14 апреля, среда 22:34
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

МСЭ для КриптоПро УЦ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • МСЭ для КриптоПро УЦ

    Коллеги, читаю документацию на КриптоПро УЦ. Нам написано, что ЦР олжен быть защищен от всего остального при помощи МСЭ 4 класса защищенности.
    Далее цитата: Должны использоваться межсетевые экраны не ниже 4-го класса в соответствии с «Временными требованиями к устройствам типа межсетевые экраны».»

    Вопросы:
    Документ открытый или закрытый?
    Где мне найти список МСЭ, имеющих сертификацию ФСБ?


    Накопал в Инете:
    Временные требования ФАПСИ от 1998 года.
    Цель – классификация МЭ по уровню защищенности от НСД к информации на основе классификационных таблиц свойств МЭ и защищаемой АС.
    МЭ – локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, которая циркулирует между отдельными подсистемами обработки информации внутри АС иили между АС и обеспечивают защиту АС посредством фильтрации информации, т.е. Ее анализа по совокупности критериев и принятии решения о ее распространении в (из) АС.
    Устанавливается пять классов защищенности МЭ.
    Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
    Для защиты информации в АС, содержащих
    криптографические средства, аттестованные
    по уровню «С» - должны применяться МЭ не ниже 5 класса.
    Для уровня «В» - не ниже 4 класса,
    Для уровня «А» - не ниже 3 класса.
    http://dvkostrov.narod.ru/statiafw.html

  • #2
    зачем тебе ФСБ?

    4 класс МЭ это из РД СВТ ФСТЭКа (всего классов 5).
    Таких МЭ много, перечень сертифицированного оборудования можно скачать на сайте все того же ФСТЭК (и сами РДшки можно там же забрать).

    Комментарий


    • #3
      Именно по ФСБ идет речь.

      Комментарий


      • #4
        2-а раза стоял перед таким выбором.
        Остановился на "Континенте" Информзащиты, с остальными - много геморроя: у цисок с сертификацией полная ж (каждая железяка индивидуально сертифицируется, денег стоит и еще ждать долго); Инфотексовскую программулю юзали - странная она, тех подд - ваааще никакая.
        сейчас информзащита, вроде, софтверный сертифицированный МЭ выпустили - но на мой взгляд, еще не доделали толком. Бери "Континент" железяку и будет счастье.

        Даа, можешь голову не ломать. Позвони КрпитоПрам, они подскажут. Даже где купить, скорей всего, подскажут.

        Комментарий


        • #5
          Сообщение от xell Посмотреть сообщение
          Даа, можешь голову не ломать. Позвони КрпитоПрам, они подскажут. Даже где купить, скорей всего, подскажут.
          +1

          Комментарий


          • #6
            Сообщение от UzbekRus Посмотреть сообщение
            Коллеги, читаю документацию на КриптоПро УЦ. Нам написано, что ЦР олжен быть защищен от всего остального при помощи МСЭ 4 класса защищенности.
            Далее цитата: Должны использоваться межсетевые экраны не ниже 4-го класса в соответствии с «Временными требованиями к устройствам типа межсетевые экраны».»

            Вопросы:
            Документ открытый или закрытый?
            Где мне найти список МСЭ, имеющих сертификацию ФСБ?
            Все документы ФСБ закрытые. Список сертифицированных МСЭ можно найти на сайте ФСБ. Там всего 2 продукта - Континент и VipNet.

            Комментарий


            • #7
              Подскажите, пожалуйста, где искать СрЗИ на сайте ФСБ? Заодно хочется очно там увидеть, что из тройки антивирусов: Каспер, Вэб и Эсет имеют сертификаты ФСБ только первый и второй.

              Комментарий


              • #8
                Сообщение от UzbekRus Посмотреть сообщение
                Именно по ФСБ идет речь.
                Не думаю. если нужно изолировать ЦР межсетевым экраном (statefull packet filter), то можно смело использовать сертифицированные МЭ по РД ФСТЭК, без функции VPN.

                Сертификация в ФСБ необходима в случаях наличия в данном оборудовании средств VPN (крипто), в данном случае я не вижу необходимости что-то шифровать.

                UPD: http://clsz.fsb.ru/files/download/perechenssz010710.doc

                Комментарий


                • #9
                  Сообщение от conficker-i Посмотреть сообщение
                  Не думаю. если нужно изолировать ЦР межсетевым экраном (statefull packet filter), то можно смело использовать сертифицированные МЭ по РД ФСТЭК, без функции VPN.

                  Сертификация в ФСБ необходима в случаях наличия в данном оборудовании средств VPN (крипто), в данном случае я не вижу необходимости что-то шифровать.

                  UPD: http://clsz.fsb.ru/files/download/perechenssz010710.doc
                  Данное требование берется из Формуляра на УЦ (т.е. из требований по сертификации СКЗИ) и наличие такого МЭ = сертифицированности УЦ.

                  Комментарий


                  • #10
                    Да. А еще в ФСБ есть закрытый документ с примерным названием "Требования ИБ к УЦ", в котором, видимо, это требование и прописано.
                    Кстати, что удивительно, нигде в документах на КриптоПро УЦ не сказано про антивирусную защиту. Стало быть она не обязательна?

                    Комментарий


                    • #11
                      Сообщение от UzbekRus Посмотреть сообщение
                      Да. А еще в ФСБ есть закрытый документ с примерным названием "Требования ИБ к УЦ", в котором, видимо, это требование и прописано.
                      Кстати, что удивительно, нигде в документах на КриптоПро УЦ не сказано про антивирусную защиту. Стало быть она не обязательна?
                      ты когда с девушкой не знакомой встречаешься, презег тоже не обязательно, в принципе ))

                      Комментарий


                      • #12
                        У нас часто ИБ относится роль второстепенная. Де-факто, куда важнее, людям комплаинс
                        К тому же, если рассматривать всё-таки ИБ, то отсутствие адм.прав+анализ защищенности+невтыкание_чего_попало_во_все_попало_порты_и_интерфейсы даст больший результат, чем установка антивируса

                        Комментарий


                        • #13
                          Сообщение от UzbekRus Посмотреть сообщение
                          У нас часто ИБ относится роль второстепенная. Де-факто, куда важнее, людям комплаинс
                          К тому же, если рассматривать всё-таки ИБ, то отсутствие адм.прав+анализ защищенности+невтыкание_чего_попало_во_все_попало_порты_и_интерфейсы даст больший результат, чем установка антивируса

                          ИБ, как в принципе и многое, хорошо когда к нему подходят комплексно. Если, например, себе можно доверить (и то не всегда )), то вот на других положится не очень-то и стоит. Да и вообще хорошо, что будет после тебя.

                          Комментарий


                          • #14
                            Приветствую!
                            Подходящий темы не нашел...

                            Если не трудно, дайте пару тезисов, почему керио винроут в качестве МСЭ для ЛВС - маст дай.
                            И как обосновать, что надо, например, циски ставить чтобы оградить ЛВС банка от внешних сношений.

                            Спасибо! Просьба не ржать над ботаником, который, мягко говоря, отношения к IT не имеет, но которому НАДА...
                            С уважением

                            Комментарий


                            • #15
                              Сообщение от ZM Посмотреть сообщение
                              Если не трудно, дайте пару тезисов, почему керио винроут в качестве МСЭ для ЛВС - маст дай.
                              Потому что не сертифицирован, и потому что никогда не рассматривался как серьезный продукт ни одним изданием, лабораторией и т.п. Это уровень малого предприятия, максимум.

                              Сообщение от ZM Посмотреть сообщение
                              И как обосновать, что надо, например, циски ставить чтобы оградить ЛВС банка от внешних сношений.
                              А мы не ограждаем, мы разграничиваем ;-) Обоснований может быть куча:
                              - бренд
                              - надежность и наработка на отказ
                              - функциональность
                              - масштабируемость
                              - ТСО
                              - сертификация у регуляторов
                              - поддержка в России на русском языке
                              - большое количество складов по России
                              - обучение и сертификация специалистов
                              - и т.д.

                              Комментарий


                              • #16
                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                Потому что не сертифицирован, и потому что никогда не рассматривался как серьезный продукт ни одним изданием, лабораторией и т.п. Это уровень малого предприятия, максимум.
                                Это я все понимаю и согласен, но, как говорится, к делу не пришьешь с обоснованием "это несерьезный продукт"... А то я напишу, а мне в ОИБе скажут: "малчик, отойди от ЭВМ, иди пожуй болтов..."

                                А мы не ограждаем, мы разграничиваем ;-) Обоснований может быть куча:
                                - бренд
                                - надежность и наработка на отказ
                                - функциональность
                                - масштабируемость
                                - ТСО
                                - сертификация у регуляторов
                                - поддержка в России на русском языке
                                - большое количество складов по России
                                - обучение и сертификация специалистов
                                - и т.д.
                                К тому же циска - это жалезка....
                                Как бы еще это обречь в словесную форму с точки зрения ИБ...
                                С уважением

                                Комментарий


                                • #17
                                  Обязательно ли аттестовать УЦ? Если да то каким документом это регламентируется?

                                  Комментарий


                                  • #18
                                    Сообщение от AlexIB Посмотреть сообщение
                                    Обязательно ли аттестовать УЦ? Если да то каким документом это регламентируется?
                                    Сам УЦ нет - требований таких нет.

                                    Комментарий


                                    • #19
                                      А мне вот интересно, нужно "включать" УЦ в этот реестр?

                                      Комментарий


                                      • #20
                                        Сообщение от xell Посмотреть сообщение
                                        Сам УЦ нет - требований таких нет.
                                        А что тогда требуется и чем регламетировано?

                                        Комментарий


                                        • #21
                                          Сообщение от AlexIB Посмотреть сообщение
                                          Обязательно ли аттестовать УЦ? Если да то каким документом это регламентируется?
                                          При наличии у Вашей организации лицензий на крипт от ФСБ - аттестовать УЦ обязательно, по скольку УЦ содержит крипт. Регламентируется набором документов начиная с закона о лицензировании и заканчивая самими лицензиями.

                                          Комментарий


                                          • #22
                                            Сообщение от UzbekRus Посмотреть сообщение
                                            А мне вот интересно, нужно "включать" УЦ в этот реестр?
                                            ввиду того, что законодательство в этом месте у нас Г..., по-этому однозначного ответа нет.
                                            цлсз-шники, фиатовцы и прочие говорят, что обязательно, т.к. это дает документообороту юридическую значимость, но объяснить почему не могут (вообщем такая же хня, как и с лицензиями).

                                            с другой стороны, это не сложно сделать и круто, когда твой УЦ торчит в этом Реестре.

                                            Комментарий


                                            • #23
                                              Сообщение от Идущий Посмотреть сообщение
                                              При наличии у Вашей организации лицензий на крипт от ФСБ - аттестовать УЦ обязательно, по скольку УЦ содержит крипт. Регламентируется набором документов начиная с закона о лицензировании и заканчивая самими лицензиями.
                                              вы путаете. если есть лицензии на крипту, то главное, чтобы УЦ (ПО УЦ) был сертифицирован, т.е. это же тоже СКЗИ, а лицензиаты должны использовать сертифицированные СКЗИ (хотя тоже самое четко ни в одном документе это не описано, это другой вопрос). А аттестация всплывает из 957 ПП - "применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации;" - для этого достаточно аттестовать, например, АРМ генерации, т.е. машинку на которой будете генерить ключи для вашего ЭДО.

                                              Комментарий


                                              • #24
                                                Сообщение от xell Посмотреть сообщение
                                                вы путаете. если есть лицензии на крипту, то главное, чтобы УЦ (ПО УЦ) был сертифицирован, т.е. это же тоже СКЗИ, а лицензиаты должны использовать сертифицированные СКЗИ (хотя тоже самое четко ни в одном документе это не описано, это другой вопрос). А аттестация всплывает из 957 ПП - "применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации;" - для этого достаточно аттестовать, например, АРМ генерации, т.е. машинку на которой будете генерить ключи для вашего ЭДО.
                                                А так же машинку на которой выпускаются корневые ключ и сертификат для Центра Сертификации и машинку на которой выпускаются ключи и сертификты Центра Регистрации. Но если все это одна и таже машинка, то достаточно аттестовать только ее.

                                                Комментарий


                                                • #25
                                                  Сообщение от Идущий Посмотреть сообщение
                                                  А так же машинку на которой выпускаются корневые ключ и сертификат для Центра Сертификации и машинку на которой выпускаются ключи и сертификты Центра Регистрации. Но если все это одна и таже машинка, то достаточно аттестовать только ее.
                                                  а зачем? откуда это вытекает? помнится года эдак с 2001 кормили требованиями к УЦ, но как-то они так и не родились.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от xell Посмотреть сообщение
                                                    вы путаете. если есть лицензии на крипту, то главное, чтобы УЦ (ПО УЦ) был сертифицирован, т.е. это же тоже СКЗИ, а лицензиаты должны использовать сертифицированные СКЗИ (хотя тоже самое четко ни в одном документе это не описано, это другой вопрос). А аттестация всплывает из 957 ПП - "применение лицензиатом средств обработки информации, аттестованных в соответствии с требованиями по защите информации;" - для этого достаточно аттестовать, например, АРМ генерации, т.е. машинку на которой будете генерить ключи для вашего ЭДО.

                                                    А на продление лицензий тоже?
                                                    Аттестация долго проходит?
                                                    ФСБ без прихода в БАНК может продлить лицензию?
                                                    А если придут, а аттестованного АРМ нет - продлят с замечаниями или не продлят?
                                                    Сколько по времени проходит аттестация от подачи заявки? Аттестует ФСТЕК?
                                                    Удачи!

                                                    Комментарий

                                                    Обработка...
                                                    X