Размещение Publication Service

[Buravchik]

Доброго дня!

Имеем УЦ на VipNet 4.6 состоящий из Координатора и связанного с ним машины  ЦУС и УКЦ  и машины Регпоитом.

Доступ в интернет имеет соответственно только координатор. Подскажите где нам проще разместить Vipnet Publication Service для автоматизации публикации и загрузки СОС? Возможно ли это сделать на Координаторе? Если да, то как? Для Координатора в ЦУС не могу добавить соответствующую роль.

[Xenobius]

Сервис публикаций, полагаю, лучше сделать на отдельной машине. Ну уж точно не на координаторе.

[Buravchik]

А на координаторе это неправильно/невозможно? Отдельную машину под эти задачи не хотелось бы разворачивать т.к. мне кажется что это нецелесообразно.

[Xenobius]

Полагаю лучше всего, если есть возможность, обратиться к документу "Требования по размещению и эксплуатации" (или что-то в этом роде), который поставляется с каждым продуктом ViPNet.

Как считаете, целесообразно делать отдельные машины для ЦУС и УКЦ? Например, в версии "ViPNet Администратор 3" технически есть возможность устать всё это на одна машину. В четвёрке уже нет - нужно всё организовывать на разных рабочих местах. В "КриптоПро УЦ" точно также - Сервер Сертификации и Сервер Регистрации это совершенно разные машины. То, что касается СКЗИ и требований к ним, специалисту не очень плотно с этим всем сталкивающимся, часто кажется "нецелесообразным".

Например, интегратор устанавливает новую сеть ViPNet. Заказчик, из числа технических специалистов, говорит, давайте поставим рабочее место администратора сети ViPNet в серверной, мотивируя это тем, что туда "вааще никто лишний не ходит". На что инженер по информационной безопасности говорит, что нет, так делать нельзя, так как в серверную ходит народ не имеющий отношения к СКЗИ вообще и к ViPNet в частности. Техническому специалисту, кстати, самому главному админу на предприятии, совершенно это не понятно, и дело ему нет, что в серверную ходят не причастные к СКЗИ работники. Потому что "ЭТО ЖЕ СЕРВЕРНАЯ!" Интегратору, в общем-то, всё равно - ему нужно сеть поднять, за которую заказчик платит деньги, и делает так, как говорит главный админ - ведь это ИТ-бюджет, и вообще кто такой этот "инженер поибэ", чтобы говорить ему что и как делать. Но инженер по ИБ, получив всю документацию на "ViPNet Администратор", и НЕМНОГО (!) изучив её, находит чётко прописанное требование как раз в документе "Требования по эксплуатации" от разработчика, где в пункте 8 раздела 3 сказано: "Исключить установку "ViPNet Администратор" в помещение, куда имеют доступ лица не имеющие отношения к ViPNet". А есть такой документ ПКЗ-2005, в котором пункт 46 гласит: "СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России и специализированной организацией, проводившей тематические исследования СКЗИ". Правила пользования, как понятно, устанавливает разработчик в соответствующих документах. В пункте 51 этого же документа сказано, что Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется (кроме прочих) ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи". И если вдруг Вы работаете не в государственном учреждении, а в коммерческой организации, не обольщайтесь - придут и к вам. Одни вот тоже думали, пока план проверок на нынешний год не увидели...

Поэтому пусть Координатор делает отдельно своё дело, а Сервис Публикации - отдельно своё. Даже если это кажется нецелесообразным.

[SMC]

Есть положительный опыт по расположению Publication Service как на ПК с УКЦ, так и на Координаторе. Он публикует сертификаты и подтягивает СОСы от других УЦ. Это вообще не нагрузка и он никак не помешает работе других приложений. Тем более в 4.6 он ставится по отдельному ключу и его не нужно заводить как СУ.

[Xenobius]

Так дело же не в нагрузке, а в допустимости установки "всё в одно место" с точки зрения элементарной безопасности и требований регулятора.

[SMC]

Publicatio Service не является СКЗИ в версии 4, соответственно к нему и нужно относиться как к софту, лицензионному софту. Да он входит в состав УЦ. Может открою тайну, но приложение ЦУС 4 и УКЦ 4 то же не СКЗИ. Все теперь вертится на CSP 4 (СКЗИ). СКЗИ являются Client, Coordinator, Registration Point, ...

Регулятор не регулирует эксплуатацию Publicatio Service 4 ))

" В четвёрке уже нет - НУЖНО всё организовывать на разных рабочих местах. " - Xenobius, где такое вычитал.

ИМХО ставить Админ на одну машину и проще и удобнее как минимум для бэкапа (для бэкапа такие же требования по ИБ как и для машины).

[Xenobius]

Да, удобнее в точки зрения сопровождения, бэкапа... Но немного отвлечёмся: а для чего тогда существует возможность установки УКЦ и ЦУС на разные машины?

Возникает чувство (возможно - ошибочное), что с представителями ФСБ на тему СКЗИ Вы ни разу не общались...