Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
2 Страницы12>
Проектирование УЦ 1.5
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline Aleksandra  
#1 Отправлено: : 13 марта 2012 г. 17:32:42(UTC)
Aleksandra

Статус: Участник

Группы: Участники
Зарегистрирован: 13.03.2012(UTC)
Сообщений: 17

Сказал(а) «Спасибо»: 1 раз
Здравствуйте! Подскажите, пожалуйста, ответ на такой вопрос по сертифицированной версии УЦ 1.5:
В «ЖТЯИ.00067-02 90 11. КриптоПро УЦ. Руководство по безопасности» представлена схема подключения с одним межсетевым экраном на весь комплекс УЦ. В нашем случае возможность прямого подключения к межсетевому экрану для АРМ оператора ЦР и АРм администратора ЦР отсутствует по причине их удаленности. Что порекомендуете в этом случае? Насколько критично это требование?
Правомерно ли подключить АРМ администратора ЦР и АРМ оператора ЦР через коммутатор по vlan к другому коммутатору и затем уже к МЭ? Или обязательно приобретать второй экран для подключения АРМ ЦРк ЛВС?
И еще один вопрос: когда будет сертифицирована версия "КриптоПро УЦ" 1.5 R2?
Вверх
Offline inakonechny  
#2 Оставлено : 13 марта 2012 г. 20:08:20(UTC)
inakonechny

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.03.2012(UTC)
Сообщений: 4
Откуда: Moscow
на МЭ (ЦУС Континент) настраиваем Сервер доступа (+5т.р. за лицензию), на АРМ администратора ставим АП Континент (сертифицированный ФСБ Персональный экран) и подключаем их по VPN.
так выполняем требования формуляра на ПАК КриптоПро УЦ п.2.7. Технические средства, на которые устанавливаются программные компоненты.... должны подсоединяться к внешним сетям передачи данных через межсетевой экран не ниже 4 класса защиты по требованиям ФСБ России.

заключение ФСБ на 1.5 R2 должны получить до 1 июля - этого будет достаточно для соответствия ФЗ-63, а к концу лета и сертификат.
там, кстати, будут более жесткие требования кас. Интернет: п.2.5. ...Подключение ПАК «КриптоПро УЦ» к сетям общего пользования для обеспечения транспортного канала должно осуществляться с использованием устройств, обеспечивающих уровень криптографической защиты не ниже KB2.... (есть такая версия Континента или Атликс VPN)
Вверх
WWW
Offline Aleksandra  
#3 Оставлено : 13 марта 2012 г. 20:40:26(UTC)
Aleksandra

Статус: Участник

Группы: Участники
Зарегистрирован: 13.03.2012(UTC)
Сообщений: 17

Сказал(а) «Спасибо»: 1 раз
С Континентом понятно. А если не его, то ставить второй МЭ на выходе из сегмента сети АРМ УЦ? Кстати, под внешней сетью что понимается?
Вверх
Offline Mayshev Vadim  
#4 Оставлено : 13 марта 2012 г. 21:23:00(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 142
Мужчина
Российская Федерация

Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
inakonechny написал:
там, кстати, будут более жесткие требования кас. Интернет: п.2.5. ...Подключение ПАК «КриптоПро УЦ» к сетям общего пользования для обеспечения транспортного канала должно осуществляться с использованием устройств, обеспечивающих уровень криптографической защиты не ниже KB2.... (есть такая версия Континента или Атликс VPN)

А разве есть Сервер доступа и VPN-клиент Континент АП KB2?
Или к УЦ пользователю/оператору УЦ можно будет подключиться только из-за АПКШ Континент KB2?
Вверх
Offline inakonechny  
#5 Оставлено : 14 марта 2012 г. 14:37:53(UTC)
inakonechny

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.03.2012(UTC)
Сообщений: 4
Откуда: Moscow
"внешняя" - по отношению к сегменту УЦ.
можно использовать второй МЭ, за который вынести удаленные АРМ УЦ (отделить от остальной сети).
для КВ2 - это единственный вариант.
в Атликс VPN клиент есть (Модуль HSM), но он КС3 http://web.stcnet.ru/products/category/1/66.html
Вверх
WWW
Offline Aleksandra  
#6 Оставлено : 14 марта 2012 г. 14:42:58(UTC)
Aleksandra

Статус: Участник

Группы: Участники
Зарегистрирован: 13.03.2012(UTC)
Сообщений: 17

Сказал(а) «Спасибо»: 1 раз
Это официальная позиция КриптоПро или Ваше личное мнение? Мне нужно знать,на кого я могу сослаться про аргументации данной точки зрения перед заказчиком
Вверх
Offline inakonechny  
#7 Оставлено : 14 марта 2012 г. 15:31:27(UTC)
inakonechny

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.03.2012(UTC)
Сообщений: 4
Откуда: Moscow
см. ЖТЯИ.00067 02 90 01 КриптоПро УЦ Общее описание п.4.4. рис.3 (это к 1.5 R2) - наш официальный документ.
Вверх
WWW
Offline Mayshev Vadim  
#8 Оставлено : 14 марта 2012 г. 18:10:17(UTC)
Mayshev Vadim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 24.03.2008(UTC)
Сообщений: 142
Мужчина
Российская Федерация

Сказал «Спасибо»: 18 раз
Поблагодарили: 22 раз в 17 постах
inakonechny написал:
для КВ2 - это единственный вариант

Что АПКШ Континент KB2, что «Атликс-VPN» исполнение 2 (КВ2) - это железные решения, а софтовых KB2 VPN-клиентов, видимо, в природе не существует.
Это значит, что сертифицированный УЦ не сможет реально работать с пользователями через интернет. Или будут легальные ухищрения?
Вверх
Offline inakonechny  
#9 Оставлено : 15 марта 2012 г. 12:06:01(UTC)
inakonechny

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.03.2012(UTC)
Сообщений: 4
Откуда: Moscow
Для каких целей пользователям удаленно работать с УЦ?
Для получения СОС можно использовать сертифицированный ФСБ однонаправленный шлюз (см. рис.4).
кроме того в формуляре п.2.6.: "...либо посредством реализации дополнительных технических и организационных мер, адекватных конкретизированной модели нарушителя, разработанной на основе типовой модели нарушителя ФСБ России к удостоверяющим центрам;"
т.ч. все упирается в грамотный консалтинг.
Вверх
WWW
Offline Rams  
#10 Оставлено : 1 июня 2012 г. 9:53:04(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщения: 95
Мужчина
Откуда: Санкт-Петербург
Подниму тему. Пункт 35 приказа №796 от 27.12.2011 звучит:
Цитата:

35. При подключении средств УЦ к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1.

Понятно, что средства УЦ класса КВ2 и КА1 у нас отсутствуют. Таким образом, нужно обосновать отсутствие подключения средств УЦ к сети, доступ к которой не ограничен определенным кругом лиц.

inakonechny написал:
Для каких целей пользователям удаленно работать с УЦ

1. CRL, CRT - вынести на отдельные сервера с IIS, доступ к ЦР ограничен одной машиной, которая забирает CRL и рассылает на сервера;
2. OCSP - вопрос открыт, можно попробовать обосновать, что OCSP-сервер не относится к средствам УЦ либо сделать шлюз, который пропускает через себя запросы;
3. ЦР - отключить ЦР для удаленных пользователей;
4. Росреестр - вынести на отдельную от средств УЦ машину;

Еще варианты?

Отредактировано пользователем 1 июня 2012 г. 9:54:44(UTC)  | Причина: Не указана
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
2 Страницы12>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET