veselov-pv Опубликовано 3 Октября 2016 Жалоба Поделиться Опубликовано 3 Октября 2016 Помогите пожалуйста разобраться! Нужно организовать с помощью сертифицированных ФСБ средств (в данном случае VipNet CSP) защищенный доступ к сайту (web-серверу). Так же, необходимо обеспечить "бесплатность" для клиента. Следуя руководству пользователя ViPNet CSP 4.2 будет установлена клиентская и серверная часть. И вот дальше у меня возникает вопрос, могу ли я использовать сертифицированный, но не аккредитованный УЦ ViPNet KC & CA в составе продукта ViPNet Administrator, чтобы выдать сертификаты клиенту и серверу? Последующий доступ клиента на сайт будет осуществляться с помощью IE. Может кто подскажет какой-то другой способ реализации? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
BRV Опубликовано 4 Октября 2016 Жалоба Поделиться Опубликовано 4 Октября 2016 Добрый день! Небольшое уточнение: ViPNet Administrator входит в состав сертифицированного ViPNet УЦ 4 (версия 4.6), выступая в нем Центром сертификации, помимо него в состав УЦ входят другие компоненты. Другими словами, сам по себе ViPNet Administrator не является сертифицированным УЦ. Аккредитация УЦ в Минкомсвязи позволяет УЦ издавать квалифицированные сертификаты. Что позволяет признавать ЭП, проверяемые такими сертификатами, равнозначными рукописным подписям. Можете уточнить свою задачу? Вы хотите организовать юридически значимый электронный документооборот? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
veselov-pv Опубликовано 5 Октября 2016 Автор Жалоба Поделиться Опубликовано 5 Октября 2016 Добрый день. Нужно организовать защищенный доступ клиентов к web-приложениям с шифрованием по ГОСТ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
BRV Опубликовано 5 Октября 2016 Жалоба Поделиться Опубликовано 5 Октября 2016 TLS ГОСТ? односторонний или двусторонний TLS? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
veselov-pv Опубликовано 5 Октября 2016 Автор Жалоба Поделиться Опубликовано 5 Октября 2016 Да. Лучше двусторонний, но буду благодарен за разъяснение и одностороннего. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
veselov-pv Опубликовано 6 Октября 2016 Автор Жалоба Поделиться Опубликовано 6 Октября 2016 Обязательно ли для получения сертификатов клиента и веб-сервера использовать сертифицированный УЦ? В итоге, должно получиться, что клинет на сайте посмотрел и скачал свои персональные данные. Если обязательно, то использовать "ViPNet Administrator - это базовый программный комплекс для настройки и управления защищенной сетью, включающий в себя: ViPNet NCC (Центр управления сетью, ЦУС) — программное обеспечение, предназначенное для конфигурирования и управления виртуальной защищенной сетью ViPNet; ViPNet KC & CA (Удостоверяющий и ключевой центр, УКЦ) — программное обеспечение, которое выполняет функции центра формирования ключей шифрования и персональных ключей пользователей —Ключевого центра, а также функции Удостоверяющего центра." (http://www.infotecs.ru/products/line/custom.php) - нельзя. И нужно отдельно покупать ViPNet УЦ 4? и расскажите, пожалуйста, в чем разница между ViPNet KC & CA и ViPNet УЦ 4? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 6 Октября 2016 Жалоба Поделиться Опубликовано 6 Октября 2016 Недавно общался с КБ, там они могут вам дать под роспись криптошлюз попрользоваться.. т.е. его ставите у себя.. и всем остальным Континенты АП раздаёте.. у них и т.п. всё устроит и объяснит.. или обратились бы в Криптопро.. там тоже могут помочь. Пока у вас есть выбор рассмотрите все варианты, а то потом будет поздно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 7 Октября 2016 Жалоба Поделиться Опубликовано 7 Октября 2016 Варианты это, конечно, хорошо, но я, обычно, начинаю с рассмотрения ценников. Желание строить публичный, а тем более - аккредитованный УЦ как-то сразу пропадает. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
veselov-pv Опубликовано 7 Октября 2016 Автор Жалоба Поделиться Опубликовано 7 Октября 2016 Если рассматривать вариант с односторонним TLS, то на web-сервере необходимо: - поставить VipNet CSP; - получить квалифицированный сертификат проверки подлинности сервера из любого аккредитованного УЦ; - В IIS в настройках безопасности для какой-нибудь страницы выбрать "необходимо защищенное соединение" и "игнорировать клиентский сертификат" (может и не так, не помню как они точно называются). А клиенту ставится только VipNet CSP и обязуем его для защищенного доступа к web-странице пользоваться только IE. И тут возникает пара вопросов: 1. Для обеспечения требований 21 приказа ФСТЭК, а именно: Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу. 8.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности). Можно ли в данном случае будет считать, что аутентификация клиента на сервере будет проходить по логину и паролю (личный кабинет)? Правомерна ли будет передача ПДн как со стороны клиента (выгрузка документов), так и со стороны сервера (клиент скачивает документ)? 2. Вопрос по оценке влияния. В документах на VipNet CSP написано, "Встраивание в приложения. Разработка ПО на основе СКЗИ ViPNet CSP может производиться без создания новых СКЗИ в случае использования вызовов функций из перечня, приведенного в Приложении 1." Как понимаю, можно использовать, без оценки влияния, ПО входящее в состав операционной системы Winows (IISS, IE, Microsoft office), но в случае, если web-сервер построен на Apache, то можно ли использовать связку Apache + Trusted TLS + VipNetCSP без оценки влияния? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 10 Октября 2016 Жалоба Поделиться Опубликовано 10 Октября 2016 http://trusted.ru/ - "Программный продукт Trusted TLS 3 ... веб-серверах Apache HTTP Server и nginx. Поддержка сертифицированных в РФ алгоритмов электронной подписи, шифрования файлов и канала передачи информации реализована посредством вызова функций криптопровайдера «КриптоПро CSP»." Apache httpd может использовать IIS в качестве фронтэнда, но поймёт ли он при этом информацию об используемых IIS-ом криптоалгоритмах ... С другой стороны, если требуется просто защищённый канал (без авторизации/аутенификации на клиентских сертификатах) ... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.