KSS Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 Здравствуйте.Этот вопрос все таки не в этот раздел, но другого нет.Во читаю Приложение №2 приказа ФСБ РФ от 27.12.2011 N 796 и не могу понять. Есть 2 определения - это средства ЭП и средства УЦ.С 1 определением все понятно, средства ЭП - это само ViPNet, которое реализует следующие функции: создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП.Со 2 определением не все понятно. Что является средством УЦ? ViPNet или сама машина, ОС и т.п.?Помогите разобраться с терминологией ФСБ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 Ну давайте попробуем разобраться."средства УЦ - аппаратные и (или) программные средства, используемые для реализации функций УЦ;"далее:"системное и прикладное ПО средств УЦ должно обеспечивать разграничение доступа системного администратора средств УЦ ......"то есть на средствах УЦ возможна установка системного (ОС) и прикладного (к примеру адоб ридер) ПО.То есть средством УЦ является машина, на которой установлен УЦ, и в то же время программа реализующая функцию УЦ (VipNetовский УЦ, КриптоПро)Я вижу это так, если не прав, то поправьте Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 19 Июня 2014 Автор Жалоба Поделиться Опубликовано 19 Июня 2014 Я тоже предпологаю, что средства УЦ это железо, принтеры, локалка, ОС и все то что необходимо для нормальной работы ViPNet.Вот еще вопросик.В данном приказе расписаны роли и соответственно разграничение доступа пользователей и админов.Так вот достаточно ли будет разграничение доступа самим СКЗИ ViPNet или необходимо другими средствами?Если будут другие, то обязательно ли они должны быть сертифицированы ФСТЭК? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 Основываясь на небольшом опыте, скажу, что скорее всего да. Скорее всего Вам на машину нужно будет ставить что-то типа SecretNet или DallasLock, там же еще должны вестись журналы. В принципе этих программ достаточно было. Поправка ОС - не средство УЦ, это "системное ПО средства УЦ", локалка тоже не средство - это канал связи. Средство - это железка с установленным ПО УЦ (которое само по себе тоже является средством УЦ).Вы интересный человек, спрашиваете про требования предъявляемые ФСБ и в то же время спрашиваете, а обязательна ли сертификация ФСТЭК на средства защиты. А Вы как думаете? )))))))))))) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 19 Июня 2014 Автор Жалоба Поделиться Опубликовано 19 Июня 2014 Это приказ ФСБ, про ФСТЭК тут ничего не сказано, а так же не сказано про сертифицированные средства ФСТЭК. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 Вот Вы дотошный ))))) Вы с сотрудниками ведомства, издавшего приказ видно мало общались )))) Они с этой бумажки и начнут проверку ))Ладно закон 63 ФЗ. Статья 16 Пункт 33. Аккредитация удостоверяющего центра осуществляется при условии выполнения им следующих требований:...............3) наличие средств электронной подписи и средств удостоверяющего центра, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасностиНу или в приказе том же вот:"- системное и прикладное ПО средств УЦ должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей;" а кто дает бумажку, об отсутствии НДВ???Ну или опять же, у Вас персональные данные обрабатываться там будут??? К ним тоже требования особые. )))) Короче проще, пусть и дороже, поставить сертифицированное средство. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 19 Июня 2014 Автор Жалоба Поделиться Опубликовано 19 Июня 2014 да я такой, т.к. на все это не всегда хотят выделять средства. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 А если не секрет, Вы средствами винды хотели обойтись??? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 19 Июня 2014 Автор Жалоба Поделиться Опубликовано 19 Июня 2014 Вот еще один дотошный вопросик)Читаю формуляр на ViPNet Client 3.2 и тут сказано то, что должно обеспечиваться аппаратное обеспечение, а именно "Соболь". Так вот, что получаться если у нас УЦ и мы обеспечиваем ЭДО между сторонними организациями, то на тех машинах где стоит клиент должен стоять соболь? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 19 Июня 2014 Автор Жалоба Поделиться Опубликовано 19 Июня 2014 А если не секрет, Вы средствами винды хотели обойтись???Почему бы и нет . Хотя я понимаю что ФСТЭК мне потом все выскажет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 нееее, они не скажут, они напишут ))))тот же формуляр, предыдущая страница, внизу слева пункт 3.8 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 19 Июня 2014 Автор Жалоба Поделиться Опубликовано 19 Июня 2014 Да я читал этот пункт. У нас КС2. Я правильно понимаю, что "вариант комплектации" и "вариант исполнения" (в сертификатах пишут "вариант исполнения") одно и тоже?КС2 бывают только вариант комплектации 2, а КС1 только вариант комплектации 1? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 комплектация и исполнение одно и то же в большинстве случаев.И вот опять уперлись в разграничение доступа )))))) Поставьте Вы SecretNet, DallasLock, что-то такое и не парьтесь, это выше, чем электронный замок. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 19 Июня 2014 Автор Жалоба Поделиться Опубликовано 19 Июня 2014 КС2 бывают только вариант комплектации 2, а КС1 только вариант комплектации 1?Я правльно трактовал?М.б. вы и правы, но23.4. Требования для средств УЦ класса КС2:- при осуществлении локального доступа к средствам УЦ аутентификация членов группы администраторов средств УЦ должна выполняться до перехода в рабочее состояние этих средств УЦ (например, до загрузки базовой ОС)а это только средство доверенной загрузки. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 Ну там же есть слово "например", а что есть "до перехода в рабочее состояние", если УЦ у вас запускается к примеру по клику мышки. То есть если загрузка средств разграничения доступа между запуском ОС и запуском УЦ. Тоже ведь подходит. Или я не прав? А еще можно орг мерами осуществить разграничение доступа (но это притянуто за уши)Так, сразу скажу, я не рекламирую никакую фирму. Просто рассуждать пытаюсь. Вот под рукой коробка далласа. Сертификат ФСТЭК по 5 классу от НСД и 4 уровень контроля НДВ. Сзади написано "Защита АС до 1 класса 1Г включительно и информации в ИСПДн до 1 класса включительно" Кстати к нему тоже можно токены и баттоны закрепить. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 19 Июня 2014 Автор Жалоба Поделиться Опубликовано 19 Июня 2014 Я весь разговор не зря начал с вопроса что такое средство УЦ. Как мы определили средство УЦ это все то что помогает СКЗИ (АС и т.п.), то ни SecretNet, ни DallasLock не разграничиваю доступ до менента загрузки ОС.Кстати к нему тоже можно токены и баттоны закрепить.Это обеспечение усиленной аутентификации при входе в ОС.Такое же есть и у SN, но там нужна плата. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 Отлично, а чем отличается до загрузки ос и после?Еще раз ОС - это НЕ средство УЦ !!!Рабочее состояние - это когда уже можно работать. Я например не считаю момент загрузки средства НСД переходом в рабочее состояние. Вот когда запустите УЦ- это рабочее состояние.А если так рассуждать, то и соболь также не обеспечивает. Вы ведь железку уже запустили )))) Ведь так? А до или после ОС- по закону какая разница? Ведь УЦ Вы так и не запустите. Все подходит. Все выполняется. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 Ну давайте попробуем разобраться."средства УЦ - аппаратные и (или) программные средства, используемые для реализации функций УЦ;"далее:"системное и прикладное ПО средств УЦ должно обеспечивать разграничение доступа системного администратора средств УЦ ......"то есть на средствах УЦ возможна установка системного (ОС) и прикладного (к примеру адоб ридер) ПО.То есть средством УЦ является машина, на которой установлен УЦ, и в то же время программа реализующая функцию УЦ (VipNetовский УЦ, КриптоПро)Я вижу это так, если не прав, то поправьте Видно разделение средств УЦ от прикладного и системного ПО Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Echo Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 комплектация и исполнение одно и то же в большинстве случаев.И вот опять уперлись в разграничение доступа )))))) Поставьте Вы SecretNet, DallasLock, что-то такое и не парьтесь, это выше, чем электронный замок. Немного не так. Что касается разграничения доступа, то требования предъявляются к сертифицируемой системе, а не к информационной системе, так что раз сертификат получен, то данный комплекс соответствует требованиям, а вот чтобы он соответствовал требованиям, все его компоненты, как свои, так и заимствованные, прописываются в Формуляр, в комплект поставки или исполнения.Исходя из Правил пользования для продуктов ViPNet версии 3.2.Х, а также комплектации, прописанной в Формуляре как вариант исполнения/поставки 2 для соответствия требованиям КС2 и в обязательном порядке для соответствия требованиям КС3, замок (и не просто замок, а АПМДЗ, сертифицированный по требованиям ФСБ к этому классу устройств) обязателен. Ни Dallas Lock, ни SecretNet его не заменяют. Хотя, в составе SecretNet, если я не ошибаюсь, замок присутствует, но тогда дополнительно обратите внимание на список совместимого с ViPNet стороннего ПО. Кстати, в релизах четвертой версии варианты исполнения немного меняются - для КС1, КС2, КС3, требования смотрите в Правилах пользования и в формулярах на УЦ 4 и CSP 4, Если нужна более подробная информация, напишите на betatest@infotecs.ru , передадим коллегам для консультации. но там уже речь пойдет о конкретных деталях внедрения, возможно, потребуется какая-то доп. информация. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 19 Июня 2014 Автор Жалоба Поделиться Опубликовано 19 Июня 2014 Я правильно понял, что если сертифицированный ViPNet 3.2.x, то он бывает только вариант исполнения 2 и обязательно нужен Аккорд?Все виды аккордов подходят для ViPNet? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 Хм, я наверное недостаточно подкован в этом вопросе. Но про модуль доверенной загрузки не подскажете, в каких это требованиях прочитать???Ладно, согласен, что тут хитро поступили, выполняет требования, но только с вот такой вот оговоркой. за которую еще платить. Но не подскажете где написано, что именно АПМДЗ?Ладно, нашел "ПК ViPNet Administrator 3.2 необходимо использовать совместно с сертифицированными ФСБ России устройствами типа «электронный замок», например, программно-аппаратным комплексом (ПАК) «Соболь» (версия 2.0, 2.1 или 3.0). Использование других устройств, аналогичных ПАК «Соболь» и сертифицированных ФСБ России по классу 2Г и выше, возможно только по согласованию с ОАО «ИнфоТеКС»".Ваши правила с Вашего диска:"Рекомендуется использовать ПК ViPNet Client 3.2 с устройством типа «Электронный замок». Допускается эксплуатация ПО ViPNet Client 3.2 без данного устройства в охраняемых помещениях, обеспечивающих невозможность доступа посторонних лиц к компьютерам."Где именно про доверенную загрузку? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 Прошу прощения за свою наглость. Но ни в одном документе не нашел, что такое "устройство типа электронный замок". А почему не даллас??? У него на коробке замок нарисован )))))))))))))) Или в помещение допуск по скудам с отпечатками пальцев. Тоже электронный замок ))))))))))))Ну а если серьезно, то действительно где можно почитать именно про АМДЗ??? Требования, рекомендации. Я не подкалываю, реально хочется больше узнать.С уважением. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KSS Опубликовано 19 Июня 2014 Автор Жалоба Поделиться Опубликовано 19 Июня 2014 Ну а если серьезно, то действительно где можно почитать именно про АМДЗ??? Требования, рекомендации. Я не подкалываю, реально хочется больше узнать.http://www.okbsapr.ru/Если честно про Аккорд я тоже не видел, а видел про Соболь (в формуляре), но у меня нет других вариантов, т.к. у меня ESXi и на нем ЦУС и Координатор.Электронный замок это и есть средство доверенной загрузки.Возможно для не сертифицированного ViPNet не нужно СДЗ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 Нееее, извиняюсь, Вы не поняли. Что это такое АМДЗ я хорошо представляю. Давайте немножко в бюрократию углубимся. Где в законах, требованиях или рекомендациях используется понятие "электронный замок", или про доверенную загрузку говориться? Где хоть в одном документе, хотя бы в Правилах пользования объясняется, что такое "электронный замок". Если я правильно на данный момент понимаю, этого нигде нет. Буду крайне признателен, если кто-то подскажет, где об этом говорится. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alejandro Опубликовано 19 Июня 2014 Жалоба Поделиться Опубликовано 19 Июня 2014 Правила с Вашего диска:"Рекомендуется использовать ПК ViPNet Client 3.2 с устройством типа «Электронный замок». Допускается эксплуатация ПО ViPNet Client 3.2 без данного устройства в охраняемых помещениях, обеспечивающих невозможность доступа посторонних лиц к компьютерам."Почему же сразу не сертифицированный. Как раз наоборот. И правила официальные. То есть клиентов можно оргмерами без "замков" закрывать. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.