного правом получить дистрибутив ключей (далее - уполномоченное лицо), его контактный телефон и/или адрес электронной почты.
Данные о наличии у заявителя архива регистрационных файлов подключаемых защищенных узлов (предоставляется заявителю поставщиком ViPNet) могут запрашиваться у заявителя сотрудниками ГКУ МО "МОЦ ИКТ" в рабочем порядке.
5.2. При наличии у заявителя собственной сети ViPNet:
полное наименование заявителя (органа/организации/учреждения);
номер собственной сети ViPNet;
подключаемые к сети защищенные узлы:
тип ПАК ViPNet Coordinator HW 100 (A/B/C)/1000, тип ПО ViPNet Client с указанием серийного номера оборудования ViPNet Coordinator (s/n);
фамилия, имя, отчество сотрудников (пользователей) заявителя, подключаемых к сети ЗВС;
фамилия, имя, отчество ответственного лица, его контактный телефон и (или) адрес электронной почты;
фамилия, имя, отчество уполномоченного лица, его контактный телефон и (или) адрес электронной почты.
Данные о наличии у заявителя файла импорта сети ViPNet для первоначального обеспечения межсетевого взаимодействия с сетью ЗВС могут запрашиваться у заявителя сотрудниками ГКУ МО "МОЦ ИКТ" в рабочем порядке.
ГКУ МО "МОЦ ИКТ" организует изготовление дистрибутива ключей, файла экспорта в течение 5 рабочих дней с момента регистрации заявки.
Подключение к ЗВС проводится после получения заявителем файлов дистрибутива ключей для настраиваемых защищенных узлов сети или файла экспорта межсетевого взаимодействия сети ЗВС с сетью ViPNet заявителя (файл экспорта), необходимых для настроек ПО ViPNet сети заявителя.
Дистрибутив ключей создается для каждого защищенного узла сети (ViPNet Coordinator, ViPNet Client) и содержит справочники, ключи, данные о лицензиях и другие сведения, необходимые для настройки, первичного запуска и последующей работы ПО ViPNet.
В случае если для одного АРМ с установленным ПО ViPNet Client требуется организовать доступ к сети ЗВС нескольким пользователям, для каждого пользователя создается отдельный файл *.dst.
Файл экспорта изготавливается при наличии у заявителя собственной сети ViPNet.
По факту изготовления файла уполномоченное лицо оповещается по телефону и (или) электронной почте о возможности получения файла (день, время, кабинет, контактное лицо).
Получение уполномоченным лицом файлов *.dst (файла экспорта) осуществляется под роспись в журнале установленной формы (дата, подпись, расшифровка подписи).
При получении файлов уполномоченное лицо обязано иметь при себе доверенность от имени заявителя на получение файлов *.dst (файла экспорта) (форма приведена в приложении 2), а также паспорт.
6. Сведения, необходимые для настройки подключения к защищенной виртуальной сети
Настройка и подключение средств ViPNet заявителя к ЗВС возможна при наличии файлов *.dst (файла экспорта) и сведений по IP-адресации взаимодействующих ресурсов сети ЦОД и сети заявителя, а именно:
ip-адреса (xxx.xxx.xxx.xxx) внешних интерфейсов ViPNet Coordinator HW в сети Интернет (рисунки 1, 2б - позиции 2, 12);
ip-адреса (yyy.yyy.yyy.yyy) внешних интерфейсов шлюза межсетевого взаимодействия (рисунки 1, 2а - позиции 3, 8);
ip-адрес (zzz.zzz.zzz.zzz) сервера ресурса в сети ЦОД, с которым организуется взаимодействие (рисунок 1 - позиция 5);
ip-адреса узлов локальной сети заявителя (например, АРМ), для которых должен быть организован шифрованный трафик путем установки ПО ViPNet Client на данные узлы (частные IP-адреса из адресного пространства сети) (рисунки 2а, 2б - позиции 9, 13);
ip-адреса АРМ в пространстве адресов локальной сети заявителя, для которых должен быть разрешен режим туннелирования в сеть ЗВС (частные ip-адреса из адресного пространства сети) (рисунки 2а, 2б - позиции 10, 14).
При модернизации сети ЗВС и ЦОД настройки и порядок подключения к сети ЗВС уточняются ответственным лицом заявителя.
Приложение 1 к Регламенту
Заявка
на изготовление файлов дистрибутива ключей для подключения средств ViPNet заявителя к сети ЗВС Московской области
N п/п | Необходимые сведения | Представленные сведения |
1. | полное наименование заявителя (органа/организации/учреждения) | Указать наименование |
2. | подключаемые к сети средства ViPNet (серийные номера) | Указать тип средств и их серийные номера |
3. | количество сотрудников заявителя, подключаемых к сети ЗВС с указанием Ф.И.О. и должности | Указывается количество сотрудников (Ф.И.О., должность), работающих на АРМ с установленными средствами ViPNet |
4. | фамилия, имя, отчество лица, его контактный телефон и (или) эл. почта для уточнения организационно-технических вопросов в случае их возникновения (ответственное лицо) | Знатоков Иван Иванович, +7 (498) 123-45-67, znatokov@mosreg.ru, znatokovII@e-mail.ru |
5. | фамилия, имя, отчество лица, наделенного правом получить файлы *.dst, его контактный телефон и (или) эл. почта (уполномоченное лицо) | Получателева Мария Ивановна +7 (498) 234-56-78, polucateleva@mosreg.ru, poluchatelevaMI@e-mail.ru |
Приложение 2 к Регламенту
Адрес телефон:
факс:
электронная почта:
___________________________________________________________________________
Должность адресата
И.О. Фамилия адресата
ДОВЕРЕННОСТЬ
на выполнение действий от лица организации
Московская область
г. Красногорск "__" ______ ______ г.
Настоящей доверенностью ГО/ЦИОГВ/ОМСУ Московской области в лице
_________ (должность) _____ (Ф.И.О.) уполномочивает _____ (должность) _____
(Ф.И.О.), паспорт: _____, совершать следующие действия:
1. Получать в Государственном казенном учреждении Московской области
"Московский областной центр информационно-коммуникационных технологий"
дистрибутив ключей/файл экспорта.
2. Расписываться в соответствующих учетных формах, предназначенных для
исполнения поручения, определенного настоящей доверенностью.
Настоящая доверенность выдана по __ (дд мм гггг) Без права передоверия.
Собственноручную
Подпись /___________/ _____ (Ф.И.О.)
удостоверяю.
Должность руководителя
ГО/ЦИОГВ/ОМСУ Московской области /__________________/ (Ф.И.О.)
М.П. "__" _______ ____ г.