Jump to content

Recommended Posts

После изучения формуляра ФРКЕ.00116-03 30 01 ФО  сложилось неоднозначное впечатление по поводу  использования «Vipnet Client 4» исполнения 3   без выполнения требований к  наличию  АМДЗ, ViPNet SysLocker и т.д.  В пункте формуляра  5 Свидетельство о приемке  указывается вариант исполнения, но при этом в пункте 4 Комплектность для всех вариантов исполнения указан один дистрибутив. Также в руководствах пользователя к  Vipnet Client 4 и Vipnet CSP 4 указаны необходимые условия для обеспечения защиты по классу КС3(исполнение 3).

Возникает вопрос:

Будет ли «Vipnet Client 4» исполнения 3 без использования АМДЗ  соответствовать  классу КС1 (т.е. вариант исполнения 1)?

Share this post


Link to post
Share on other sites

Конечно будет. Только если у вас версия КС3 вы не сможете из него "исключить" внутренний контроль и использовать такой клиент будет крайне не удобно. Он постоянно будет сбоить, запрашивать пароли.. а если сбой чуть больше "простого", то чтоб пересчитать КС у вас не будет пароля администратора (скорее всего его не кто не даст) и вам останется только выход - полной переустановки.

Так что если вам надо КС1, поставьте версию с сайта, а КС3 "выкиньте".

Share this post


Link to post
Share on other sites
В 08.10.2016в18:29, Vintik сказал:

Только если у вас версия КС3 вы не сможете из него "исключить" внутренний контроль и использовать такой клиент будет крайне не удобно.

Так вроде же дистрибутив одинаковый во всех 3 вариантах.

 

var.jpg

Share this post


Link to post
Share on other sites

Ах вон оно как, ну тогда ещё проще. В версии 3 помню точно разные сборки были, а тут значит упростили.

Я видел формуляр на 4,2 ФРКЕ.00106-03 99 01 ПП 

Тогда поспорим что та пишут:

-  устройство типа «электронный замок» (только для вариантов исполнения 2 и 3); 
-  программа  ViPNet  SysLocker для настройки замкнутой  среды 
функционирования криптосредства (далее  –  СФК)  (только для варианта 
исполнения 3). 

...

Для обеспечения защиты по классам КС2 (вариант исполнения 2)  и KC3 (вариант 
исполнения 3) требований ФСБ России к шифровальным (криптографическим) средствам, 
предназначенным для защиты информации, не содержащей сведений, составляющих 
государственную тайну, СКЗИ ViPNet CSP (варианты исполнения 2, 3) должно работать 
совместно со средством защиты от несанкционированного доступа (далее  –  НСД) типа 
«электронный замок», сертифицированным ФСБ России по требованиям к аппаратно-
программным модулям доверенной загрузки. 
Для обеспечения защиты по классу KC3 (вариант исполнения  3) требований ФСБ 
России к шифровальным (криптографическим) средствам, предназначенным для защиты 
информации, не содержащей сведений, составляющих государственную тайну,  совместно с 
СКЗИ ViPNet CSP (вариант исполнения 3) должен быть установлен  компонент  ViPNet 
SysLocker (модуль защиты СФК) в соответствии с [3]. 
 ....

Должна быть обеспечена антивирусная защита СКЗИ ViPNet CSP и СФК путем 
использования сертифицированных ФСБ России антивирусных средств. Класс антивирусных 
средств защиты определяется условиями эксплуатации СКЗИ. 

....

Для вариантов  исполнения 2 и 3 настройка BIOS определяется эксплуатационной 
документацией на сертифицированное средство защиты от НСД типа «электронный замок», 
входящее в состав СКЗИ. 
В BIOS должен быть установлен один вариант загрузки ОС  –  с жесткого диска, все 
альтернативные варианты загрузки должны быть отключены, в том числе сетевая загрузка.  
Вход в BIOS компьютера должен быть защищен паролем, к которому предъявляются те 
же требования, что и к паролю учетной записи администратора системы. Пароль для входа в 
BIOS должен быть известен только администратору системы и быть отличным от пароля для 
входа в систему. 
Средствами BIOS должна быть исключена возможность работы на компьютере с 
установленным СКЗИ ViPNet CSP  в случае, если во время начальной загрузки не проходят 
встроенные тесты. 

...

Для  вариантов исполнения 2 и 3  СКЗИ ViPNet CSP  необходимо включить  в список 
контроля целостности устройства типа «электронный замок» список исполняемых модулей 
ОС. Список модулей, подлежащих контролю целостности, приведен в Приложении 2. 

...

На каждое рабочее место, оснащенное СКЗИ ViPNet CSP, оформляется акт о вводе в 
эксплуатацию по типовой форме. Акт может храниться у администратора безопасности или у 
пользователя, ответственного за эксплуатацию СКЗИ ViPNet CSP. 

...

Для вариантов исполнения 2 и 3 СКЗИ  ViPNet  CSP  дополнительно для препятствия 
извлечению устройства типа «электронный замок» из компьютера системные блоки 
компьютера должны быть опечатаны предназначенной для этих целей печатью или 
специальными защитными знаками. Наряду с этим допускается применение других средств 
контроля доступа к компьютеру. 

======

Ну и как итог: Если выполните то что описано выше (отрываками из формуляра) то будет КС1 и 2 и 3,

если выполните условия.

Т.е. например поставили Клиента , без жележки и без ЗПС - у вас КС1 как бы НО не тут то было, т.к.

по требованию к СКЗИ где антивирус ФСБшны и там подтягивается ФСТЭК - нет его, значит не выполнили условия и нет у вас КС1 ;-)

 

 

 

Share this post


Link to post
Share on other sites
43 минуты назад, Vintik сказал:

Ах вон оно как, ну тогда ещё проще. В версии 3 помню точно разные сборки были, а тут значит упростили.

 

В Vipnet Client 3  КС3  если не выпонить требования по наличию АМДЗ, то по сути получается  использование СКЗИ  не в соответсвии с формуляром и  ни о каком КС3 и более низком классе не может быть речи, т.к. сертификат и формуляр чисто на  КС3.

 

55 минут назад, Vintik сказал:

Ну и как итог: Если выполните то что описано выше (отрываками из формуляра) то будет КС1 и 2 и 3,

По Vipnet Client 4  КС3 картина немного другая.  В  Формуляре есть пункт   5 Свидетельство о приемке в котором указывается вариант исполнения, в нашем случае 3. Из этого следует, что именно этот комплект соответсвует исполнению 3. Но тут есть момент, что дистрибутив одинаковый для всех исполнений.

И тут у меня 2 позиции:

  • техническая  -   если не выполнять  все требования,  класс  должен соответсвовать тому, требования которого выполнены;
  • бюрократическая  - использование не в соответсвии с формуляром(т.к. в формуляре указан конкретный вариант исполнения и конкретные требования для него).

Хотелось бы увидеть комментарий  Администрации форума по данному вопросу .

Share this post


Link to post
Share on other sites

Ах вон вы про что, а откуда тогда у вас первая таблица по исполнениям?

У "меня" (который поставляли) в формуляре (  ФРКЕ.00106-03 99 01 ПП  ) нет такого пункта, или не нашёл. А какая сборка (билд) у вас? Если смотреть "О" там у вас пишется - КС3, как это бвло в версиях 3,2 или нет? Я вам говорил о версии КС2 - ViPNetClient43(2_37273)КС2, но как видели, там написано было и про исполнение КС3, но написано одно, а на деле может быть совсем другое. Именно потому, на примерах с 3,2 (ниже не видел и как говорят слава Инфотексу, пронесло ))) но там как вы наверно знаете если сборка КС2 то что бы ты с ней не делал, как исполнение КС3 она не когда работать не будет.

В ViPNetClient43(2_37273)КС2 - "О" я не увидел отметки "КС2", так что возможно вы правы и они всё "сравняли" под одно. Может это потому что ЦСП отделили, а клиент совсем остался только "шкуркой" для управление потеряв последнюю связь с СКЗИ. Не знаю. Но желаю удачи в получении ответа от Администрации. Скоро год пройдёт как жду ответа о "цифорках", но после трёх говорят забывают... Так что советую по вашему более серьёзному вопросу на сапорт им отписать. Там ответа вы тоже не получите, если нет тех.п., но всё же вдруг повезёт. К тому же диск у вас есть, формуляр тоже, есть большой шанс, что по запросу вам вышлют другой формуляр и всё будет прекрасно.

И в вашем формуляре не описывается разве как его можно использовать по КС1 и КС2 ? Вот если бы наоборот типа с КС1 (которых по моему нет, но все покупают КС2 и спокйно его использут без железки - получая КС1 и всё это реально и законно), Потому если в вашем случае описывается КС3, но есть информация, что без ЗПС и Железки - он будет только исполения 1, то думаю можно забить на пункт 5 т.к. вы его используете как КС1 и у вас будет АКТ о введении его в действия именно как КС1. Т.е. типа "Применяется СКЗИ №12345 КС3 в варианте исполнения КС1..".

А вот при исполнении КС2 и 3 я видно пропускаю, поправьте, где указано там, что надо переключать на ДСЧ аппаратный? М? Применяя такое в КриптоПро там указано это и еть возможность. (Очень "смешно" когда встречал как применяли ПО их КС2 типа, убирали биолог. датчик и оставляли только Аккорд и Соболь, да только вот железки это не кто не вставлял и когда не опытный человек пытался сделать ту же подпись, то понятно не чего не получал.. в итоге "по тихому" возвращали биолог. батчик, крутили мышкой, генерировали и отключали его обратно - ой кошмарики :-) А вы переживаете с КС3 на КС1 спуститься, при этом имея 100% дистрибутив.

Удачи.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.