Jump to content

Recommended Posts

Добрый день!

Есть 3 vipnet coordinator'а HW1000. Два имеют класс защиты КВ2 один КС3. Они зашифрованными каналами соединяются последовательно, т.е. HW1000 КС3 <----> HW1000 КВ2 <----> HW1000 КВ2. Подскажите какие классы защиты будут в этом случае?

я думаю так HW1000 КС3 <--класс КС3--> HW1000 КВ2 <--класс КС2--> HW1000 КВ2

Share this post


Link to post
Share on other sites

Добрый день!

Есть 3 vipnet coordinator'а HW1000. Два имеют класс защиты КВ2 один КС3. Они зашифрованными каналами соединяются последовательно, т.е. HW1000 КС3 <----> HW1000 КВ2 <----> HW1000 КВ2. Подскажите какие классы защиты будут в этом случае?

я думаю так HW1000 КС3 <--класс КС3--> HW1000 КВ2 <--класс КС2--> HW1000 КВ2

Что-то я Вас не совсем понимаю. Есть уровень нарушителя, есть криптосредство, защищающее от конкретного вида нарушителя. Если у Вас в связке два криптосредства, то уровень защиты - это минимальный из уровней защиты обоих криптосредств. Связка КВ2 и КС3 - это класс КС3 (так как ниже). Связка КВ2 и КВ2 - это КВ2, а не КС2. Защищённость в связке - это защищённость слабого звена. Если у Вас на одной стороне КС1 и к компьютеру с СКЗИ имеют доступ посторонние, то никакие КА с другой стороны не помогут от взлома шифра.

И ещё добавлю, что не играет особой важности какие на разных сторонах классы криптосредств. Главное, чтобы они нейтрализовали именно того типа нарушителя, который на той стороне. Так что говорить о классе связки не совсем корректно. Защита должна быть всегда на 100%, а на разных сторонах требуются разные классы.

Share this post


Link to post
Share on other sites

Что-то я Вас не совсем понимаю. Есть уровень нарушителя, есть криптосредство, защищающее от конкретного вида нарушителя. Если у Вас в связке два криптосредства, то уровень защиты - это минимальный из уровней защиты обоих криптосредств. Связка КВ2 и КС3 - это класс КС3 (так как ниже). Связка КВ2 и КВ2 - это КВ2, а не КС2. Защищённость в связке - это защищённость слабого звена. Если у Вас на одной стороне КС1 и к компьютеру с СКЗИ имеют доступ посторонние, то никакие КА с другой стороны не помогут от взлома шифра.

И ещё добавлю, что не играет особой важности какие на разных сторонах классы криптосредств. Главное, чтобы они нейтрализовали именно того типа нарушителя, который на той стороне. Так что говорить о классе связки не совсем корректно. Защита должна быть всегда на 100%, а на разных сторонах требуются разные классы.

Прошу прошения. Когда писал ошибся. Конечно же КВ2. Т.е. схема выглядит так: HW1000 КС3 <--класс КС3--> HW1000 КВ2 <--класс КВ2--> HW1000 КВ2.

Конечно Вы правы защищаться надо от нарушителя. У меня есть модель угроз в которой описано два направления. Первое - это канал связи между отделами организации и защищать их надо от нарушителя Н3 (соответственно применять КС3). Второе - это канал на центральный офис в Москве (Нарушитель Н5, класс КВ2). Соответственно доступ из отделов организации должен быть к серверам, установленным в центральном офисе. И вопрос у меня как раз в том, будет ли между двумя КВ2 устройствами класс защиты КВ2, если к одному из них будет подключено устройство КС3? или же в этом случае вся связка будет КС3?

Share this post


Link to post
Share on other sites

Прошу прошения. Когда писал ошибся. Конечно же КВ2. Т.е. схема выглядит так: HW1000 КС3 <--класс КС3--> HW1000 КВ2 <--класс КВ2--> HW1000 КВ2.

Конечно Вы правы защищаться надо от нарушителя. У меня есть модель угроз в которой описано два направления. Первое - это канал связи между отделами организации и защищать их надо от нарушителя Н3 (соответственно применять КС3). Второе - это канал на центральный офис в Москве (Нарушитель Н5, класс КВ2). Соответственно доступ из отделов организации должен быть к серверам, установленным в центральном офисе. И вопрос у меня как раз в том, будет ли между двумя КВ2 устройствами класс защиты КВ2, если к одному из них будет подключено устройство КС3? или же в этом случае вся связка будет КС3?

Так я, как раз, и говорю, что мы не канал по классу определённому защищаем, а конкретное рабочее место с криптографией. Канал - он всегда открытый и незащищённый, шифруется всегда одинаковым образом (тем же алгоритмом). Все угрозы относятся именно к конкретному узлу с СКЗИ. А образ нарушителя, находящегося посередине всегда один - у него нет особых полномочий. А локально он может и через ПЭМИНы криптографически опасную информацию узнать и к компьютеру доступ получить. Поэтому мы не защищаем ИС от нарушителя. Мы защищаем именно конкретное криптосредство. Поэтому говорить о связке некорректно. Но если оперировать Вашими терминами, то "класс" у Вас будет КС3 по принципу слабого звена. Но это, опять же, некорректно и в документах по защите информации так писать не стоит.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.