Jump to content

Recommended Posts

Вопрос - какой дистрибутив выбрать при создании новой сети. В поставке есть диски и формуляры для версии 3.1 и отдельный диск - релизные версии 3.2. Насколько я понимаю - версия 3.2 еще не сертифицирована, в каких случаях тогда ее можно/нужно использовать? И где можно узнать точные версии сертифицированных сборок Vipnet Custom?

Share this post


Link to post
Share on other sites

Вопрос - какой дистрибутив выбрать при создании новой сети. В поставке есть диски и формуляры для версии 3.1 и отдельный диск - релизные версии 3.2. Насколько я понимаю - версия 3.2 еще не сертифицирована, в каких случаях тогда ее можно/нужно использовать? И где можно узнать точные версии сертифицированных сборок Vipnet Custom?

Не существует сертифицированных ФСБ сборок VipNet Custom. Сборка Vipnet Custom целиком сертифицирована только по ФСТЭК. По ФСБ сертификацию продукты проходят порознь. В части VipNet Client сертификаты имеет только версия 3.1, причём сборка 5056. Она прилагается на диске к формуляру. В формуляре написаны контрольные суммы файлов по которым Вы без труда сможете определить сертифицированную версию.

Share this post


Link to post
Share on other sites

Не существует сертифицированных ФСБ сборок VipNet Custom. Сборка Vipnet Custom целиком сертифицирована только по ФСТЭК. По ФСБ сертификацию продукты проходят порознь. В части VipNet Client сертификаты имеет только версия 3.1, причём сборка 5056. Она прилагается на диске к формуляру. В формуляре написаны контрольные суммы файлов по которым Вы без труда сможете определить сертифицированную версию.

От себя добавлю.

ViPNet Administrator КС2 - 3.2.9.11880 - сертификация по ФСБ

ViPNet Administrator КС3 - 3.2.9.11881 - сертификация по ФСБ

ViPNet Client KC3 - 3.1.1.6238 - сертификация по ФСБ

ViPNet Coordinator KC3 - 3.1.1.6238 - сертификация по ФСБ

ViPNet Client - 3.1.1.5124 - сертификация по ФСТЭК

ViPNet Coordinator - 3.1.1.5124 - сертификация по ФСТЭК

В итоге получаем повод для серьезных раздумий - а какую же версию ПО установить, чтобы удовлетворить и ФСБ, и ФСТЭК?!?

По факту оказывается, что сертификацию прошли абсолютно разные версии ПО. Установив одну версию, удовлетворим ФСТЭК (например, по требованиям МЭ 4 класса), установив другую версию, удовлетворим ФСБ по требованиям криптографии (КС2 или КС3). Также не забываем, что данные сертифицированные версии клиентов довольно старые и недоработанные, и на практике с ними зачастую возникают проблемы.

Остается еще третий вариант - установить релизные версии ПО, при котором не удовлетворим ни ФСБ, ни ФСТЭК, но при этом будем иметь работоспособное решение с минимумом возможных проблем.

Из релизных версий работал с:

ViPNet Client - 3.2.9.11495

ViPNet Client - 3.2.9.13086

ViPNet Coordinator - 3.2.9.11495

ViPNet CSP - 3.2.10.11525

ViPNet CSP - 3.2.11.13882

Share this post


Link to post
Share on other sites

От себя добавлю.

ViPNet Administrator КС2 - 3.2.9.11880 - сертификация по ФСБ

ViPNet Administrator КС3 - 3.2.9.11881 - сертификация по ФСБ

ViPNet Client KC3 - 3.1.1.6238 - сертификация по ФСБ

ViPNet Coordinator KC3 - 3.1.1.6238 - сертификация по ФСБ

ViPNet Client - 3.1.1.5124 - сертификация по ФСТЭК

ViPNet Coordinator - 3.1.1.5124 - сертификация по ФСТЭК

В итоге получаем повод для серьезных раздумий - а какую же версию ПО установить, чтобы удовлетворить и ФСБ, и ФСТЭК?!?

По факту оказывается, что сертификацию прошли абсолютно разные версии ПО. Установив одну версию, удовлетворим ФСТЭК (например, по требованиям МЭ 4 класса), установив другую версию, удовлетворим ФСБ по требованиям криптографии (КС2 или КС3). Также не забываем, что данные сертифицированные версии клиентов довольно старые и недоработанные, и на практике с ними зачастую возникают проблемы.

Остается еще третий вариант - установить релизные версии ПО, при котором не удовлетворим ни ФСБ, ни ФСТЭК, но при этом будем иметь работоспособное решение с минимумом возможных проблем.

Из релизных версий работал с:

ViPNet Client - 3.2.9.11495

ViPNet Client - 3.2.9.13086

ViPNet Coordinator - 3.2.9.11495

ViPNet CSP - 3.2.10.11525

ViPNet CSP - 3.2.11.13882

Полностью согласен. Тем более, что я писал об этом на форуме ранее. К сожалению, в ситуации с 3.1 нет продукта, который можно было бы использовать для защиты персональных данных. Очень надеюсь, что в 3.2 такой проблемы не будет. А самые последние версии мы никакого права вообще не имеем использовать для защиты персональных данных. За это контролирующие органы по головке не погладят.

Кстати, об этом я направлял несколько недель назад официальное письмо от имени нашей организации в Инфотекс. Советую и Вам сделать то же самое, чтобы они знали проблемы и шли к их решению.

Share this post


Link to post
Share on other sites

На дисках, полученных в мае 2012 было

Vipnet Client КС2 - версия 3.1_(1.5056) - дата подписания файла 26.02.2010

Vipnet Координатор КС2 - версия 3.1_(1.5056) - дата подписания такая же

Вопрос - каким образом получили сертифицированные по ФСБ версии 3.2 и написано ли об этих сертификатах где-нибудь?

Share this post


Link to post
Share on other sites

На дисках, полученных в мае 2012 было

Vipnet Client КС2 - версия 3.1_(1.5056) - дата подписания файла 26.02.2010

Vipnet Координатор КС2 - версия 3.1_(1.5056) - дата подписания такая же

Вопрос - каким образом получили сертифицированные по ФСБ версии 3.2 и написано ли об этих сертификатах где-нибудь?

По ФСБ 3.2 клиент и координатор ещё не прошли сертификацию. Только получено положительное решение от ФСБ по данным продуктам. Все имеющиеся сертификаты есть на сайте инфотекса. А, вообще, есть на сайте ФСБ реестр сертифицированных средств защиты. По этому реестру можно посмотреть достоверную информацию.

Share this post


Link to post
Share on other sites

Получили комплект дисков для версии 3.2 - и снова тот же вопрос

Есть диск с сертифицированной ФСБ версией - "ViPNet Administrator 3.2.10.15314 KC2"

И есть диск "ПК VIPNET CUSTOM 3.2 ФСТЭК" - на котором записана другая версия Administrator - 3.2.9.14008

Share this post


Link to post
Share on other sites

Ставьте диск от ФСБ. ФСТЭКовский набор Вам будет не очень полезен.

Share this post


Link to post
Share on other sites

Все еще пытаюсь разобраться в вопросе. Медиа-пак для версии 3.2 включает:

Диск + 2 сертификата ФСБ + формуляр – на Vipnet Client 3.2

Версия Vipnet Client = 3.2.9.13755

Размер файла согласно формуляру = 46724152

Контрольная сумма согласно формуляру = ABCAF88CF408563F1C3629E450B08BDA1791CC3EC0BAE3020B9125C2D233AA60

Диск + 2 сертификата ФСБ + формуляр - на Vipnet Coordinator 3.2

Версия Vipnet Coordinator =3.2.9.13755

Размер файла согласно формуляру = 44943224

Контрольная сумма согласно формуляру = 1F3DCFFD7CE45095B3F1E05F5E614EE9A7BDBAF71D24C7B671BAA077FB43B695

Диск + 1 сертификат ФСБ + формуляр – на Vipnet Administrator 3.2

Версия Vipnet Administrator = 3.2.10.15314

Размер файла согласно формуляру = 23710200

Контрольная сумма согласно формуляру =D9C4815F2521FCF4728C80BE0AA01BC040FE0FD5DF4304326F0F5A36071B4C64

Диск + сертификат ФСТЭК + формуляр на Vipnet Custom 3.2

Версия Vipnet Client = 3.2.10.15393

Размер файла согласно формуляру =46834168

Версия Vipnet Coordinator =3.2.10.15393

Размер файла согласно формуляру =45042040

Версия Vipnet Administrator =3.2.9.14008

Размер файла согласно формуляру =23599936

В то же время, в сертификате ФСТЭК есть слова: "... а также может использоваться при создании автоматизированных систем до класса защищенности 1В включительно и для защиты информации в испдн до 1 класса включительно"

Получается, для защиты испдн - нужна как раз ФСТЭК-версия?

Share this post


Link to post
Share on other sites

И да, и нет. Для защиты ПДн необходимы средства защиты, прошедшие оценку соответствия - это и сертификаты ФСБ, и сертификаты ФСТЭК. Но смотрим дальше подзаконные акты. Что касается шифрования - тут подходят только сертификаты ФСБ. А что касается сетевых экранов - только сертификаты ФСТЭК. Поэтому, как средство шифрования данных, передаваемых по открытым каналам связи, мы можем использовать продукт, исключительно сертифицированный ФСБ. А в качестве сетевого экрана мы можем использовать только версию VipNet Custom 3.2, которая имеет проверку НДВ и оценку соответствия МСЭ. Как исключительно сетевой экран VipNet Custom - это перебор, так как это всё-таки средство создания VPN сетей и без криптографии мы обойтись не можем. Поэтому, на данный момент, мы можем использовать ФСБ-шную версию. Счастье есть только в одном вопросе - в инфотексе всё-таки сертифицировали по обоим направлениям линейку HW (по крайней мере, по имеющимся формулярам невозможно понять что там залито и, соответственно, нельзя увидеть несоответствие сертификату). Поэтому, в качестве сетевых экранов и криптосредств стоит использовать HW100/1000, а в качестве криптосредств - VipNet Client/Coordinator/Administrator. Но нужно иметь ввиду, что на клиентах и простых координаторах декларировать сетевой экран как защиту - это прямое нарушение в связи с несоответствием двух дистрибутивов (о чём я писал ранее на форуме).

Итог - ФСТЭКовскую версию использовать крайне проблематично. Используйте версию ФСБ без декларации использования сетевых экранов (в случае защиты персональных данных). Для сетевого экранирования используйте линейку HW.

P.S. Это Вы ещё не обратили внимание на вопрос сертификации по требованиям к средствам электронной подписи :)

Очень надеюсь, что в 3.2 такой проблемы не будет.

В 3.2 такая проблема осталась.

Share this post


Link to post
Share on other sites

Все-таки остановлюсь на дистрибутиве от ФСТЭК, ибо в его формуляре есть слова:

“Vipnet Custom 3.2 создан на базе СКЗИ Vipnet Administrator 3.2 (сертифицированного в ФСБ по классу КС2),

СКЗИ Vipnet Client 3.2(сертифицированного в ФСБ по классу КС2), СКЗИ Vipnet Coordinator 3.2(сертифицированного в ФСБ по классу КС2) и СКЗИ Vipnet Координатор КС2 Linuч”

Что с формальной точки зрения оправдывает его использование, и подразумевает сертификацию ФСБ

Share this post


Link to post
Share on other sites

Не могу с Вами согласиться. Создан на базе и сертифицирован - разные вещи. По факту, контрольные суммы криптографических модулей - разные. Вопрос будет в том, как Вы будете объяснять разницу между контрольными суммами проверяющему. Во ФСТЭКовской сборке нет сертифицированной криптографии. Лично я бы не рекомендовал Вам её использовать. Задавал вопрос в ФСБ (официальный запрос). Рекомендовали использовать то, что имеет сертификат. А по ФСТЭКовской линии, получается, что минус. Так что, именно формальная сторона-то и не выполнена. Общался по этому поводу с Инфотекс (официально и лично) - пока что только обещания поправить положение. Будем ждать. Кстати говоря, положительные тенденции намечаются. Одно только то, что VipNet CSP выносят как отдельный опциональный модуль для VipNet Client (не встраивают) в версии 4.0 - уже большая радость. Также обещают пересмотреть процесс сертификации.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.