Jump to content

Recommended Posts

После изучения формуляра ФРКЕ.00116-03 30 01 ФО  сложилось неоднозначное впечатление по поводу  использования «Vipnet Client 4» исполнения 3   без выполнения требований к  наличию  АМДЗ, ViPNet SysLocker и т.д.  В пункте формуляра  5 Свидетельство о приемке  указывается вариант исполнения, но при этом в пункте 4 Комплектность для всех вариантов исполнения указан один дистрибутив. Также в руководствах пользователя к  Vipnet Client 4 и Vipnet CSP 4 указаны необходимые условия для обеспечения защиты по классу КС3(исполнение 3).

Возникает вопрос:

Будет ли «Vipnet Client 4» исполнения 3 без использования АМДЗ  соответствовать  классу КС1 (т.е. вариант исполнения 1)?

Share this post


Link to post
Share on other sites

Конечно будет. Только если у вас версия КС3 вы не сможете из него "исключить" внутренний контроль и использовать такой клиент будет крайне не удобно. Он постоянно будет сбоить, запрашивать пароли.. а если сбой чуть больше "простого", то чтоб пересчитать КС у вас не будет пароля администратора (скорее всего его не кто не даст) и вам останется только выход - полной переустановки.

Так что если вам надо КС1, поставьте версию с сайта, а КС3 "выкиньте".

Share this post


Link to post
Share on other sites
В 08.10.2016в18:29, Vintik сказал:

Только если у вас версия КС3 вы не сможете из него "исключить" внутренний контроль и использовать такой клиент будет крайне не удобно.

Так вроде же дистрибутив одинаковый во всех 3 вариантах.

 

var.jpg

Share this post


Link to post
Share on other sites

Ах вон оно как, ну тогда ещё проще. В версии 3 помню точно разные сборки были, а тут значит упростили.

Я видел формуляр на 4,2 ФРКЕ.00106-03 99 01 ПП 

Тогда поспорим что та пишут:

-  устройство типа «электронный замок» (только для вариантов исполнения 2 и 3); 
-  программа  ViPNet  SysLocker для настройки замкнутой  среды 
функционирования криптосредства (далее  –  СФК)  (только для варианта 
исполнения 3). 

...

Для обеспечения защиты по классам КС2 (вариант исполнения 2)  и KC3 (вариант 
исполнения 3) требований ФСБ России к шифровальным (криптографическим) средствам, 
предназначенным для защиты информации, не содержащей сведений, составляющих 
государственную тайну, СКЗИ ViPNet CSP (варианты исполнения 2, 3) должно работать 
совместно со средством защиты от несанкционированного доступа (далее  –  НСД) типа 
«электронный замок», сертифицированным ФСБ России по требованиям к аппаратно-
программным модулям доверенной загрузки. 
Для обеспечения защиты по классу KC3 (вариант исполнения  3) требований ФСБ 
России к шифровальным (криптографическим) средствам, предназначенным для защиты 
информации, не содержащей сведений, составляющих государственную тайну,  совместно с 
СКЗИ ViPNet CSP (вариант исполнения 3) должен быть установлен  компонент  ViPNet 
SysLocker (модуль защиты СФК) в соответствии с [3]. 
 ....

Должна быть обеспечена антивирусная защита СКЗИ ViPNet CSP и СФК путем 
использования сертифицированных ФСБ России антивирусных средств. Класс антивирусных 
средств защиты определяется условиями эксплуатации СКЗИ. 

....

Для вариантов  исполнения 2 и 3 настройка BIOS определяется эксплуатационной 
документацией на сертифицированное средство защиты от НСД типа «электронный замок», 
входящее в состав СКЗИ. 
В BIOS должен быть установлен один вариант загрузки ОС  –  с жесткого диска, все 
альтернативные варианты загрузки должны быть отключены, в том числе сетевая загрузка.  
Вход в BIOS компьютера должен быть защищен паролем, к которому предъявляются те 
же требования, что и к паролю учетной записи администратора системы. Пароль для входа в 
BIOS должен быть известен только администратору системы и быть отличным от пароля для 
входа в систему. 
Средствами BIOS должна быть исключена возможность работы на компьютере с 
установленным СКЗИ ViPNet CSP  в случае, если во время начальной загрузки не проходят 
встроенные тесты. 

...

Для  вариантов исполнения 2 и 3  СКЗИ ViPNet CSP  необходимо включить  в список 
контроля целостности устройства типа «электронный замок» список исполняемых модулей 
ОС. Список модулей, подлежащих контролю целостности, приведен в Приложении 2. 

...

На каждое рабочее место, оснащенное СКЗИ ViPNet CSP, оформляется акт о вводе в 
эксплуатацию по типовой форме. Акт может храниться у администратора безопасности или у 
пользователя, ответственного за эксплуатацию СКЗИ ViPNet CSP. 

...

Для вариантов исполнения 2 и 3 СКЗИ  ViPNet  CSP  дополнительно для препятствия 
извлечению устройства типа «электронный замок» из компьютера системные блоки 
компьютера должны быть опечатаны предназначенной для этих целей печатью или 
специальными защитными знаками. Наряду с этим допускается применение других средств 
контроля доступа к компьютеру. 

======

Ну и как итог: Если выполните то что описано выше (отрываками из формуляра) то будет КС1 и 2 и 3,

если выполните условия.

Т.е. например поставили Клиента , без жележки и без ЗПС - у вас КС1 как бы НО не тут то было, т.к.

по требованию к СКЗИ где антивирус ФСБшны и там подтягивается ФСТЭК - нет его, значит не выполнили условия и нет у вас КС1 ;-)

 

 

 

Share this post


Link to post
Share on other sites
43 минуты назад, Vintik сказал:

Ах вон оно как, ну тогда ещё проще. В версии 3 помню точно разные сборки были, а тут значит упростили.

 

В Vipnet Client 3  КС3  если не выпонить требования по наличию АМДЗ, то по сути получается  использование СКЗИ  не в соответсвии с формуляром и  ни о каком КС3 и более низком классе не может быть речи, т.к. сертификат и формуляр чисто на  КС3.

 

55 минут назад, Vintik сказал:

Ну и как итог: Если выполните то что описано выше (отрываками из формуляра) то будет КС1 и 2 и 3,

По Vipnet Client 4  КС3 картина немного другая.  В  Формуляре есть пункт   5 Свидетельство о приемке в котором указывается вариант исполнения, в нашем случае 3. Из этого следует, что именно этот комплект соответсвует исполнению 3. Но тут есть момент, что дистрибутив одинаковый для всех исполнений.

И тут у меня 2 позиции:

  • техническая  -   если не выполнять  все требования,  класс  должен соответсвовать тому, требования которого выполнены;
  • бюрократическая  - использование не в соответсвии с формуляром(т.к. в формуляре указан конкретный вариант исполнения и конкретные требования для него).

Хотелось бы увидеть комментарий  Администрации форума по данному вопросу .

Share this post


Link to post
Share on other sites

Ах вон вы про что, а откуда тогда у вас первая таблица по исполнениям?

У "меня" (который поставляли) в формуляре (  ФРКЕ.00106-03 99 01 ПП  ) нет такого пункта, или не нашёл. А какая сборка (билд) у вас? Если смотреть "О" там у вас пишется - КС3, как это бвло в версиях 3,2 или нет? Я вам говорил о версии КС2 - ViPNetClient43(2_37273)КС2, но как видели, там написано было и про исполнение КС3, но написано одно, а на деле может быть совсем другое. Именно потому, на примерах с 3,2 (ниже не видел и как говорят слава Инфотексу, пронесло ))) но там как вы наверно знаете если сборка КС2 то что бы ты с ней не делал, как исполнение КС3 она не когда работать не будет.

В ViPNetClient43(2_37273)КС2 - "О" я не увидел отметки "КС2", так что возможно вы правы и они всё "сравняли" под одно. Может это потому что ЦСП отделили, а клиент совсем остался только "шкуркой" для управление потеряв последнюю связь с СКЗИ. Не знаю. Но желаю удачи в получении ответа от Администрации. Скоро год пройдёт как жду ответа о "цифорках", но после трёх говорят забывают... Так что советую по вашему более серьёзному вопросу на сапорт им отписать. Там ответа вы тоже не получите, если нет тех.п., но всё же вдруг повезёт. К тому же диск у вас есть, формуляр тоже, есть большой шанс, что по запросу вам вышлют другой формуляр и всё будет прекрасно.

И в вашем формуляре не описывается разве как его можно использовать по КС1 и КС2 ? Вот если бы наоборот типа с КС1 (которых по моему нет, но все покупают КС2 и спокйно его использут без железки - получая КС1 и всё это реально и законно), Потому если в вашем случае описывается КС3, но есть информация, что без ЗПС и Железки - он будет только исполения 1, то думаю можно забить на пункт 5 т.к. вы его используете как КС1 и у вас будет АКТ о введении его в действия именно как КС1. Т.е. типа "Применяется СКЗИ №12345 КС3 в варианте исполнения КС1..".

А вот при исполнении КС2 и 3 я видно пропускаю, поправьте, где указано там, что надо переключать на ДСЧ аппаратный? М? Применяя такое в КриптоПро там указано это и еть возможность. (Очень "смешно" когда встречал как применяли ПО их КС2 типа, убирали биолог. датчик и оставляли только Аккорд и Соболь, да только вот железки это не кто не вставлял и когда не опытный человек пытался сделать ту же подпись, то понятно не чего не получал.. в итоге "по тихому" возвращали биолог. батчик, крутили мышкой, генерировали и отключали его обратно - ой кошмарики :-) А вы переживаете с КС3 на КС1 спуститься, при этом имея 100% дистрибутив.

Удачи.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.