Общее описание архитектуры, шифрование и размещение в контуре клиента
Web-система Кортеос состоит из следующих компонент
Операционная система - Windows 2019 Server
Сервер БД (MS SQL Server 2019)
Web-приложение, реализованное на базе ASP.NET MVC, веб-сервер - IIS 10
Дополнительно на серверах установлены:
Kaspersky Security 11.6.0.394 для Windows Server
Dallas Lock 8.0-K
Серверная конфигурация
Обновление: Программно-аппаратные средства C-Терра обновлены до версии 4.3.
Состав средств защиты информаци
Состав телекоммуникационного оборудования
Шифрование данных
Для хранения данных применяется СУБД Microsoft SQL Server 2016 SP2.
Выданный ФСТЭК России сертификат (3987 от 08.08.2018) удостоверяет, что Microsoft SQL Server 2016 SP2 является СУБД со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей составляющих государственную тайну сведений, и соответствует требованиям по безопасности информации. Продукт может применяться для обработки и защиты информации в государственных информационных системах (ГИС) до 3 класса защищённости включительно, а также в информационных системах персональных данных (ИСПДн) до 3-го класса защищённости включительно для актуальных угроз безопасности информации 3-го типа.
Для защиты конфиденциальной информации на слое хранения данных, используются встроенные механизмы шифрования данных MS SQL Server (column encryption), алгоритм шифрования - AES_256.
Шифрование применяется для следующих полей перечисленных ниже таблиц:
RW_Person.BirthDate - дата рождения
RW_Document.Number - номер документа пассажира
RW_Document.DateValid - срок действия документа
RW_Contact.Content - номер телефона или email
Пароли пользователей хранятся в виде hash, формируемого при помощи алгоритма sha256 с солью.
Взаимодействие с клиентом по защищенному протоколу
Возможна организация взаимодействия, когда либо весь обмен, либо его часть, содержащая персональные данные (при API интеграции) передаются через VPN-туннель.
Для реализации туннеля используется аппаратный шлюз С-Терра Шлюз (классы сертификации СКЗИ: КС1, КС2, КС3), ниже приведена схема организации инфраструктуры в боевой среде:
Размещение системы в контуре клиента
При размещении системы в защищенном контуре на стороне корпоративного клиента, заказчику необходимо повторить конфигурацию системы, описанную в разделе “серверная конфигурация”.
Требования к server node:
12 cores CPU
48 GB RAM
500 GB SSD
В частном случае, сервер БД и веб-сервер могут находиться в рамках одной node для экономии системных ресурсов, в том случае, если такое размещение не является нарушением политики безопасности клиента.
При этом на клиенте лежит ответственность за политику резервного копирования и восстановления базы данных.
Стоимость решения состоит из двух компонент:
Развертывание решения на мощностях клиента, первоначальное тестирование, настройка continious delivery;
Обслуживание решения: доставка и установка обновлений, проведение профилактических работ.
В каждом случае стоимость оговаривается индивидуально, в зависимости от регламентов, формируемых с учетом требований СБ конкретного заказчика.