Jump to content

Recommended Posts

Здравствуйте.

Этот вопрос все таки не в этот раздел, но другого нет.

Во читаю Приложение №2 приказа ФСБ РФ от 27.12.2011 N 796 и не могу понять. Есть 2 определения - это средства ЭП и средства УЦ.

С 1 определением все понятно, средства ЭП - это само ViPNet, которое реализует следующие функции: создание ЭП, проверка ЭП, создание ключа ЭП и ключа проверки ЭП.

Со 2 определением не все понятно. Что является средством УЦ? ViPNet или сама машина, ОС и т.п.?

Помогите разобраться с терминологией ФСБ.

Share this post


Link to post
Share on other sites

Ну давайте попробуем разобраться.

"средства УЦ - аппаратные и (или) программные средства, используемые для реализации функций УЦ;"

далее:

"системное и прикладное ПО средств УЦ должно обеспечивать разграничение доступа системного администратора средств УЦ ......"

то есть на средствах УЦ возможна установка системного (ОС) и прикладного (к примеру адоб ридер) ПО.

То есть средством УЦ является машина, на которой установлен УЦ, и в то же время программа реализующая функцию УЦ (VipNetовский УЦ, КриптоПро)

Я вижу это так, если не прав, то поправьте

Share this post


Link to post
Share on other sites

Я тоже предпологаю, что средства УЦ это железо, принтеры, локалка, ОС и все то что необходимо для нормальной работы ViPNet.

Вот еще вопросик.

В данном приказе расписаны роли и соответственно разграничение доступа пользователей и админов.

Так вот достаточно ли будет разграничение доступа самим СКЗИ ViPNet или необходимо другими средствами?

Если будут другие, то обязательно ли они должны быть сертифицированы ФСТЭК?

Share this post


Link to post
Share on other sites

Основываясь на небольшом опыте, скажу, что скорее всего да. Скорее всего Вам на машину нужно будет ставить что-то типа SecretNet или DallasLock, там же еще должны вестись журналы. В принципе этих программ достаточно было.

Поправка ОС - не средство УЦ, это "системное ПО средства УЦ", локалка тоже не средство - это канал связи. Средство - это железка с установленным ПО УЦ (которое само по себе тоже является средством УЦ).

Вы интересный человек, спрашиваете про требования предъявляемые ФСБ и в то же время спрашиваете, а обязательна ли сертификация ФСТЭК на средства защиты. А Вы как думаете? ))))))))))))

Share this post


Link to post
Share on other sites

Это приказ ФСБ, про ФСТЭК тут ничего не сказано, а так же не сказано про сертифицированные средства ФСТЭК.

Share this post


Link to post
Share on other sites

Вот Вы дотошный ))))) Вы с сотрудниками ведомства, издавшего приказ видно мало общались )))) Они с этой бумажки и начнут проверку ))

Ладно закон 63 ФЗ. Статья 16 Пункт 3

3. Аккредитация удостоверяющего центра осуществляется при условии выполнения им следующих требований:

...............

3) наличие средств электронной подписи и средств удостоверяющего центра, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности

Ну или в приказе том же вот:

"- системное и прикладное ПО средств УЦ должно соответствовать 4 уровню контроля отсутствия недекларированных возможностей;" а кто дает бумажку, об отсутствии НДВ???

Ну или опять же, у Вас персональные данные обрабатываться там будут??? К ним тоже требования особые. ))))

Короче проще, пусть и дороже, поставить сертифицированное средство.

Share this post


Link to post
Share on other sites
:) да я такой, т.к. на все это не всегда хотят выделять средства. :(

Share this post


Link to post
Share on other sites

Вот еще один дотошный вопросик)

Читаю формуляр на ViPNet Client 3.2 и тут сказано то, что должно обеспечиваться аппаратное обеспечение, а именно "Соболь". Так вот, что получаться если у нас УЦ и мы обеспечиваем ЭДО между сторонними организациями, то на тех машинах где стоит клиент должен стоять соболь?

Share this post


Link to post
Share on other sites

А если не секрет, Вы средствами винды хотели обойтись???

Почему бы и нет :) . Хотя я понимаю что ФСТЭК мне потом все выскажет.

Share this post


Link to post
Share on other sites

нееее, они не скажут, они напишут ))))

тот же формуляр, предыдущая страница, внизу слева пункт 3.8

Share this post


Link to post
Share on other sites

Да я читал этот пункт. У нас КС2. Я правильно понимаю, что "вариант комплектации" и "вариант исполнения" (в сертификатах пишут "вариант исполнения") одно и тоже?

КС2 бывают только вариант комплектации 2, а КС1 только вариант комплектации 1?

Share this post


Link to post
Share on other sites

комплектация и исполнение одно и то же в большинстве случаев.

И вот опять уперлись в разграничение доступа )))))) Поставьте Вы SecretNet, DallasLock, что-то такое и не парьтесь, это выше, чем электронный замок.

Share this post


Link to post
Share on other sites

КС2 бывают только вариант комплектации 2, а КС1 только вариант комплектации 1?

Я правльно трактовал?

М.б. вы и правы, но

23.4. Требования для средств УЦ класса КС2:

- при осуществлении локального доступа к средствам УЦ аутентификация членов группы администраторов средств УЦ должна выполняться до перехода в рабочее состояние этих средств УЦ (например, до загрузки базовой ОС)

а это только средство доверенной загрузки.

Share this post


Link to post
Share on other sites

Ну там же есть слово "например", а что есть "до перехода в рабочее состояние", если УЦ у вас запускается к примеру по клику мышки. То есть если загрузка средств разграничения доступа между запуском ОС и запуском УЦ. Тоже ведь подходит. Или я не прав? А еще можно орг мерами осуществить разграничение доступа (но это притянуто за уши)

Так, сразу скажу, я не рекламирую никакую фирму. Просто рассуждать пытаюсь. Вот под рукой коробка далласа. Сертификат ФСТЭК по 5 классу от НСД и 4 уровень контроля НДВ. Сзади написано "Защита АС до 1 класса 1Г включительно и информации в ИСПДн до 1 класса включительно" Кстати к нему тоже можно токены и баттоны закрепить.

Share this post


Link to post
Share on other sites

Я весь разговор не зря начал с вопроса что такое средство УЦ. Как мы определили средство УЦ это все то что помогает СКЗИ (АС и т.п.), то ни SecretNet, ни DallasLock не разграничиваю доступ до менента загрузки ОС.

Кстати к нему тоже можно токены и баттоны закрепить.

Это обеспечение усиленной аутентификации при входе в ОС.

Такое же есть и у SN, но там нужна плата.

Share this post


Link to post
Share on other sites

Отлично, а чем отличается до загрузки ос и после?

Еще раз ОС - это НЕ средство УЦ !!!

Рабочее состояние - это когда уже можно работать. Я например не считаю момент загрузки средства НСД переходом в рабочее состояние. Вот когда запустите УЦ- это рабочее состояние.

А если так рассуждать, то и соболь также не обеспечивает. Вы ведь железку уже запустили )))) Ведь так? А до или после ОС- по закону какая разница? Ведь УЦ Вы так и не запустите. Все подходит. Все выполняется.

Share this post


Link to post
Share on other sites

Ну давайте попробуем разобраться.

"средства УЦ - аппаратные и (или) программные средства, используемые для реализации функций УЦ;"

далее:

"системное и прикладное ПО средств УЦ должно обеспечивать разграничение доступа системного администратора средств УЦ ......"

то есть на средствах УЦ возможна установка системного (ОС) и прикладного (к примеру адоб ридер) ПО.

То есть средством УЦ является машина, на которой установлен УЦ, и в то же время программа реализующая функцию УЦ (VipNetовский УЦ, КриптоПро)

Я вижу это так, если не прав, то поправьте

Видно разделение средств УЦ от прикладного и системного ПО

Share this post


Link to post
Share on other sites

комплектация и исполнение одно и то же в большинстве случаев.

И вот опять уперлись в разграничение доступа )))))) Поставьте Вы SecretNet, DallasLock, что-то такое и не парьтесь, это выше, чем электронный замок.

Немного не так. Что касается разграничения доступа, то требования предъявляются к сертифицируемой системе, а не к информационной системе, так что раз сертификат получен, то данный комплекс соответствует требованиям, а вот чтобы он соответствовал требованиям, все его компоненты, как свои, так и заимствованные, прописываются в Формуляр, в комплект поставки или исполнения.Исходя из Правил пользования для продуктов ViPNet версии 3.2.Х, а также комплектации, прописанной в Формуляре как вариант исполнения/поставки 2 для соответствия требованиям КС2 и в обязательном порядке для соответствия требованиям КС3, замок (и не просто замок, а АПМДЗ, сертифицированный по требованиям ФСБ к этому классу устройств) обязателен. Ни Dallas Lock, ни SecretNet его не заменяют. Хотя, в составе SecretNet, если я не ошибаюсь, замок присутствует, но тогда дополнительно обратите внимание на список совместимого с ViPNet стороннего ПО. Кстати, в релизах четвертой версии варианты исполнения немного меняются - для КС1, КС2, КС3, требования смотрите в Правилах пользования и в формулярах на УЦ 4 и CSP 4, Если нужна более подробная информация, напишите на betatest@infotecs.ru , передадим коллегам для консультации. но там уже речь пойдет о конкретных деталях внедрения, возможно, потребуется какая-то доп. информация.

Share this post


Link to post
Share on other sites

Я правильно понял, что если сертифицированный ViPNet 3.2.x, то он бывает только вариант исполнения 2 и обязательно нужен Аккорд?

Все виды аккордов подходят для ViPNet?

Share this post


Link to post
Share on other sites

Хм, я наверное недостаточно подкован в этом вопросе. Но про модуль доверенной загрузки не подскажете, в каких это требованиях прочитать???

Ладно, согласен, что тут хитро поступили, выполняет требования, но только с вот такой вот оговоркой. за которую еще платить. Но не подскажете где написано, что именно АПМДЗ?

Ладно, нашел "ПК ViPNet Administrator 3.2 необходимо использовать совместно с сертифицированными ФСБ России устройствами типа «электронный замок», например, программно-аппаратным комплексом (ПАК) «Соболь» (версия 2.0, 2.1 или 3.0). Использование других устройств, аналогичных ПАК «Соболь» и сертифицированных ФСБ России по классу 2Г и выше, возможно только по согласованию с ОАО «ИнфоТеКС»".

Ваши правила с Вашего диска:

"Рекомендуется использовать ПК ViPNet Client 3.2 с устройством типа «Электронный замок». Допускается эксплуатация ПО ViPNet Client 3.2 без данного устройства в охраняемых помещениях, обеспечивающих невозможность доступа посторонних лиц к компьютерам."

Где именно про доверенную загрузку?

Share this post


Link to post
Share on other sites

Прошу прощения за свою наглость. Но ни в одном документе не нашел, что такое "устройство типа электронный замок". А почему не даллас??? У него на коробке замок нарисован )))))))))))))) Или в помещение допуск по скудам с отпечатками пальцев. Тоже электронный замок ))))))))))))

Ну а если серьезно, то действительно где можно почитать именно про АМДЗ??? Требования, рекомендации. Я не подкалываю, реально хочется больше узнать.

С уважением.

Share this post


Link to post
Share on other sites

Ну а если серьезно, то действительно где можно почитать именно про АМДЗ??? Требования, рекомендации. Я не подкалываю, реально хочется больше узнать.

http://www.okbsapr.ru/

Если честно про Аккорд я тоже не видел, а видел про Соболь (в формуляре), но у меня нет других вариантов, т.к. у меня ESXi и на нем ЦУС и Координатор.

Электронный замок это и есть средство доверенной загрузки.

Возможно для не сертифицированного ViPNet не нужно СДЗ.

Share this post


Link to post
Share on other sites

Нееее, извиняюсь, Вы не поняли. Что это такое АМДЗ я хорошо представляю. Давайте немножко в бюрократию углубимся. Где в законах, требованиях или рекомендациях используется понятие "электронный замок", или про доверенную загрузку говориться? Где хоть в одном документе, хотя бы в Правилах пользования объясняется, что такое "электронный замок". Если я правильно на данный момент понимаю, этого нигде нет. Буду крайне признателен, если кто-то подскажет, где об этом говорится.

Share this post


Link to post
Share on other sites

Правила с Вашего диска:

"Рекомендуется использовать ПК ViPNet Client 3.2 с устройством типа «Электронный замок». Допускается эксплуатация ПО ViPNet Client 3.2 без данного устройства в охраняемых помещениях, обеспечивающих невозможность доступа посторонних лиц к компьютерам."

Почему же сразу не сертифицированный. Как раз наоборот. И правила официальные. То есть клиентов можно оргмерами без "замков" закрывать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.