19 октября, пятница 04:28
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Сертифицированный VPN

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сертифицированный VPN

    Возможно надо было начать другую темку. Но в связи с возникшей темой защиты персональных данных возник следующий вопрос. Для защиты ПД передаваемых через открытую сеть должен использоваться сертифицированный VPN. Какие железки, кроме модуля для Cisco RVPN, сертифицированы ФСТЭК??

  • #2
    Вы хотите именно железку? Если нет, то
    поиск в гугле по слову "криптомаршрутизатор"
    на сайте fstec.ru утаскиваем "Государственный реестр сертифицированных средств защиты информации" из раздела "Сведения о Системе сертификации средств защиты информации
    по требованиям безопасности информации"
    сверяем названия из гугля с реестром
    либо по каждой интересной ссылке гугля лезем и находим инфу про сертификат.

    Комментарий


    • #3
      Сообщение от evgeniy_v Посмотреть сообщение
      Возможно надо было начать другую темку. Но в связи с возникшей темой защиты персональных данных возник следующий вопрос. Для защиты ПД передаваемых через открытую сеть должен использоваться сертифицированный VPN. Какие железки, кроме модуля для Cisco RVPN, сертифицированы ФСТЭК??
      Ну защита данных в каналаз связи - это малость не ФСТЭК, а ФСБ. И если речь идет именно о ПД, как и о другой конфиденциальной информации (по 188-му Указу), то использовать надо только сертифицированные решения. RVPN использует сертифицированное криптоядро, но сам (как комплекс) пока не сертифицирован.

      Комментарий


      • #4
        Сообщение от Алексей Лукацкий Посмотреть сообщение
        И если речь идет именно о ПД, как и о другой конфиденциальной информации (по 188-му Указу), то использовать надо только сертифицированные решения.
        Алексей, подскажите, пожалуйста, в соответствии с каким нормативным документом надо использовать только сертифицированные решения.
        Указ 188 только утверждает перечень сведений конфиденциального характера.

        Комментарий


        • #5
          Граждане, ставьте OpenVPN и не заморачивайтесь. Самое простое и надёжное программное решение. Реализуется многими.

          Комментарий


          • #6
            Постановление правительства РФ от 17 ноября 2007 г. N 781

            "...
            17. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
            В отношении разработанных шифровальных (криптографических) средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, проводятся тематические исследования и контрольные тематические исследования в целях проверки выполнения требований по безопасности информации. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.
            Конкретные сроки проведения контрольных тематических исследований определяются Федеральной службой безопасности Российской Федерации.
            18. Результаты оценки соответствия и (или) тематических исследований средств защиты информации, предназначенных для обеспечения безопасности персональных данных при их обработке в информационных системах, оцениваются в ходе экспертизы, осуществляемой Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.
            "

            Комментарий


            • #7
              Сообщение от serenka Посмотреть сообщение
              Граждане, ставьте OpenVPN и не заморачивайтесь. Самое простое и надёжное программное решение. Реализуется многими.
              На OpenVPN есть сертификат ФСТЭК?

              Комментарий


              • #8
                evgeniy_v В постановлении 781 указано, что в отношении криптосредств ФСБ проводит исследования. Пусть проводит, это дело ФСБ, пожелаем ей успеха. Про то, что банк обязан использовать сертифицированные средства для защиты ПД, в Вашей цитате ничего не сказано.
                Поэтому вопрос (для меня) пока остаётся открытым.

                Комментарий


                • #9
                  глава 4 Статья 19 пункт 1 закона о ПД говорит об использовании шифровальных (криптографических) средств. Насколько я понимаю "политику партии", в нашей стране только сертифицированные ФСБ средства на соответствие определенным Требованиям могут называться шифровальными (криптографическими).

                  Комментарий


                  • #10
                    Вот какая есть информация в FAQ Cisco по использованию криптографии.

                    "В17. Какие существуют требования к шифровальным средствам,
                    обеспечивающим защиту конфиденциальной информации.
                    О17. В следующих нормативных документах:
                    - Федеральный закон от 27 июля 2006 года № 152- ФЗ 27
                    «О персональных данных»;
                    - Постановление Правительства Российской Федерации от 15 августа
                    2006 года № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»;
                    - «Специальные требования и рекомендации по технической защите
                    конфиденциальной информации» (СТР-К, изданные ФСТЭК России),
                    требуется использовать для защиты конфиденциальной информации только сертифицированные средства защиты, в т. ч. сертифицированные шифровальные средства."
                    Подробнее, наверное, может сказать только Алексей Лукацкий.

                    Комментарий


                    • #11
                      Цепочку вижу следующую.
                      ФЗ "об информации, ИТ и защите информации" по вопросу защиты ПД отсылает к ФЗ "о ПД".
                      ФЗ "о ПД" говорит, что порядок защиты ПД регулируется Правительством.
                      Правительство через Постановление 781 перевело стрелки на ФСТЭК и ФСБ, обязав их в 3-месячный срок установить порядок защиты ПД.
                      Нигде в этих документах ничего не сказано о необходимости применять сертифицированные СЗИ. Так что ждём-с издания нормативки от ФСБ и ФСТЭК.
                      Есть, конечно СТР-К, который обязывает защищать ПД сертифицированными СЗИ, проводить аттестацию, етц. Но СТР-К в эту цепочку не укладывается. Пока что, по крайней мере. Быть может, ФСТЭК и подсунет нам на днях этот старый добрый документ...

                      Комментарий


                      • #12
                        Сообщение от VSB Посмотреть сообщение
                        Насколько я понимаю "политику партии", в нашей стране только сертифицированные ФСБ средства на соответствие определенным Требованиям могут называться шифровальными (криптографическими).
                        Это Вы понимаете "политику партии" Республики Беларусь, где средство является СКЗИ тогда и только тогда, когда оно сертифицировано КГБ, по определению. У нас "политика партии" намного более размытая ввиду большой взяткоёмкости

                        Комментарий


                        • #13
                          Окей. Почему-то вспоминается фирма ЛАН Крипто. Извините, что влез в калашный ряд, просто не видел ни разу ни одного продукта в России официально продающегося как средство криптографической защиты информации и не имеющей сертификата от ЦБС ФСБ (ФАПСИ).

                          Комментарий


                          • #14
                            VSB
                            Не надо, пожалуйста, извиняться, мы же просто мнениями обмениваемся, не так ли?
                            http://www.softkey.ru/catalog/progra...52854&ID=35204
                            "Криптографическая система Atlansys Bastion Pro ... бла-бла-бла ..."
                            http://www.softkey.ru/catalog/progra...52854&ID=29414
                            "Шифрование всех данных, хранящихся на жёстких и съёмных устройствах, автоматически, посредством криптографической защиты."

                            Криптосредства, которые продаются официально в России и не являются сертифицированными СКЗИ.

                            Комментарий


                            • #15
                              2sunny работали с этой системой Atlansys Bastion Pro?
                              Как ощущения?

                              Комментарий


                              • #16
                                barmalei нет, не работал, привёл только для примера в дискуссии с VSB

                                Комментарий


                                • #17
                                  ну, э, да конечно
                                  вот представляю, как на сайте VSBsupercrypto.ru я пишу:
                                  "Программой используются режим шифрования для дисков LRW и современные и подтвержденные криптостойкостью продвинутые или скоростные алгоритмы шифрования с максимальным ключом."
                                  и все банки окормляются моим программным продуктом.

                                  Мдя, проснулся,
                                  в карманах пусто

                                  Наверно я излишне щепетилен, но "Уникальная разработка, объединившая в себе..." уже вызывает отторжение.

                                  Кроме того, слово "средство" там не применяется (или я не нашёл). Пусть придирка к терминам, но иначе я своих домашних "пляшущих человечков" обзову СКЗИ для применения в банковской системе

                                  Комментарий


                                  • #18
                                    Сообщение от evgeniy_v Посмотреть сообщение
                                    Подробнее, наверное, может сказать только Алексей Лукацкий.
                                    504-е постановление требует от вас сертифицируемых средств защиты.

                                    Комментарий


                                    • #19
                                      так мы про СЗИ или СКЗИ?

                                      Комментарий


                                      • #20
                                        Сообщение от VSB Посмотреть сообщение
                                        так мы про СЗИ или СКЗИ?
                                        Пререквизитом для получения криптографической лицензии является использование техники, аттесованной по ТЗИ. Такую аттестацию проводят аттестационные центры ФСТЭК. Аттестация требует использования сертифицированных средств - как минимум, сертифицированных электронных замков, если криптог8рафичееская машинка оторвана от сети, и, вдобавок, сертифицированых МЭ, еслти не оторвана.

                                        Информация от аттестационного центра Информзащиты - я сейчас подготовкой к получению лицензий занимаюсь.

                                        Комментарий


                                        • #21
                                          Криптографической лицензии? Это любой из четырёх от ФСБ? Перечитал пункты 4. а)-ж) положения о распространении - не нашёл ничего про использование аттестованной техники.
                                          Жаль чуть раньше это не прозвучало, как раз вчера ездил в ех-ЛСЦ забирать лицензии, можно было спросить напрямую.

                                          Точно нет путаницы? Вот для получения ФСТЭКовской лицензии действительно нужна аттестованная автоматизированная система (пусть и из одного АРМа).

                                          Комментарий


                                          • #22
                                            Не удержался, перезвонил туда (ЛСЦ ФСБ), спросил. Мне без объяснений ответили - да, нужно иметь аттестат от ФСТЭКа. Так что неправ я оказался.

                                            Комментарий


                                            • #23
                                              Алексей Лукацкий 504-е постановление регулирует порядок получения лицензий и требует от соискателя использовать сертифицированные средства.
                                              Т.е. "хочешь лицензию => должен использовать сертифицированные средства".
                                              Но там не написано, что:
                                              а) я как соискатель могу использовать только сертифицированные средства
                                              б) какие средства я должен и могу использовать, безотносительно того, нужна ли мне лицензия

                                              Так что вопрос продолжает (для меня) оставаться открытым.

                                              Комментарий


                                              • #24
                                                sunny

                                                Изначально стоял вопрос про VPN для персональных данных. ПД - это конфиденциальная информация (по 188-му Указу). Для защиты конфиденциальной информации нужна лицензия. Когда ФСТЭК будет давать лицензию она спросит, а есть ли у вас сертификат на средства защиты ПД?

                                                Комментарий


                                                • #25
                                                  Сообщение от sunny Посмотреть сообщение
                                                  а) я как соискатель могу использовать только сертифицированные средства
                                                  б) какие средства я должен и могу использовать, безотносительно того, нужна ли мне лицензия
                                                  С этим сразу и просто, и сложно. Чтобы получить лицензию, вы должны выбрать объект информатизации и его аттестовать. После этого вы можете получить лицензию на ТЗКИ в рамках аттестованного объекта. Все, что происходит вне объекта, никого не волнует.

                                                  Весь фокус в выборе объекта информатизации. У вас, скорее всего, не получится аттестовать АБС, за это, скорее всего, просто никто не возьмется. Обычно берут какой-то маленький кусочек, отгораживаеют сертфицированными файрволлами, ставят электронный замок (и говорят, что все пользователи - админы) или Secret Net. Кусочек аттестуется. выдаетяс лиценщзия и все довольны.

                                                  Как ситуация изментися с выходом требований по ПД, не знает никто.

                                                  Комментарий


                                                  • #26
                                                    Ну защита данных в каналаз связи - это малость не ФСТЭК, а ФСБ. И если речь идет именно о ПД, как и о другой конфиденциальной информации (по 188-му Указу), то использовать надо только сертифицированные решения. RVPN использует сертифицированное криптоядро, но сам (как комплекс) пока не сертифицирован.
                                                    Алексей я правильно понял ... что Cisco с RVPN пока нельзя использовать для обработки ПП?? Есть ли надежда на скорую сертификацию комплекса??

                                                    Комментарий


                                                    • #27
                                                      malotavr , вот примерно об этом я и хотел ответить Алексею Лукацкому.
                                                      Что мешает получить лицензию, показав ФСТЭК, скажем, один аттестованный ПК для обработки ПД, а потом поставить OpenVPN и гонять по нему ПД по всей матушке-России?
                                                      Короче, ясно. Ждём документ, а там видно будет.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от sunny Посмотреть сообщение
                                                        malotavr , вот примерно об этом я и хотел ответить Алексею Лукацкому.
                                                        Что мешает получить лицензию, показав ФСТЭК, скажем, один аттестованный ПК для обработки ПД, а потом поставить OpenVPN и гонять по нему ПД по всей матушке-России?
                                                        Короче, ясно. Ждём документ, а там видно будет.
                                                        Как правильно ранее отмечал malotavr дело не в логике и здравом смысле, а законе ;-) Разумеется вы можете поступить так, как вы предлагаете.

                                                        ЗЫ. Более того, есть куча других сложностей с обязательной сертифицикацией средств защиты. Например, если вы обрабатываете данные в какой-нибудь СУБД (например, DB2 или Sybase), то как их сертифицировать никто не знает. Но как-то работают ;-)

                                                        Комментарий


                                                        • #29
                                                          Про DB2 снимаю утверждение ;-) Он оказывается сертифицирован в ноябре прошлого года

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                            Как правильно ранее отмечал malotavr дело не в логике и здравом смысле, а законе ;-) Разумеется вы можете поступить так, как вы предлагаете.
                                                            Более того, ФСТЭК рекомендует так поступать. Дело в том, что вот уже 15 лет ФСТЭК не может ответить на вопрос, как аттестовывать автоматизированные системы с неограниченным или изменяющимся количеством клиентских рабочих мест. Поэтому на вопрос "а нужно ли аттестовывать АБС" вы получите ответ "на фиг, на фиг, аттестуйте что-нибудь попроще".

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X