Jump to content

Recommended Posts

Имеем АРМ с обычным випнет-клиентом. Поднялся вопрос: насколько этому АРМу нужно средство доверенной загрузки аппаратное? Якобы в мануале на Vipnet Custom где-то есть такое требование. А на клиента? Или же для стандартной системы уровня КС2 железная система не нужна, а вполне хватит какого-нибудь секрет-нета или далласа?

Share this post


Link to post
Share on other sites

Данное требование прописано в формуляре на ViPNet Клиент.

Только вот кстате вопрос, можно ли при использовании КС2 заменить средство доверенной загрузки софтом или орг.мерами.

Share this post


Link to post
Share on other sites

Забыл указать главное: в наличии есть HW1000. Через который общая защита и идет. А он КС3. Что как я думаю при общей сетке в КС2 - координатор КС3 вполне удовлетворяет требованиям по защите каналов связи.

И думаю, что большинство пользователей випнета работают без доверенной аппаратной загрузки.

Share this post


Link to post
Share on other sites

Цитата из переписки с коллегами:

В документе «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» …… сказано следующее:

«Уровень криптографической защиты персональных данных, обеспечиваемой криптосредством, определяется оператором путем отнесения нарушителя, действиям которого должно противостоять криптосредство, к конкретному типу.

При отнесении заказчиком нарушителя к типу Н1 криптосредство должно обеспечить криптографическую защиту по уровню КС1, к типу Н2 – КС2... "

Итого, класс применяемого СКЗИ определяется типом нарушителя. Если Вы опрелелили, что нарушитель, которые может иметь доступ к рассматриваемой машине у вас Н1, то можно замок не ставить. А вто как вы это обоснуете - вопрос другой, в частности, необходимо выполнть требования по установке компьютера в защищенную зону. (см. Правила пользования ПК ViPNet Client).

ПК ViPNet Client 3.2, наример, сертифицирован ФСБ России по требованиям к СКЗИ класса КС1 (без замка) и по классу КС2 (с замком). Так что если модель нарушителя Н2, то СКЗИ нужен соответствующий требованиям к классу КС2, то есть, с замком в случае Клиента.

Документация на CUSTOM тут ни при чем, вероятно, речь идет о ПК ViPNet CUSTOM, который сертифицирован ФСТЭК по другим требованиям, к СКЗИ отношения не имеющим.

О каналах. Если требуется защитить канал между, например, АРМ пользователя в одной локалке и сервером в другой локалке, то защиты трафика в каналах общего доступа (Интернет) двумя Координаторами на границе сетей недостаточно - нужно закрыть трафик в самой локалке. Если такого требования нет, то Координаторов может и хватить. Но это все определяется ни классом СКЗИ, ни выбором типа узла ViPNet, а описанием модели угроз и нарушителя для АС, по которой потом и подбираются средства защиты и схема их установки.

О Dallas Lock - это средство защиты данных от НСД. Так что оно дополняет средства защиты трафика средствами защиты данных на компьютере. Насколько я знаю, сертификата ФСБ, как средства доверенной загрузки ОС, оно не имеет.

Share this post


Link to post
Share on other sites
Guest S69J4oYym8

Здравствуйте.

Интересно чем закончилось и доп. вопрос, сами формуляры с требованиями есть где не будь в эл. виде?

И По вопросу заданному в теме ответ получается расплывчатым, т.е. если как бы, кто то, где то...

В итоге как ответили выше получается - если определили как КС2 - то замок (доверенная загрузка) обязательна,

если нет то не надо. (где это в формуляре прописано если не сложно)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.