Перейти к контенту

Рекомендуемые сообщения

Здравствуйте.

Этот вопрос все таки не в этот раздел, но другого нет.

Во читаю Приложение №2 приказа ФСБ РФ от 27.12.2011 N 796 и не могу понять. Есть 2 определения - это средства ЭП и средства УЦ.

С 1 определением все понятно, средства ЭП - это само ViPNet, которое реализует следующие функции: создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП.

Со 2 определением не все понятно. Что является средством УЦ? ViPNet или сама машина, ОС и т.п.?

Помогите разобраться с терминологией ФСБ.

Ссылка на комментарий
Поделиться на других сайтах

Ну давайте попробуем разобраться.

"средства УЦ - аппаратные и (или) программные средства, используемые для реализации функций УЦ;"

далее:

"системное и прикладное ПО средств УЦ должно обеспечивать разграничение доступа системного администратора средств УЦ ......"

то есть на средствах УЦ возможна установка системного (ОС) и прикладного (к примеру адоб ридер) ПО.

То есть средством УЦ является машина, на которой установлен УЦ, и в то же время программа реализующая функцию УЦ (VipNetовский УЦ, КриптоПро)

Я вижу это так, если не прав, то поправьте

Ссылка на комментарий
Поделиться на других сайтах

Я тоже предпологаю, что средства УЦ это железо, принтеры, локалка, ОС и все то что необходимо для нормальной работы ViPNet.

Вот еще вопросик.

В данном приказе расписаны роли и соответственно разграничение доступа пользователей и админов.

Так вот достаточно ли будет разграничение доступа самим СКЗИ ViPNet или необходимо другими средствами?

Если будут другие, то обязательно ли они должны быть сертифицированы ФСТЭК?

Ссылка на комментарий
Поделиться на других сайтах

Основываясь на небольшом опыте, скажу, что скорее всего да. Скорее всего Вам на машину нужно будет ставить что-то типа SecretNet или DallasLock, там же еще должны вестись журналы. В принципе этих программ достаточно было.

Поправка ОС - не средство УЦ, это "системное ПО средства УЦ", локалка тоже не средство - это канал связи. Средство - это железка с установленным ПО УЦ (которое само по себе тоже является средством УЦ).

Вы интересный человек, спрашиваете про требования предъявляемые ФСБ и в то же время спрашиваете, а обязательна ли сертификация ФСТЭК на средства защиты. А Вы как думаете? ))))))))))))

Ссылка на комментарий
Поделиться на других сайтах

Вот Вы дотошный ))))) Вы с сотрудниками ведомства, издавшего приказ видно мало общались )))) Они с этой бумажки и начнут проверку ))

Ладно закон 63 ФЗ. Статья 16 Пункт 3

3. Аккредитация удостоверяющего центра осуществляется при условии выполнения им следующих требований:

...............

3) наличие средств электронной подписи и средств удостоверяющего центра, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности

Ну или в приказе том же вот:

"- системное и прикладное ПО средств УЦ должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей;" а кто дает бумажку, об отсутствии НДВ???

Ну или опять же, у Вас персональные данные обрабатываться там будут??? К ним тоже требования особые. ))))

Короче проще, пусть и дороже, поставить сертифицированное средство.

Ссылка на комментарий
Поделиться на других сайтах

Вот еще один дотошный вопросик)

Читаю формуляр на ViPNet Client 3.2 и тут сказано то, что должно обеспечиваться аппаратное обеспечение, а именно "Соболь". Так вот, что получаться если у нас УЦ и мы обеспечиваем ЭДО между сторонними организациями, то на тех машинах где стоит клиент должен стоять соболь?

Ссылка на комментарий
Поделиться на других сайтах

А если не секрет, Вы средствами винды хотели обойтись???

Почему бы и нет :) . Хотя я понимаю что ФСТЭК мне потом все выскажет.

Ссылка на комментарий
Поделиться на других сайтах

Да я читал этот пункт. У нас КС2. Я правильно понимаю, что "вариант комплектации" и "вариант исполнения" (в сертификатах пишут "вариант исполнения") одно и тоже?

КС2 бывают только вариант комплектации 2, а КС1 только вариант комплектации 1?

Ссылка на комментарий
Поделиться на других сайтах

комплектация и исполнение одно и то же в большинстве случаев.

И вот опять уперлись в разграничение доступа )))))) Поставьте Вы SecretNet, DallasLock, что-то такое и не парьтесь, это выше, чем электронный замок.

Ссылка на комментарий
Поделиться на других сайтах

КС2 бывают только вариант комплектации 2, а КС1 только вариант комплектации 1?

Я правльно трактовал?

М.б. вы и правы, но

23.4. Требования для средств УЦ класса КС2:

- при осуществлении локального доступа к средствам УЦ аутентификация членов группы администраторов средств УЦ должна выполняться до перехода в рабочее состояние этих средств УЦ (например, до загрузки базовой ОС)

а это только средство доверенной загрузки.

Ссылка на комментарий
Поделиться на других сайтах

Ну там же есть слово "например", а что есть "до перехода в рабочее состояние", если УЦ у вас запускается к примеру по клику мышки. То есть если загрузка средств разграничения доступа между запуском ОС и запуском УЦ. Тоже ведь подходит. Или я не прав? А еще можно орг мерами осуществить разграничение доступа (но это притянуто за уши)

Так, сразу скажу, я не рекламирую никакую фирму. Просто рассуждать пытаюсь. Вот под рукой коробка далласа. Сертификат ФСТЭК по 5 классу от НСД и 4 уровень контроля НДВ. Сзади написано "Защита АС до 1 класса 1Г включительно и информации в ИСПДн до 1 класса включительно" Кстати к нему тоже можно токены и баттоны закрепить.

Ссылка на комментарий
Поделиться на других сайтах

Я весь разговор не зря начал с вопроса что такое средство УЦ. Как мы определили средство УЦ это все то что помогает СКЗИ (АС и т.п.), то ни SecretNet, ни DallasLock не разграничиваю доступ до менента загрузки ОС.

Кстати к нему тоже можно токены и баттоны закрепить.

Это обеспечение усиленной аутентификации при входе в ОС.

Такое же есть и у SN, но там нужна плата.

Ссылка на комментарий
Поделиться на других сайтах

Отлично, а чем отличается до загрузки ос и после?

Еще раз ОС - это НЕ средство УЦ !!!

Рабочее состояние - это когда уже можно работать. Я например не считаю момент загрузки средства НСД переходом в рабочее состояние. Вот когда запустите УЦ- это рабочее состояние.

А если так рассуждать, то и соболь также не обеспечивает. Вы ведь железку уже запустили )))) Ведь так? А до или после ОС- по закону какая разница? Ведь УЦ Вы так и не запустите. Все подходит. Все выполняется.

Ссылка на комментарий
Поделиться на других сайтах

Ну давайте попробуем разобраться.

"средства УЦ - аппаратные и (или) программные средства, используемые для реализации функций УЦ;"

далее:

"системное и прикладное ПО средств УЦ должно обеспечивать разграничение доступа системного администратора средств УЦ ......"

то есть на средствах УЦ возможна установка системного (ОС) и прикладного (к примеру адоб ридер) ПО.

То есть средством УЦ является машина, на которой установлен УЦ, и в то же время программа реализующая функцию УЦ (VipNetовский УЦ, КриптоПро)

Я вижу это так, если не прав, то поправьте

Видно разделение средств УЦ от прикладного и системного ПО

Ссылка на комментарий
Поделиться на других сайтах

комплектация и исполнение одно и то же в большинстве случаев.

И вот опять уперлись в разграничение доступа )))))) Поставьте Вы SecretNet, DallasLock, что-то такое и не парьтесь, это выше, чем электронный замок.

Немного не так. Что касается разграничения доступа, то требования предъявляются к сертифицируемой системе, а не к информационной системе, так что раз сертификат получен, то данный комплекс соответствует требованиям, а вот чтобы он соответствовал требованиям, все его компоненты, как свои, так и заимствованные, прописываются в Формуляр, в комплект поставки или исполнения.Исходя из Правил пользования для продуктов ViPNet версии 3.2.Х, а также комплектации, прописанной в Формуляре как вариант исполнения/поставки 2 для соответствия требованиям КС2 и в обязательном порядке для соответствия требованиям КС3, замок (и не просто замок, а АПМДЗ, сертифицированный по требованиям ФСБ к этому классу устройств) обязателен. Ни Dallas Lock, ни SecretNet его не заменяют. Хотя, в составе SecretNet, если я не ошибаюсь, замок присутствует, но тогда дополнительно обратите внимание на список совместимого с ViPNet стороннего ПО. Кстати, в релизах четвертой версии варианты исполнения немного меняются - для КС1, КС2, КС3, требования смотрите в Правилах пользования и в формулярах на УЦ 4 и CSP 4, Если нужна более подробная информация, напишите на betatest@infotecs.ru , передадим коллегам для консультации. но там уже речь пойдет о конкретных деталях внедрения, возможно, потребуется какая-то доп. информация.
Ссылка на комментарий
Поделиться на других сайтах

Я правильно понял, что если сертифицированный ViPNet 3.2.x, то он бывает только вариант исполнения 2 и обязательно нужен Аккорд?

Все виды аккордов подходят для ViPNet?

Ссылка на комментарий
Поделиться на других сайтах

Хм, я наверное недостаточно подкован в этом вопросе. Но про модуль доверенной загрузки не подскажете, в каких это требованиях прочитать???

Ладно, согласен, что тут хитро поступили, выполняет требования, но только с вот такой вот оговоркой. за которую еще платить. Но не подскажете где написано, что именно АПМДЗ?

Ладно, нашел "ПК ViPNet Administrator 3.2 необходимо использовать совместно с сертифицированными ФСБ России устройствами типа «электронный замок», например, программно-аппаратным комплексом (ПАК) «Соболь» (версия 2.0, 2.1 или 3.0). Использование других устройств, аналогичных ПАК «Соболь» и сертифицированных ФСБ России по классу 2Г и выше, возможно только по согласованию с ОАО «ИнфоТеКС»".

Ваши правила с Вашего диска:

"Рекомендуется использовать ПК ViPNet Client 3.2 с устройством типа «Электронный замок». Допускается эксплуатация ПО ViPNet Client 3.2 без данного устройства в охраняемых помещениях, обеспечивающих невозможность доступа посторонних лиц к компьютерам."

Где именно про доверенную загрузку?

Ссылка на комментарий
Поделиться на других сайтах

Прошу прощения за свою наглость. Но ни в одном документе не нашел, что такое "устройство типа электронный замок". А почему не даллас??? У него на коробке замок нарисован )))))))))))))) Или в помещение допуск по скудам с отпечатками пальцев. Тоже электронный замок ))))))))))))

Ну а если серьезно, то действительно где можно почитать именно про АМДЗ??? Требования, рекомендации. Я не подкалываю, реально хочется больше узнать.

С уважением.

Ссылка на комментарий
Поделиться на других сайтах

Ну а если серьезно, то действительно где можно почитать именно про АМДЗ??? Требования, рекомендации. Я не подкалываю, реально хочется больше узнать.

http://www.okbsapr.ru/

Если честно про Аккорд я тоже не видел, а видел про Соболь (в формуляре), но у меня нет других вариантов, т.к. у меня ESXi и на нем ЦУС и Координатор.

Электронный замок это и есть средство доверенной загрузки.

Возможно для не сертифицированного ViPNet не нужно СДЗ.

Ссылка на комментарий
Поделиться на других сайтах

Нееее, извиняюсь, Вы не поняли. Что это такое АМДЗ я хорошо представляю. Давайте немножко в бюрократию углубимся. Где в законах, требованиях или рекомендациях используется понятие "электронный замок", или про доверенную загрузку говориться? Где хоть в одном документе, хотя бы в Правилах пользования объясняется, что такое "электронный замок". Если я правильно на данный момент понимаю, этого нигде нет. Буду крайне признателен, если кто-то подскажет, где об этом говорится.

Ссылка на комментарий
Поделиться на других сайтах

Правила с Вашего диска:

"Рекомендуется использовать ПК ViPNet Client 3.2 с устройством типа «Электронный замок». Допускается эксплуатация ПО ViPNet Client 3.2 без данного устройства в охраняемых помещениях, обеспечивающих невозможность доступа посторонних лиц к компьютерам."

Почему же сразу не сертифицированный. Как раз наоборот. И правила официальные. То есть клиентов можно оргмерами без "замков" закрывать.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.