Различие Кс2 И Кс3 В Продуктах Vipnet

[drogba15]

Добрый день!

Стоит задача подключить VipNet в организации. Точно известно, что нужно определить КС. Как и кто должен определять какой КС нужен организации? И какие различия между КС2 и КС3 именно в продуктах vipnet?

[slavanchuk]

Почему Вам именно нужен класс КС? Есть ещё КВ и КА - всего шесть вариантов классов. Випнет есть под классы КС1, КС2, КС3, КВ2. Принципиальая разница между КС2 и КС3 - это то, что обязательно используется аппаратный датчик случайных чисел. Вообще, класс выбирается на основе модели угроз. Если Вы - государственный оган или другая организация, оговоренная особым образом в законе ФЗ-152, то модель угроз необходимо согласовывать с ФСБ. Если Вы - частник, то тут Вы вправе решать самостоятельно, но не имеете право занижать уровень нарушителя, так как при первой же проверке Вас скорректируют. Поэтому отталкиваемся именно от модели угроз и обрабатываемых данных. Обычно (но не факт), для защиты персональных данных хватает КС2. Для защиты ДСП в органах исполнительной власти ФСБ рекомендует класс КС3. КВ классы - это уже когда требуется защита от ПЭМИН и НДВ (более высокий уровень нарушителя). Ну а КА - это вообще при ОВ используется, наверное. Поэтому, согласно методическим рекомендациям ФСБ просто определите, для начала, модель нарушителя.

[drogba15]

Спасибо за развернутый ответ. Пока нас интересует только КС2 и КС3. Я как понял моделирование угроз нужно проводить по методическим рекомендациям ФСБ? Хотелось бы увидеть на примере государственного органа, как происходит моделирование угроз.

[slavanchuk]

Спасибо за развернутый ответ. Пока нас интересует только КС2 и КС3. Я как понял моделирование угроз нужно проводить по методическим рекомендациям ФСБ? Хотелось бы увидеть на примере государственного органа, как происходит моделирование угроз.

Нет никакой разницы - государственный орган или нет. Просто мы описываем возможности всех типов нарушителей (допустимых в данной ИС) и приводим их к определённой категории нарушителя. Защищаем по максимальному допустимому нарушителю. Нам, в своё время, моделировали лицензиаты. Сейчас будем проделывать моделирование самостоятельно. Но учтите, что КС3 (Всё, что выше КС2), насколько я помню, внедряется только при контроле ФСБ. Также Вам будет необходима лицензия ФСБ или организация-лицензиат ФСБ.

[drogba15]

А как вы определяете тип и модель угроз? По каким критериям и какие нормативные документы для этого используете? Спасибо

[slavanchuk]

А как вы определяете тип и модель угроз? По каким критериям и какие нормативные документы для этого используете? Спасибо

Из открытых документов есть только один, который позволяет построить модель угроз: Методические рекомендации № 149/5-144 от 21.02.2008 по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России). В остальном, с миру по нитке приходится собирать.

[Кирилл]

Здравствуйте! Ответьте пожалуйста на пару вопросов:

- Представим сеть с клиентами только КС2, всё хорошо, всё работает, и все довольны)), и тут вдруг становится необходимым несколько клиентов с КС2 заменить на КС3 (появился нарушитель Н3, изменилась модель угроз и тд) ВОПРОС: Какие действия придется предпринять для перехода с КС2 на КС3, что придется купить или докупить, и возможна ли работа клиентов КС2 и КС3 в одной сети одновременно?

-Представим некую организацию, с которой нам требуется установить связь посредством VipNet, сеть этой организации построена на КС3, а наша сеть на КС2. ВОПРОС: Не понизится ли класс той организации с КС3 на КС2, если мы подключимся к ней по такой схеме:

(Наша сеть КС2---Наш HW1000)---(Сеть той организации КС3) при условии что только некоторые компьютеры из нашей сети будут взаимодействовать с этой организацией

Спасибо!!!

[slavanchuk]

Опять же, подобные вопросы мы обсуждали уже на форуме. Не существует в криптографии понятия класс защиты сети (даже теоретического). Есть класс защиты конкретного СКЗИ. Подробнее можете почитать здесь: http://www.infotecs.ru/forum/index.php?showtopic=7504 .

Чтобы использовать КС3 вместо КС2 необходимо закупить СКЗИ данного класса (VipNet Client, Administrator и Coordinator) на класс КС3 имеются. Только это другие сборки той же программы. Плюс в эксплуатационной документации больше оговорок и требование использовать аппаратный датчик случайных чисел. Нужно купить дистрибутивы на КС3. А как с лицензиями быть - не подскажу. Ни разу не встречался с апгрейдом у Инфотекс. Тут подход у всех организаций разный. Нужно задать вопрос в отдел продаж - это не вопрос форума.

Клиенты разных классов принципиально по криптографии не различаются и должны друг с другом работать.

[slavanchuk]

Оговорка. В Инфотексе мне сказали, что КВ2 (координатор) несовместим с КС2(3). Это связано, видимо, с особенностью ключевой информации в КВ2, которая заказывается из одноимённой войсковой части. То есть, КВ2 можно связать только с КВ2. Поправьте, если у кого-то есть опыт в использовании данных криптосредств.

[Apostol]

Координатор по КВ2 с одной стороны связывается только с координатором КВ2 с другой стороны. А уже за этими координаторами находятся защищаемые ИС.

[zero]

В 12.09.2013 в 10:12, slavanchuk сказал:

Оговорка. В Инфотексе мне сказали, что КВ2 (координатор) несовместим с КС2(3). Это связано, видимо, с особенностью ключевой информации в КВ2, которая заказывается из одноимённой войсковой части. То есть, КВ2 можно связать только с КВ2. Поправьте, если у кого-то есть опыт в использовании данных криптосредств.

 Технически КВ и КС будут работать, однако аттестовывать такую сеть будут по нижнему классу, а это КС и смысла в КВ уже не будет