Jump to content

Recommended Posts

Добрый день!

Стоит задача подключить VipNet в организации. Точно известно, что нужно определить КС. Как и кто должен определять какой КС нужен организации? И какие различия между КС2 и КС3 именно в продуктах vipnet?

Share this post


Link to post
Share on other sites

Почему Вам именно нужен класс КС? Есть ещё КВ и КА - всего шесть вариантов классов. Випнет есть под классы КС1, КС2, КС3, КВ2. Принципиальая разница между КС2 и КС3 - это то, что обязательно используется аппаратный датчик случайных чисел. Вообще, класс выбирается на основе модели угроз. Если Вы - государственный оган или другая организация, оговоренная особым образом в законе ФЗ-152, то модель угроз необходимо согласовывать с ФСБ. Если Вы - частник, то тут Вы вправе решать самостоятельно, но не имеете право занижать уровень нарушителя, так как при первой же проверке Вас скорректируют. Поэтому отталкиваемся именно от модели угроз и обрабатываемых данных. Обычно (но не факт), для защиты персональных данных хватает КС2. Для защиты ДСП в органах исполнительной власти ФСБ рекомендует класс КС3. КВ классы - это уже когда требуется защита от ПЭМИН и НДВ (более высокий уровень нарушителя). Ну а КА - это вообще при ОВ используется, наверное. Поэтому, согласно методическим рекомендациям ФСБ просто определите, для начала, модель нарушителя.

Share this post


Link to post
Share on other sites

Спасибо за развернутый ответ. Пока нас интересует только КС2 и КС3. Я как понял моделирование угроз нужно проводить по методическим рекомендациям ФСБ? Хотелось бы увидеть на примере государственного органа, как происходит моделирование угроз.

Share this post


Link to post
Share on other sites

Спасибо за развернутый ответ. Пока нас интересует только КС2 и КС3. Я как понял моделирование угроз нужно проводить по методическим рекомендациям ФСБ? Хотелось бы увидеть на примере государственного органа, как происходит моделирование угроз.

Нет никакой разницы - государственный орган или нет. Просто мы описываем возможности всех типов нарушителей (допустимых в данной ИС) и приводим их к определённой категории нарушителя. Защищаем по максимальному допустимому нарушителю. Нам, в своё время, моделировали лицензиаты. Сейчас будем проделывать моделирование самостоятельно. Но учтите, что КС3 (Всё, что выше КС2), насколько я помню, внедряется только при контроле ФСБ. Также Вам будет необходима лицензия ФСБ или организация-лицензиат ФСБ.

Share this post


Link to post
Share on other sites

А как вы определяете тип и модель угроз? По каким критериям и какие нормативные документы для этого используете? Спасибо

Share this post


Link to post
Share on other sites

А как вы определяете тип и модель угроз? По каким критериям и какие нормативные документы для этого используете? Спасибо

Из открытых документов есть только один, который позволяет построить модель угроз: Методические рекомендации № 149/5-144 от 21.02.2008 по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России). В остальном, с миру по нитке приходится собирать.

Share this post


Link to post
Share on other sites

Здравствуйте! Ответьте пожалуйста на пару вопросов:

- Представим сеть с клиентами только КС2, всё хорошо, всё работает, и все довольны)), и тут вдруг становится необходимым несколько клиентов с КС2 заменить на КС3 (появился нарушитель Н3, изменилась модель угроз и тд) ВОПРОС: Какие действия придется предпринять для перехода с КС2 на КС3, что придется купить или докупить, и возможна ли работа клиентов КС2 и КС3 в одной сети одновременно?

-Представим некую организацию, с которой нам требуется установить связь посредством VipNet, сеть этой организации построена на КС3, а наша сеть на КС2. ВОПРОС: Не понизится ли класс той организации с КС3 на КС2, если мы подключимся к ней по такой схеме:

(Наша сеть КС2---Наш HW1000)---(Сеть той организации КС3) при условии что только некоторые компьютеры из нашей сети будут взаимодействовать с этой организацией

Спасибо!!!

Share this post


Link to post
Share on other sites

Опять же, подобные вопросы мы обсуждали уже на форуме. Не существует в криптографии понятия класс защиты сети (даже теоретического). Есть класс защиты конкретного СКЗИ. Подробнее можете почитать здесь: http://www.infotecs.ru/forum/index.php?showtopic=7504 .

Чтобы использовать КС3 вместо КС2 необходимо закупить СКЗИ данного класса (VipNet Client, Administrator и Coordinator) на класс КС3 имеются. Только это другие сборки той же программы. Плюс в эксплуатационной документации больше оговорок и требование использовать аппаратный датчик случайных чисел. Нужно купить дистрибутивы на КС3. А как с лицензиями быть - не подскажу. Ни разу не встречался с апгрейдом у Инфотекс. Тут подход у всех организаций разный. Нужно задать вопрос в отдел продаж - это не вопрос форума.

Клиенты разных классов принципиально по криптографии не различаются и должны друг с другом работать.

Share this post


Link to post
Share on other sites

Оговорка. В Инфотексе мне сказали, что КВ2 (координатор) несовместим с КС2(3). Это связано, видимо, с особенностью ключевой информации в КВ2, которая заказывается из одноимённой войсковой части. То есть, КВ2 можно связать только с КВ2. Поправьте, если у кого-то есть опыт в использовании данных криптосредств.

Share this post


Link to post
Share on other sites

Координатор по КВ2 с одной стороны связывается только с координатором КВ2 с другой стороны. А уже за этими координаторами находятся защищаемые ИС.

Share this post


Link to post
Share on other sites
В 12.09.2013 в 10:12, slavanchuk сказал:

Оговорка. В Инфотексе мне сказали, что КВ2 (координатор) несовместим с КС2(3). Это связано, видимо, с особенностью ключевой информации в КВ2, которая заказывается из одноимённой войсковой части. То есть, КВ2 можно связать только с КВ2. Поправьте, если у кого-то есть опыт в использовании данных криптосредств.

 Технически КВ и КС будут работать, однако аттестовывать такую сеть будут по нижнему классу, а это КС и смысла в КВ уже не будет

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.