Средство Доверенной Загрузки

[Mastodont]

Имеем АРМ с обычным випнет-клиентом. Поднялся вопрос: насколько этому АРМу нужно средство доверенной загрузки аппаратное? Якобы в мануале на Vipnet Custom где-то есть такое требование. А на клиента? Или же для стандартной системы уровня КС2 железная система не нужна, а вполне хватит какого-нибудь секрет-нета или далласа?

[romanr]

Данное требование прописано в формуляре на ViPNet Клиент.

Только вот кстате вопрос, можно ли при использовании КС2 заменить средство доверенной загрузки софтом или орг.мерами.

[Mastodont]

Забыл указать главное: в наличии есть HW1000. Через который общая защита и идет. А он КС3. Что как я думаю при общей сетке в КС2 - координатор КС3 вполне удовлетворяет требованиям по защите каналов связи.

И думаю, что большинство пользователей випнета работают без доверенной аппаратной загрузки.

[Echo]

Цитата из переписки с коллегами:

В документе «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» …… сказано следующее:

«Уровень криптографической защиты персональных данных, обеспечиваемой криптосредством, определяется оператором путем отнесения нарушителя, действиям которого должно противостоять криптосредство, к конкретному типу.

При отнесении заказчиком нарушителя к типу Н1 криптосредство должно обеспечить криптографическую защиту по уровню КС1, к типу Н2 – КС2... "

Итого, класс применяемого СКЗИ определяется типом нарушителя. Если Вы опрелелили, что нарушитель, которые может иметь доступ к рассматриваемой машине у вас Н1, то можно замок не ставить. А вто как вы это обоснуете - вопрос другой, в частности, необходимо выполнть требования по установке компьютера в защищенную зону. (см. Правила пользования ПК ViPNet Client).

ПК ViPNet Client 3.2, наример, сертифицирован ФСБ России по требованиям к СКЗИ класса КС1 (без замка) и по классу КС2 (с замком). Так что если модель нарушителя Н2, то СКЗИ нужен соответствующий требованиям к классу КС2, то есть, с замком в случае Клиента.

Документация на CUSTOM тут ни при чем, вероятно, речь идет о ПК ViPNet CUSTOM, который сертифицирован ФСТЭК по другим требованиям, к СКЗИ отношения не имеющим.

О каналах. Если требуется защитить канал между, например, АРМ пользователя в одной локалке и сервером в другой локалке, то защиты трафика в каналах общего доступа (Интернет) двумя Координаторами на границе сетей недостаточно - нужно закрыть трафик в самой локалке. Если такого требования нет, то Координаторов может и хватить. Но это все определяется ни классом СКЗИ, ни выбором типа узла ViPNet, а описанием модели угроз и нарушителя для АС, по которой потом и подбираются средства защиты и схема их установки.

О Dallas Lock - это средство защиты данных от НСД. Так что оно дополняет средства защиты трафика средствами защиты данных на компьютере. Насколько я знаю, сертификата ФСБ, как средства доверенной загрузки ОС, оно не имеет.

[Гость S69J4oYym8]

Здравствуйте.

Интересно чем закончилось и доп. вопрос, сами формуляры с требованиями есть где не будь в эл. виде?

И По вопросу заданному в теме ответ получается расплывчатым, т.е. если как бы, кто то, где то...

В итоге как ответили выше получается - если определили как КС2 - то замок (доверенная загрузка) обязательна,

если нет то не надо. (где это в формуляре прописано если не сложно)