Jump to content

Recommended Posts

Добрый день!

Есть 3 vipnet coordinator'а HW1000. Два имеют класс защиты КВ2 один КС3. Они зашифрованными каналами соединяются последовательно, т.е. HW1000 КС3 <----> HW1000 КВ2 <----> HW1000 КВ2. Подскажите какие классы защиты будут в этом случае?

я думаю так HW1000 КС3 <--класс КС3--> HW1000 КВ2 <--класс КС2--> HW1000 КВ2

Share this post


Link to post
Share on other sites

Добрый день!

Есть 3 vipnet coordinator'а HW1000. Два имеют класс защиты КВ2 один КС3. Они зашифрованными каналами соединяются последовательно, т.е. HW1000 КС3 <----> HW1000 КВ2 <----> HW1000 КВ2. Подскажите какие классы защиты будут в этом случае?

я думаю так HW1000 КС3 <--класс КС3--> HW1000 КВ2 <--класс КС2--> HW1000 КВ2

Что-то я Вас не совсем понимаю. Есть уровень нарушителя, есть криптосредство, защищающее от конкретного вида нарушителя. Если у Вас в связке два криптосредства, то уровень защиты - это минимальный из уровней защиты обоих криптосредств. Связка КВ2 и КС3 - это класс КС3 (так как ниже). Связка КВ2 и КВ2 - это КВ2, а не КС2. Защищённость в связке - это защищённость слабого звена. Если у Вас на одной стороне КС1 и к компьютеру с СКЗИ имеют доступ посторонние, то никакие КА с другой стороны не помогут от взлома шифра.

И ещё добавлю, что не играет особой важности какие на разных сторонах классы криптосредств. Главное, чтобы они нейтрализовали именно того типа нарушителя, который на той стороне. Так что говорить о классе связки не совсем корректно. Защита должна быть всегда на 100%, а на разных сторонах требуются разные классы.

Share this post


Link to post
Share on other sites

Что-то я Вас не совсем понимаю. Есть уровень нарушителя, есть криптосредство, защищающее от конкретного вида нарушителя. Если у Вас в связке два криптосредства, то уровень защиты - это минимальный из уровней защиты обоих криптосредств. Связка КВ2 и КС3 - это класс КС3 (так как ниже). Связка КВ2 и КВ2 - это КВ2, а не КС2. Защищённость в связке - это защищённость слабого звена. Если у Вас на одной стороне КС1 и к компьютеру с СКЗИ имеют доступ посторонние, то никакие КА с другой стороны не помогут от взлома шифра.

И ещё добавлю, что не играет особой важности какие на разных сторонах классы криптосредств. Главное, чтобы они нейтрализовали именно того типа нарушителя, который на той стороне. Так что говорить о классе связки не совсем корректно. Защита должна быть всегда на 100%, а на разных сторонах требуются разные классы.

Прошу прошения. Когда писал ошибся. Конечно же КВ2. Т.е. схема выглядит так: HW1000 КС3 <--класс КС3--> HW1000 КВ2 <--класс КВ2--> HW1000 КВ2.

Конечно Вы правы защищаться надо от нарушителя. У меня есть модель угроз в которой описано два направления. Первое - это канал связи между отделами организации и защищать их надо от нарушителя Н3 (соответственно применять КС3). Второе - это канал на центральный офис в Москве (Нарушитель Н5, класс КВ2). Соответственно доступ из отделов организации должен быть к серверам, установленным в центральном офисе. И вопрос у меня как раз в том, будет ли между двумя КВ2 устройствами класс защиты КВ2, если к одному из них будет подключено устройство КС3? или же в этом случае вся связка будет КС3?

Share this post


Link to post
Share on other sites

Прошу прошения. Когда писал ошибся. Конечно же КВ2. Т.е. схема выглядит так: HW1000 КС3 <--класс КС3--> HW1000 КВ2 <--класс КВ2--> HW1000 КВ2.

Конечно Вы правы защищаться надо от нарушителя. У меня есть модель угроз в которой описано два направления. Первое - это канал связи между отделами организации и защищать их надо от нарушителя Н3 (соответственно применять КС3). Второе - это канал на центральный офис в Москве (Нарушитель Н5, класс КВ2). Соответственно доступ из отделов организации должен быть к серверам, установленным в центральном офисе. И вопрос у меня как раз в том, будет ли между двумя КВ2 устройствами класс защиты КВ2, если к одному из них будет подключено устройство КС3? или же в этом случае вся связка будет КС3?

Так я, как раз, и говорю, что мы не канал по классу определённому защищаем, а конкретное рабочее место с криптографией. Канал - он всегда открытый и незащищённый, шифруется всегда одинаковым образом (тем же алгоритмом). Все угрозы относятся именно к конкретному узлу с СКЗИ. А образ нарушителя, находящегося посередине всегда один - у него нет особых полномочий. А локально он может и через ПЭМИНы криптографически опасную информацию узнать и к компьютеру доступ получить. Поэтому мы не защищаем ИС от нарушителя. Мы защищаем именно конкретное криптосредство. Поэтому говорить о связке некорректно. Но если оперировать Вашими терминами, то "класс" у Вас будет КС3 по принципу слабого звена. Но это, опять же, некорректно и в документах по защите информации так писать не стоит.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.