Jump to content
Sign in to follow this  
veselov-pv

Организация защищенного доступа на сайт

Recommended Posts

Помогите пожалуйста разобраться!

Нужно организовать с помощью сертифицированных ФСБ средств (в данном случае VipNet CSP) защищенный доступ к сайту (web-серверу). Так же, необходимо обеспечить "бесплатность" для клиента.

Следуя руководству пользователя ViPNet CSP 4.2 будет установлена клиентская и серверная часть. И вот дальше у меня возникает вопрос, могу ли я использовать сертифицированный, но не аккредитованный УЦ ViPNet KC & CA в составе продукта  ViPNet Administrator, чтобы выдать сертификаты клиенту и серверу? 

Последующий доступ клиента на сайт будет осуществляться с помощью IE.

Может кто подскажет какой-то другой способ реализации?

Share this post


Link to post
Share on other sites

Добрый день!
Небольшое уточнение: ViPNet Administrator входит в состав сертифицированного ViPNet УЦ 4 (версия 4.6), выступая в нем Центром сертификации, помимо него в состав УЦ входят другие компоненты. Другими словами, сам по себе ViPNet Administrator не является сертифицированным УЦ.

Аккредитация УЦ в Минкомсвязи позволяет УЦ издавать квалифицированные сертификаты. Что позволяет признавать ЭП, проверяемые такими сертификатами, равнозначными рукописным подписям. 

Можете уточнить свою задачу? Вы хотите организовать юридически значимый электронный документооборот?


 

Share this post


Link to post
Share on other sites

Добрый день.

Нужно организовать защищенный доступ клиентов к web-приложениям с шифрованием по ГОСТ.

Share this post


Link to post
Share on other sites

TLS ГОСТ? односторонний или двусторонний TLS?

Share this post


Link to post
Share on other sites

Обязательно ли для получения сертификатов клиента и веб-сервера использовать сертифицированный УЦ? В итоге, должно получиться, что клинет на сайте посмотрел и скачал свои персональные данные. 

Если обязательно, то использовать "ViPNet Administrator - это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя:

ViPNet NCC (Центр управления сетью, ЦУС) — программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью ViPNet;

ViPNet KC & CA (Удостоверяющий и ключевой центр, УКЦ) — программное обеспечение, которое выполняет функции центра формирования ключей шифрования и персональных ключей пользователей —Ключевого центра, а также функции Удостоверяющего центра."  (http://www.infotecs.ru/products/line/custom.php)

- нельзя.

И нужно отдельно покупать ViPNet УЦ 4?

и расскажите, пожалуйста, в чем разница между ViPNet KC & CA и ViPNet УЦ 4?

Share this post


Link to post
Share on other sites

Недавно общался с КБ, там они могут вам дать под роспись криптошлюз попрользоваться.. т.е. его ставите у себя.. и всем остальным Континенты АП раздаёте.. у них и т.п. всё устроит и объяснит.. или обратились бы в Криптопро.. там тоже могут помочь. Пока у вас есть выбор рассмотрите все варианты, а то потом будет поздно.

Share this post


Link to post
Share on other sites

Варианты это, конечно, хорошо, но я, обычно, начинаю с рассмотрения ценников. Желание строить публичный, а тем более - аккредитованный УЦ как-то сразу пропадает.

Share this post


Link to post
Share on other sites

Если рассматривать вариант с односторонним TLS, то на web-сервере необходимо:

- поставить VipNet CSP; 

- получить квалифицированный сертификат проверки подлинности сервера из любого аккредитованного УЦ; 

- В IIS в настройках безопасности для какой-нибудь страницы выбрать "необходимо защищенное соединение" и  "игнорировать клиентский сертификат" (может и не так, не помню как они точно называются).

А клиенту ставится только VipNet CSP и обязуем его для защищенного доступа к web-странице пользоваться только IE.

И тут возникает пара вопросов:

1. Для обеспечения требований 21 приказа ФСТЭК, а именно: 

Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу.
8.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

Можно ли в данном случае будет считать, что аутентификация клиента на сервере будет проходить по логину и паролю (личный кабинет)?

Правомерна ли будет передача ПДн как со стороны клиента (выгрузка документов), так и со стороны сервера (клиент скачивает документ)?   

2. Вопрос по оценке влияния.

В документах на VipNet CSP написано, 

"Встраивание в приложения.
Разработка ПО на основе СКЗИ ViPNet CSP может производиться без создания новых СКЗИ в случае использования вызовов функций из перечня, приведенного в Приложении 1."

Как понимаю, можно использовать, без оценки влияния, ПО входящее в состав операционной системы Winows (IISS, IE, Microsoft office), но в случае, если web-сервер построен на Apache, то можно ли использовать связку Apache + Trusted TLS + VipNetCSP без оценки влияния?

Share this post


Link to post
Share on other sites

http://trusted.ru/ - "Программный продукт Trusted TLS 3 ... веб-серверах Apache HTTP Server и nginx. Поддержка сертифицированных в РФ алгоритмов электронной подписи, шифрования файлов и канала передачи информации реализована посредством вызова функций криптопровайдера «КриптоПро CSP»."

Apache httpd может использовать IIS в качестве фронтэнда, но поймёт ли он при этом информацию об используемых IIS-ом криптоалгоритмах ...

С другой стороны, если требуется просто защищённый канал (без авторизации/аутенификации на клиентских сертификатах) ...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.