Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.04.2009(UTC) Сообщений: 125  Сказал «Спасибо»: 3 раз
Поблагодарили: 28 раз в 20 постах
|
Rams написал:
4. Росреестр - вынести на отдельную от средств УЦ машину;
http://cryptopro.ru/foru....aspx?g=posts&t=4714skir написал:Возможно ли подключить ПО "Редактор документов пользователей УЦ для кадастра" с АРМа Администратора (предварительно его установив на АРМ) к ЦР (на ЦР ПО уже стоит)?
На ЦР-е конектится нормально. Femi написал:Если Вы о "Веб-сервисе предоставления расширенной информации о пользователе" для Росреестра, то Нет. Rams написал:
Еще варианты?
Зависит от мнения регулятора: Является ли подключением ЦР к сети Интернет, если осуществляется защита с использованием АПКШ Континент? Т.е. непосредственно к сети Интернет подключен только АПКШ Континент. Можно ЦР разместить во внутренней сети, доступ к ЦР извне обеспечить публикацией веб сервера через прокси (ISA например) Но снова остается вопрос, озвученный выше.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
По росреестру остается вариант с ПО от росреестра, или самописный вебсервис.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 06.06.2012(UTC) Сообщений: 41 
|
Rams написал:Подниму тему. Пункт 35 приказа №796 от 27.12.2011 звучит: Цитата:
35. При подключении средств УЦ к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1.
Понятно, что средства УЦ класса КВ2 и КА1 у нас отсутствуют. Таким образом, нужно обосновать отсутствие подключения средств УЦ к сети, доступ к которой не ограничен определенным кругом лиц. Может имеется в виду, что сами средства УЦ классом ниже не обеспечивают защиты от соответствующих нарушителей? Если компоненты УЦ подключить через соответствующий МСЭ (например, Континент), то проблема должна решиться или нет? Цитата:2.10. Технические средства, на которые устанавливаются программные компоненты:
• КриптоПро УЦ. Центр сертификации. ЖТЯИ.00067-02 99 01;
• КриптоПро УЦ. Центр регистрации. ЖТЯИ.00067-02 99 02;
• КриптоПро УЦ. АРМ администратора. ЖТЯИ.00067-02 99 03
должны подсоединяться к внешним сетям передачи данных через межсетевой экран не ниже 4 класса защиты по требованиям ФСБ России.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Malakhov написал:Может имеется в виду, что сами средства УЦ классом ниже не обеспечивают защиты от соответствующих нарушителей?
Если компоненты УЦ подключить через соответствующий МСЭ (например, Континент), то проблема должна решиться или нет?
К сожалению, пункт 35 предъявляет требования не к тому, чтобы закрыть ПАК УЦ от сетевых угроз от нарушителей Н5, Н6, а именно требования ко всему ПАК УЦ: Цитата:
При подключении средств УЦ к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1.
Я не знаю средств УЦ, которые прошли бы оценку соответствия по классу КВ2 или КА1. А даже если такие и есть, это явно не коммерческий вариант решения.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.08.2009(UTC) Сообщений: 35 Откуда: Железногорск Красноярского края
|
А виртуальная сеть, организованная на сертифицированных средствах VPN (например Континенты или ViPNet), будет считаться замкнутой (не имеющей выхода в сеть, доступ к которой не ограничен определенным кругом лиц) или нет? Транспортная среда для VPN будет интернет.
Или сам факт подключения к носителю, выходящему за границу контролируемой зоны, уже будет интерпретироваться как выход во внешнюю сеть, даже если их разделяет МСЭ и VPN?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Pilgrim-26 написал:А виртуальная сеть, организованная на сертифицированных средствах VPN (например Континенты или ViPNet), будет считаться замкнутой (не имеющей выхода в сеть, доступ к которой не ограничен определенным кругом лиц) или нет? Транспортная среда для VPN будет интернет.
Или сам факт подключения к носителю, выходящему за границу контролируемой зоны, уже будет интерпретироваться как выход во внешнюю сеть, даже если их разделяет МСЭ и VPN? Сама VPN будет замкнутой, при условии настройки ее таковой и создании соответствующих распорядительных документов. Но как это относится к средствам УЦ? Выше я писал основные виды коммуникации средств УЦ и неограниченного круга лиц: 1. CRL, CRT 2. OCSP 3. ЦР Если вы делаете УЦ, который функционирует для ограниченного круга лиц и вы в состоянии подобное ограничение обеспечить, то требований к средствам УЦ по пункту 35 не предъявляется. P.S. Имхо.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.08.2009(UTC) Сообщений: 35 Откуда: Железногорск Красноярского края
|
Rams написал:Сама VPN будет замкнутой, при условии настройки ее таковой и создании соответствующих распорядительных документов. Т.е. тот факт, что в качестве среды для VPN используется внешняя сеть ничего не значит? Rams написал:Выше я писал основные виды коммуникации средств УЦ и неограниченного круга лиц:
3. ЦР Предполагается использование некоего "Клиент-сервис". До него можно сделать VPN (как на рисунке 2 до удалённого АРМа). КС будет обращаться к ЦР без использования АРМ администратора. Т.е. будет некий Web-интерфейс к УЦ. Другим серевым интерфейсом (одтельная сетевая карта) этот КС имеет выход в интернет. Такая вот схема будет считаться закрытой (ведь с УЦ общается только КС) или ни как? Или без посредничества АРМ Администратора вообще ни как? Отредактировано пользователем 7 июня 2012 г. 13:43:02(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Давайте определимся, какую проблему вы хотите решить и каким образом?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.08.2009(UTC) Сообщений: 35 Откуда: Железногорск Красноярского края
|
Rams написал:Давайте определимся, какую проблему вы хотите решить и каким образом? Задача: 1. Понять требования к УЦ с точки зрения защиты при использовании вышеописанной конфигурации. 2. Если есть возможность каким-то образом изменить/поправить концигурацию УЦ с целью минимизации этих требований. Просто пока УЦ ещё на стадии проектирования ещё что-то можно изменить с целью минимизации затрат. Отредактировано пользователем 7 июня 2012 г. 14:27:04(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Цитата:1. Понять требования к УЦ с точки зрения защиты при использовании вышеописанной конфигурации. Советую начать с инвентаризации требований, которые могут быть актуальны в вашем случае. 1. Деятельность по СКЗИ/ТЗКИ и аттестация АС. 2. Требования по безопасности информации из различных СЭД (площадки, фоив-ы и т.п.) 3. Подумать о персданных 4. Требования к аккредитованным УЦ 5. ... Перечислив все актуальные требования уже можно думать об их оптимизации.
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
