Шифрование по ГОСТу: сколько стоит и как сэкономить в условиях кризиса
Безопасность
12.05.2020, Вт, 11:31, Мск , Текст: Александр Веселов, руководитель направления ГОСТ VPN компании «Ростелеком-Солар»
В необходимости шифрования сейчас никто не сомневается: веб-сайты, мессенджеры и другие сервисы «из коробки» поддерживают шифрование передаваемых данных. В большинстве случаев речь идет о зарубежной криптографии — AES, SHA и т.п. Но российское законодательство вносит свои коррективы: для ряда отраслей, таких как госcектор, операторы персональных данных, здравоохранение, финансы, требуется использовать отечественные криптоалгоритмы. Оборудование, реализующее российские ГОСТы, сертифицируется регулятором — ФСБ России. Как в этой ситуации можно построить криптозащиту по российскому ГОСТ?
Согласно постановлению правительства РФ № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…» есть три варианта реализации:
- проект собственными силами (лицензия на такую деятельность не требуется);
- проект совместно с лицензированным подрядчиком;
- сервис, приобретаемый у лицензированного провайдера.
Самостоятельная реализация — относительно редкий случай, он актуален для небольших компаний, но далеко не каждая из них это осилит, к тому же этот вариант в целом похож на проект с подрядчиком. Сервисная модель — вариант относительно новый, его мы и сравним далее с проектной моделью.
Традиционная проектная модель
Проект — это сложно (а порой и больно), но вроде бы привычно. Выбрали интегратора и побежали сквозь тернии: обследование, проектирование системы защиты каналов связи (а попутно еще и конкурс с выбором СКЗИ и закупкой, в которой интегратор часто выступает посредником). Следующая станция — пуско-наладочная: нужно доставить оборудование на объекты, настроить, подключить к инфраструктуре, решить вопрос с мониторингом. И вот он, долгожданный запуск в эксплуатацию. Дальше — техподдержка (часто силами интегратора и часто речь идет о переадресации поступающих запросов вендору).
Физическая замена оборудования и сам подменный фонд — это затраты заказчика. Также не стоит забывать о поддержании актуальной версии ПО. В большинстве случаев техподдержка включает в себя обновление минорных версий ПО, тогда как мажорные, которые как раз фиксируются в сертификате ФСБ России, можно получить только за дополнительную плату.
Помимо технических аспектов есть организационные: необходимо вести журнал поэкземплярного учета СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы и тот самый журнал учета журналов. Список довольно внушительный, так что в случае с крупным парком оборудования под эту задачу потребуется отдельный сотрудник. А для физического хранения документации — помещение c металлическими шкафами или сейфами.
Сервисная модель
На российских просторах аутсорсинг защиты каналов связи — явление пока нечастое, но, судя по динамике рынка, более чем перспективное. Ключевые драйверы здесь — простота и скорость (о цене скажем чуть позже). Заказчику не нужно вдаваться в технические детали — он лишь заполняет опросный лист, данные из которого потребуются для дальнейшей настройки.
Покупка и учет СКЗИ, документирование, настройка, эксплуатация, обновление ключей, подменный фонд, физическая замена оборудования и т.п. — задачи провайдера. На выходе заказчик получает на своих объектах порты сети, защищенной по ГОСТ-алгоритмам, сертифицированным СКЗИ.
Экономическое сравнение
А вот теперь посчитаем и сопоставим затраты на традиционную и сервисную модели. Рассмотрим в качестве примера типичный и достаточно востребованный кейс: организация с головным офисом и, к примеру, 20 филиалами. Если объектов гораздо больше, то может потребоваться специфическая кастомизация архитектуры, оценить ее заранее нельзя — разброс слишком большой. Допустим, в центре реализована отказоустойчивая конфигурация из двух СКЗИ и пропускная способность каналов связи — 100 Мбит/c, а на периферии нет резервирования и каналы — 10 Мбит/c. Рассчитаем затраты на горизонте 7 лет.
Проект потребует разработки архитектуры решения, закупки оборудования, логистики и внедрения на местах. В сервисной модели этих единовременных затрат нет.
Единовременные расходы на построение системы защиты каналов связи
| Единовременные расходы на построение системы защиты каналов связи | Проектная модель, руб. | Сервисная модель, руб. |
|---|---|---|
| Закупка оборудования и лицензий | 4 045 000 | 0 |
| Услуги по проектированию и внедрению | 750 000 | 0 |
| Обучение персонала заказчика (2 человека) | 40 000 | 0 |
| Итого | 4 835 000 | 0 |
В части периодических расходов выделяем следующие статьи:
- Техническая поддержка производителя: в первый год обычно включена в стоимость оборудования, далее она составляет порядка 15–20% от этой суммы ежегодно.
- Персонал. В проектной модели для расчета указаны два человека: ИТ-инженер с заработной платой 60 тысяч рублей и утилизацией на данный проект 5%, ИБ-инженер с заработной платой 90 тысяч рублей и утилизацией на данный проект 25%. Налоговые отчисления и различные накладные расходы на сотрудников составляют примерно 80%.
В сервисной модели в этом блоке указана сумма ежемесячных платежей.
Ежегодные расходы на обслуживание системы защиты каналов связи
| Ежегодные расходы на обслуживание системы защиты каналов связи | Проектная модель, руб. | Сервисная модель, руб. |
|---|---|---|
| Продление технической поддержки (начиная со 2 года) | 800 000 | 0 |
| Расходы на персонал | 550 800 | 0 |
| Сервисное обслуживание | 0 | 2 450 000 |
| Итого | 1 350 800 | 2 450 000 |
Казалось бы, все очевидно, но на этом затраты не заканчиваются.
- Сертификат ФСБ России на СКЗИ выдается на 3 года и может быть продлен примерно на 1,5 года, а дальше потребуется переход на новую сертифицированную версию. Обновление мажорной версии ПО СКЗИ происходит в среднем на четвертый год эксплуатации и составляет 50% стоимости оборудования (в этот год продление технической поддержкине приобретается).
- Наработка на отказ аппаратных платформ составляет в среднем 50 тыс. часов, то есть среднее время жизни устройства — примерно 5–6 лет. В своем расчете мы рассмотрели вариант, в котором обновление аппаратной части СКЗИ происходит на шестой год эксплуатации. Затраты на закупку аналогичны изначальным (хотя с учетом инфляции — обычно увеличиваются). Проектирование и внедрение как таковые не требуются, а вот двое сотрудников службы эксплуатации могут банально смениться за эти годы, и значит, снова придется обучать пришедших. К тому же в новой версии СКЗИ могут появиться свои особенности, о которых во избежание «сюрпризов» лучше узнать заранее.
«Забытые» разовые расходы на актуализацию версии СКЗИ
| «Забытые» разовые расходы на актуализацию версии СКЗИ | Проектная модель, руб. | Сервисная модель, руб. |
|---|---|---|
| Обновление программного обеспечения СКЗИ (на 4-й год) | 2 000 000 | 0 |
| Обновление аппаратного обеспечения СКЗИ (на 6-й год) | 4 150 000 | 0 |
Резюме
Резюмируя затраты, получаем следующую картину.
Традиционная проектная модель подразумевает капитальные единоразовые вложения на старте проекта. Существенные затраты на поддержание актуального состояния оборудования приходятся на четвертый и шестой годы эксплуатации. В сервисной модели затраты прогнозируемы и распределены равномерно на весь период эксплуатации.
Ежегодные расходы на эксплуатацию
| Период | Проектная модель, руб. | Сервисная модель, руб. |
|---|---|---|
| 1 год | 5 385 800 | 2 450 000 |
| 2 год | 1 350 800 | 2 450 000 |
| 3 год | 1 350 800 | 2 450 000 |
| 4 год | 3 350 800 | 2 450 000 |
| 5 год | 1 350 800 | 2 450 000 |
| 6 год | 4 700 800 | 2 450 000 |
| 7 год | 1 350 800 | 2 450 000 |
| Итого | 18 840 600 | 17 150 000 |
А теперь взглянем на совокупный расход и возможную экономию за периоды от 1 до 7 лет.
Расходы на эксплуатацию нарастающим итогом
| Период | Проектная модель, руб. | Сервисная модель, руб. | Экономия сервисной модели |
|---|---|---|---|
| 1 год | 5 385 800 | 2 450 000 | 55% |
| 2 года | 6 736 600 | 4 900 000 | 27% |
| 3 года | 8 087 400 | 7 350 000 | 9% |
| 4 года | 11 438 200 | 9 800 000 | 14% |
| 5 лет | 12 789 000 | 12 250 000 | 4% |
| 6 лет | 17 489 800 | 14 700 000 | 16% |
| 7 лет | 18 840 600 | 17 150 000 | 9% |
Как видим, на горизонте семи лет традиционная модель совокупно выходит дороже сервисной. При этом эксплуатацией в проекте предполагает наличие двух частично занятых в нем сотрудников, работающих в режиме 8/5. Эти «универсальные солдаты» занимаются поддержкой различных сервисов и продуктов, не концентрируясь на специфике направления. В рамках сервисной — техническую поддержку осуществляют эксперты направления в режиме 24/7.
В сервисной модели затраты операционные и они распределены равномерно на весь период использования сервиса. Провайдер самостоятельно осуществляет закупку оборудования, подменного фонда, поддержку версии и настроек СКЗИ в актуальном состоянии. Этот вариант позволяет клиенту решить специфическую задачу по защите каналов связи как минимум не дороже проектной, сконцентрировавшись на своем основном виде деятельности.
Полный текст статьи читайте на CNews
