25 марта, понедельник 06:20
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

КриптоПро 3.6, 3.9, 4.0 и т.д.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • КриптоПро 3.6, 3.9, 4.0 и т.д.

    Добрый день.
    Изучая документацию на КриптоПро 4.0 R4 и сравнивая ее с версией 3.9 R2 обнаружил отличия в описании использования ПАКов для различных исполнений (КС1, КС2, КС3).
    В документах Руководство администратора безопасности. Общая часть на версию 3.9 пишется
    Для защиты класса КС1 используются организационно-технические меры, обеспечиваемые администратором безопасности.
    Для защиты классов КС2 и КС3 используются ПАК защиты от НСД и организационно-технические меры, обеспечиваемые администратором безопасности.

    В версии 4.0. такие формулировки отсутствуют. Однако есть пункт 15.6. Требования по использованию в СКЗИ программно-аппаратных средств защиты от НСД
    В качестве программно-аппаратных средств защиты от НСД в СКЗИ могут использоваться Программно-аппаратный комплекс «КРИПТОН-ЗАМОК», электронный замок «Соболь», АМДЗ «Аккорд» и АПМДЗ «МАКСИМ-М1».
    Также в разделе 16 Требования по криптографической защите имеется пункт 13. При функционировании СКЗИ должны выполняться требования эксплуатационной документации на используемый ПАК защиты от НСД.

    Неужели для КриптоПро КС1 теперь требуется использовать ПАК СЗИ?

  • #2
    Сообщение от Svarog.coop Посмотреть сообщение
    Неужели для КриптоПро КС1 теперь требуется использовать ПАК СЗИ?
    Если поставляется в таком варианте, то может использоваться (формуляром предусомтрено, но не ясно есть ли вообще такой вариант поставки).
    Требования к эксплуатации указаны в разделе 2 формуляра (не в руководстве). Для КС2 и КС3 в формуляре есть пункт 2.7, который явно требует СЗ от НСД сертифицированное ФСБ, для КС1 такого требвоания нет.

    Комментарий


    • #3
      Сообщение от Zuz Посмотреть сообщение
      Если поставляется в таком варианте, то может использоваться (формуляром предусомтрено, но не ясно есть ли вообще такой вариант поставки).
      Требования к эксплуатации указаны в разделе 2 формуляра (не в руководстве). Для КС2 и КС3 в формуляре есть пункт 2.7, который явно требует СЗ от НСД сертифицированное ФСБ, для КС1 такого требвоания нет.
      Дак как раз таки формуляром не предусмотрено.

      пункт 1.2 Эксплуатация СКЗИ должна проводиться в соответствии с эксплуатационной документацией.
      Я так понимаю руководство администратора безопасности это и есть часть эксплуатационной документации.
      А там в п.15 указано, что необходимо использовать СЗИ от НСД.

      Комментарий


      • #4
        Сообщение от Svarog.coop Посмотреть сообщение
        ....Неужели для КриптоПро КС1 теперь требуется использовать ПАК СЗИ?
        Если под ПАК СЗИ подразумевается АМДЗ, то для КС1 он не требуется, но и не запрещается.
        См формуляр на КриптоПро CSP 4.0 R4 2-Base (КС2) -
        2.7 СКЗИ должно использоваться со средством защиты от несанкционированного доступа, сертифицированным ФСБ России.

        И, кроме того, СЗ от НСД упоминается в разделе 4. Комплектность.
        Сравните, как выглядит аналогичные пункты формуляра на это же СКЗИ, но на КС1.

        В принципе, есть достаточно универсальный подход, проистекающий из принятой типовой модели угроз/нарушителя:
        КС1 = СКЗИ CSP;
        КС2 = СКЗИ CSP + АМДЗ;
        КС3 = СКЗИ CSP + АМДЗ + "средство_ограничения_среды_выполнения";

        Ес-но, при этом не надо забывать, что это не все имеющиеся различия в требованиях по эксплуатации для различных КС.

        Комментарий


        • #5
          Сообщение от saches Посмотреть сообщение
          Если под ПАК СЗИ подразумевается АМДЗ, то для КС1 он не требуется, но и не запрещается.
          См формуляр на КриптоПро CSP 4.0 R4 2-Base (КС2) -
          2.7 СКЗИ должно использоваться со средством защиты от несанкционированного доступа, сертифицированным ФСБ России.

          И, кроме того, СЗ от НСД упоминается в разделе 4. Комплектность.
          Сравните, как выглядит аналогичные пункты формуляра на это же СКЗИ, но на КС1.

          В принципе, есть достаточно универсальный подход, проистекающий из принятой типовой модели угроз/нарушителя:
          КС1 = СКЗИ CSP;
          КС2 = СКЗИ CSP + АМДЗ;
          КС3 = СКЗИ CSP + АМДЗ + "средство_ограничения_среды_выполнения";

          Ес-но, при этом не надо забывать, что это не все имеющиеся различия в требованиях по эксплуатации для различных КС.
          Это для Випнета так. У КриптоПро логика другая.
          Соболь там закрывает 2 требования:
          1. Наличие сертифицирвоанного СЗИ от НСД.
          2. В КС3 нельзя использовать биологический датчик случайных чисел.
          Про замкнутую программную среду там нечего не написано. Просто сказано, что надо использовать пакет Secure Pack Rus

          Комментарий


          • #6
            Сообщение от Berckut Посмотреть сообщение
            Это для Випнета так. У КриптоПро логика другая.....
            Для КриптоПро, всё точно так же, т.е. схема вполне рабочая:
            КС1 = CryptoPRO CSP;
            КС2 = CryptoPRO CSP + АМДЗ [например, Соболь];
            КС3 = CryptoPRO CSP + АМДЗ [например, Соболь] + SPR3;

            В него (в SPR3) просто помимо ограничения среды выполнения, понапихали еще много чего - https://www.cryptopro.ru/products/other/secure-pack
            И, как следствие, с ним и гимора больше....

            По поводу аппаратного ДСЧ полностью согласен, собственно об этом и писал -"не надо забывать, что это не все имеющиеся различия..."
            В том числе, там и перечень операционок различается.
            Последний раз редактировалось saches; 14.03.2019, 16:16.

            Комментарий


            • #7
              Сообщение от Rubaka Посмотреть сообщение
              Дак как раз таки формуляром не предусмотрено.
              Предусмотрено как опция (для этого есть 5 раздел у всех вариантов исполнения). А в требованиях к эксплуатации для КС1 нет явного требования его использовать (в отличии от КС2 и КС3) равно как и в разделе 4, где комплектация не указано для КС1 что требуется СЗ от НСД и на каких учловиях оно поставляется. Поэтому наличие в документации разделов по его использоанию ничему не проиворечит. Не является тебованием к эсплуатации, является опцией (возможностью).

              Комментарий

              Пользователи, просматривающие эту тему

              Свернуть

              Присутствует 1. Участников: 0, гостей: 1.

              Обработка...
              X