Buravchik Опубликовано 30 Октября 2016 Жалоба Поделиться Опубликовано 30 Октября 2016 Доброго дня! Имеем УЦ на VipNet 4.6 состоящий из Координатора и связанного с ним машины ЦУС и УКЦ и машины Регпоитом. Доступ в интернет имеет соответственно только координатор. Подскажите где нам проще разместить Vipnet Publication Service для автоматизации публикации и загрузки СОС? Возможно ли это сделать на Координаторе? Если да, то как? Для Координатора в ЦУС не могу добавить соответствующую роль. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 30 Октября 2016 Жалоба Поделиться Опубликовано 30 Октября 2016 Сервис публикаций, полагаю, лучше сделать на отдельной машине. Ну уж точно не на координаторе. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Buravchik Опубликовано 31 Октября 2016 Автор Жалоба Поделиться Опубликовано 31 Октября 2016 А на координаторе это неправильно/невозможно? Отдельную машину под эти задачи не хотелось бы разворачивать т.к. мне кажется что это нецелесообразно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 31 Октября 2016 Жалоба Поделиться Опубликовано 31 Октября 2016 Полагаю лучше всего, если есть возможность, обратиться к документу "Требования по размещению и эксплуатации" (или что-то в этом роде), который поставляется с каждым продуктом ViPNet. Как считаете, целесообразно делать отдельные машины для ЦУС и УКЦ? Например, в версии "ViPNet Администратор 3" технически есть возможность устать всё это на одна машину. В четвёрке уже нет - нужно всё организовывать на разных рабочих местах. В "КриптоПро УЦ" точно также - Сервер Сертификации и Сервер Регистрации это совершенно разные машины. То, что касается СКЗИ и требований к ним, специалисту не очень плотно с этим всем сталкивающимся, часто кажется "нецелесообразным". Например, интегратор устанавливает новую сеть ViPNet. Заказчик, из числа технических специалистов, говорит, давайте поставим рабочее место администратора сети ViPNet в серверной, мотивируя это тем, что туда "вааще никто лишний не ходит". На что инженер по информационной безопасности говорит, что нет, так делать нельзя, так как в серверную ходит народ не имеющий отношения к СКЗИ вообще и к ViPNet в частности. Техническому специалисту, кстати, самому главному админу на предприятии, совершенно это не понятно, и дело ему нет, что в серверную ходят не причастные к СКЗИ работники. Потому что "ЭТО ЖЕ СЕРВЕРНАЯ!" Интегратору, в общем-то, всё равно - ему нужно сеть поднять, за которую заказчик платит деньги, и делает так, как говорит главный админ - ведь это ИТ-бюджет, и вообще кто такой этот "инженер поибэ", чтобы говорить ему что и как делать. Но инженер по ИБ, получив всю документацию на "ViPNet Администратор", и НЕМНОГО (!) изучив её, находит чётко прописанное требование как раз в документе "Требования по эксплуатации" от разработчика, где в пункте 8 раздела 3 сказано: "Исключить установку "ViPNet Администратор" в помещение, куда имеют доступ лица не имеющие отношения к ViPNet". А есть такой документ ПКЗ-2005, в котором пункт 46 гласит: "СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ". Правила пользования, как понятно, устанавливает разработчик в соответствующих документах. В пункте 51 этого же документа сказано, что Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется (кроме прочих) ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи". И если вдруг Вы работаете не в государственном учреждении, а в коммерческой организации, не обольщайтесь - придут и к вам. Одни вот тоже думали, пока план проверок на нынешний год не увидели... Поэтому пусть Координатор делает отдельно своё дело, а Сервис Публикации - отдельно своё. Даже если это кажется нецелесообразным. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
SMC Опубликовано 7 Ноября 2016 Жалоба Поделиться Опубликовано 7 Ноября 2016 Есть положительный опыт по расположению Publication Service как на ПК с УКЦ, так и на Координаторе. Он публикует сертификаты и подтягивает СОСы от других УЦ. Это вообще не нагрузка и он никак не помешает работе других приложений. Тем более в 4.6 он ставится по отдельному ключу и его не нужно заводить как СУ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 7 Ноября 2016 Жалоба Поделиться Опубликовано 7 Ноября 2016 Так дело же не в нагрузке, а в допустимости установки "всё в одно место" с точки зрения элементарной безопасности и требований регулятора. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
SMC Опубликовано 7 Ноября 2016 Жалоба Поделиться Опубликовано 7 Ноября 2016 Publicatio Service не является СКЗИ в версии 4, соответственно к нему и нужно относиться как к софту, лицензионному софту. Да он входит в состав УЦ. Может открою тайну, но приложение ЦУС 4 и УКЦ 4 то же не СКЗИ. Все теперь вертится на CSP 4 (СКЗИ). СКЗИ являются Client, Coordinator, Registration Point, ... Регулятор не регулирует эксплуатацию Publicatio Service 4 )) " В четвёрке уже нет - НУЖНО всё организовывать на разных рабочих местах. " - Xenobius, где такое вычитал. ИМХО ставить Админ на одну машину и проще и удобнее как минимум для бэкапа (для бэкапа такие же требования по ИБ как и для машины). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Xenobius Опубликовано 7 Ноября 2016 Жалоба Поделиться Опубликовано 7 Ноября 2016 Да, удобнее в точки зрения сопровождения, бэкапа... Но немного отвлечёмся: а для чего тогда существует возможность установки УКЦ и ЦУС на разные машины? Возникает чувство (возможно - ошибочное), что с представителями ФСБ на тему СКЗИ Вы ни разу не общались... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.