Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85
Поблагодарили: 9 раз в 6 постах
|
Добрый день Хотел бы уточнить какая схема является более правильной с т.з. обеспечения безопасности: Инет | Router / \ АРМ - ЛВС МЭ - RA - CA или Инет | Router / \ ЛВС МЭ | Switch / \ АРМ RA - CA 1. есть ли документы где это почитать? 2. какую из частей схемы следует аттестовывать по требованиям безопасности фстэк? 3. надо ли проводить замер пэмин при аттестации? заранее благодарен Отредактировано пользователем 30 марта 2010 г. 21:13:17(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Обе схемы правильные. Но первая схема более предпочительной, т.к. сидеть сотруднику на АРМе, который размещен в серверной - несколько неприятно. Либо нужно тянуть длинный провод от Switch до АРМ , что тоже не радует.
Согласно условиям эксплуатации сертифицированного ФСБ изделия "КриптоПро УЦ", никакую часть схемы аттестовывать в обязательном порядке по требованиям ФСТЭК не требуется. Колхоз - дело добровольное :-) |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85
Поблагодарили: 9 раз в 6 постах
|
Юрий Маслов написал:Согласно условиям эксплуатации сертифицированного ФСБ изделия "КриптоПро УЦ", никакую часть схемы аттестовывать в обязательном порядке по требованиям ФСТЭК не требуется. Колхоз - дело добровольное :-) Да, это добровольное решение. В этом случае, как разработчик, что можете рекомендовать или может есть документ, в котором есть рекомендации?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Типовое размещение описано в разделе 4.3 документа "ЖТЯИ.00035-01 90 01. КриптоПро УЦ. Общее описание". Это просто один из варинатов.
Рекомендуем использовать первую продложенную Вами схему, но с небольшой модификацией. Подключай ЦС к ЦР не через кроссверный патч-корд. ЦС и ЦР подключите к свободным портам МЭ и на МЭ настройте правила фильтрации так, что бы снаружи виделся только ЦР. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85
Поблагодарили: 9 раз в 6 постах
|
Юрий Маслов написал:Рекомендуем использовать первую продложенную Вами схему, но с небольшой модификацией. Подключай ЦС к ЦР не через кроссверный патч-корд. ЦС и ЦР подключите к свободным портам МЭ и на МЭ настройте правила фильтрации так, что бы снаружи виделся только ЦР. К сожалению, на МЭ только один внутренний порт, т.е. либо через свитч, либо через кроссоверный кабель. Для соответствия документации остается только кроссоверный патч. И еще небольшой вопрос. Если создается удаленный АРМ администратора, для его подключение к интернет должен использоваться сертифицированный МЭ? Если да, то какого класса? Отредактировано пользователем 2 апреля 2010 г. 14:58:22(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
chomper написал:И еще небольшой вопрос. Если создается удаленный АРМ администратора, для его подключение к интернет должен использоваться сертифицированный МЭ? Если да, то какого класса? Формально требований не предъявляется, поэтму достаточно использовать МЭ, встроенный в WinXP. Но незабудьте про замок "Соболь" для этого АРМа! |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
