Перейти к контенту

Организация защищенного доступа на сайт


Рекомендуемые сообщения

Помогите пожалуйста разобраться!

Нужно организовать с помощью сертифицированных ФСБ средств (в данном случае VipNet CSP) защищенный доступ к сайту (web-серверу). Так же, необходимо обеспечить "бесплатность" для клиента.

Следуя руководству пользователя ViPNet CSP 4.2 будет установлена клиентская и серверная часть. И вот дальше у меня возникает вопрос, могу ли я использовать сертифицированный, но не аккредитованный УЦ ViPNet KC & CA в составе продукта  ViPNet Administrator, чтобы выдать сертификаты клиенту и серверу? 

Последующий доступ клиента на сайт будет осуществляться с помощью IE.

Может кто подскажет какой-то другой способ реализации?

Ссылка на комментарий
Поделиться на других сайтах

Добрый день!
Небольшое уточнение: ViPNet Administrator входит в состав сертифицированного ViPNet УЦ 4 (версия 4.6), выступая в нем Центром сертификации, помимо него в состав УЦ входят другие компоненты. Другими словами, сам по себе ViPNet Administrator не является сертифицированным УЦ.

Аккредитация УЦ в Минкомсвязи позволяет УЦ издавать квалифицированные сертификаты. Что позволяет признавать ЭП, проверяемые такими сертификатами, равнозначными рукописным подписям. 

Можете уточнить свою задачу? Вы хотите организовать юридически значимый электронный документооборот?


 

Ссылка на комментарий
Поделиться на других сайтах

Обязательно ли для получения сертификатов клиента и веб-сервера использовать сертифицированный УЦ? В итоге, должно получиться, что клинет на сайте посмотрел и скачал свои персональные данные. 

Если обязательно, то использовать "ViPNet Administrator - это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя:

ViPNet NCC (Центр управления сетью, ЦУС) — программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью ViPNet;

ViPNet KC & CA (Удостоверяющий и ключевой центр, УКЦ) — программное обеспечение, которое выполняет функции центра формирования ключей шифрования и персональных ключей пользователей —Ключевого центра, а также функции Удостоверяющего центра."  (http://www.infotecs.ru/products/line/custom.php)

- нельзя.

И нужно отдельно покупать ViPNet УЦ 4?

и расскажите, пожалуйста, в чем разница между ViPNet KC & CA и ViPNet УЦ 4?

Ссылка на комментарий
Поделиться на других сайтах

Недавно общался с КБ, там они могут вам дать под роспись криптошлюз попрользоваться.. т.е. его ставите у себя.. и всем остальным Континенты АП раздаёте.. у них и т.п. всё устроит и объяснит.. или обратились бы в Криптопро.. там тоже могут помочь. Пока у вас есть выбор рассмотрите все варианты, а то потом будет поздно.

Ссылка на комментарий
Поделиться на других сайтах

Варианты это, конечно, хорошо, но я, обычно, начинаю с рассмотрения ценников. Желание строить публичный, а тем более - аккредитованный УЦ как-то сразу пропадает.

Ссылка на комментарий
Поделиться на других сайтах

Если рассматривать вариант с односторонним TLS, то на web-сервере необходимо:

- поставить VipNet CSP; 

- получить квалифицированный сертификат проверки подлинности сервера из любого аккредитованного УЦ; 

- В IIS в настройках безопасности для какой-нибудь страницы выбрать "необходимо защищенное соединение" и  "игнорировать клиентский сертификат" (может и не так, не помню как они точно называются).

А клиенту ставится только VipNet CSP и обязуем его для защищенного доступа к web-странице пользоваться только IE.

И тут возникает пара вопросов:

1. Для обеспечения требований 21 приказа ФСТЭК, а именно: 

Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу.
8.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

Можно ли в данном случае будет считать, что аутентификация клиента на сервере будет проходить по логину и паролю (личный кабинет)?

Правомерна ли будет передача ПДн как со стороны клиента (выгрузка документов), так и со стороны сервера (клиент скачивает документ)?   

2. Вопрос по оценке влияния.

В документах на VipNet CSP написано, 

"Встраивание в приложения.
Разработка ПО на основе СКЗИ ViPNet CSP может производиться без создания новых СКЗИ в случае использования вызовов функций из перечня, приведенного в Приложении 1."

Как понимаю, можно использовать, без оценки влияния, ПО входящее в состав операционной системы Winows (IISS, IE, Microsoft office), но в случае, если web-сервер построен на Apache, то можно ли использовать связку Apache + Trusted TLS + VipNetCSP без оценки влияния?

Ссылка на комментарий
Поделиться на других сайтах

http://trusted.ru/ - "Программный продукт Trusted TLS 3 ... веб-серверах Apache HTTP Server и nginx. Поддержка сертифицированных в РФ алгоритмов электронной подписи, шифрования файлов и канала передачи информации реализована посредством вызова функций криптопровайдера «КриптоПро CSP»."

Apache httpd может использовать IIS в качестве фронтэнда, но поймёт ли он при этом информацию об используемых IIS-ом криптоалгоритмах ...

С другой стороны, если требуется просто защищённый канал (без авторизации/аутенификации на клиентских сертификатах) ...

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.