Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
наличие подключения УЦ к сетям общего пользования
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC)
Сообщений: 195
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 4 раз в 4 постах
|
Юрий, доброго дня!
Спасибо, у меня была ссылка на этот Ваш пост, мы, в принципе, так и поступили - разработали модель угроз и нарушителя, в которой установили уровни актуальных нарушителей. Однако остаётся упоминавшееся в этой ветке "требование пункта 35 Приказа ФСБ №796 от 27 декабря 201"... В промежуточном итоге сейчас рассматриваем вариант с реорганизаций схемы работы УЦ в автономном режиме...
Вместе с тем остаются ещё вопросы, например - в учебном курсе "Информзащиты" приводится схема с размещением ЦР в ДМЗ, но схема ОЧЕНЬ общая - "в три кружка с облаком". Можно ли узнать, как разработчик (и регуляторы) относится к такой схеме и, по возможности, получить более детальные рекомендации?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC)
Сообщений: 195
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 4 раз в 4 постах
|
В очередной раз перечитываю Пр№796... В п.4 Прил.1 и прил 2 сказано, что "...настоящие требования предназначены для заказчиков и разработчиков..." Но мы же - не первые и не вторые. так, может, нам и не заморачиваться?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 14.03.2011(UTC) Сообщений: 213  Откуда: Вологда Сказал «Спасибо»: 32 раз
Поблагодарили: 17 раз в 13 постах
|
Юрий, спасибо за напоминание! :-)
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 16.09.2011(UTC) Сообщений: 239 Откуда: Москва Сказал «Спасибо»: 17 раз
Поблагодарили: 3 раз в 3 постах
|
Вот еще одна ветка, на которой обсуждалась похожая проблема: http://www.cryptopro.ru/....aspx?g=posts&t=5074Аккредитованные УЦ не предоставляют пользователям доступа через интернет к ЦР. К сожалению, никто из представителей аккредитованных УЦ не привел убедительных аргументов. Остается только ссылка на пост 1753 Ю.Маслова. Отредактировано пользователем 4 сентября 2012 г. 18:50:29(UTC)
| Причина: Не указана |
С уважением,
Сергей |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Я бы с осторожностью пользовался той ссылкой. Юрий Маслов написал:
Уровень нарушителя устанавливается вледельцем УЦ и определяется в соответствии с утвержденной руководителем организации, эксплуатирующей "КриптоПро УЦ", уточненной моделью угроз и моделью нарушителя.
Таким образом, если владелец УЦ установил уровень защиты КС2 и уровнь нарушителя не выше Н2, то подключение ПАК "КриптоПро УЦ" к техническим средствам сетей общего пользования (внешних информационных систем), включая сеть "Интернет", не нарушает условий эксплуатации сертифицированного изделия.
Действительно уровень нарушителя устанавливается владельцем УЦ, но остаются еще контролирующие органы и риск несогласия проверяющих с подобной вырожденной моделью угроз. Как вы обоснуете, что нарушители Н3-Н6 не заинтересуются/не смогут создать угроз вашей системе? Для собственного УЦ я сделал так: поставил сервис от Росреестра, OracleXE, IIS на отдельной машине, не имеющей отношения к средствам УЦ.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 18.08.2012(UTC)
Сообщений: 195
Сказал(а) «Спасибо»: 43 раз
Поблагодарили: 4 раз в 4 постах
|
Rams написал:Я бы с осторожностью пользовался той ссылкой.
Как вы обоснуете, что нарушители Н3-Н6 не заинтересуются/не смогут создать угроз вашей системе?
Для собственного УЦ я сделал так: поставил сервис от Росреестра, OracleXE, IIS на отдельной машине, не имеющей отношения к средствам УЦ. Ну да, а что делать, если законы и нормативные документы написаны так, как они у нас написаны... На этом форуме можно материться? В рамках нормативной лексики трудно сформулировать... В модели угроз формулируется ряд предположений, на основании которых угрозы со стороны этих нарушителей признаются маловероятными и неактуальными. Например, из числа возможных нарушителей исключаются разработчики СКЗИ и спецслужбы (отечественные). Вполне логично предположить, что кроме разработчиков СКЗИ и сертифицирующих органов исходных кодов ни у кого нет. ну и далее, как Масяня говаривала: "Вот как-то так...". Ну и вместе с этими бумажными манипуляциями планируем перевести УЦ в автономный режим, а Росреестровкую софтину вынести в ДМЗ на отдельную машину, вот примерно как у Вас сделано. Если решим вопрос увеличения финансирования - попробуем таки поставить однонаправленный шлюз, благо теперь на рынке представлено больше чем одно решение...
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.04.2009(UTC) Сообщений: 125 Сказал «Спасибо»: 3 раз
Поблагодарили: 28 раз в 20 постах
|
avm написал:
Ну да, а что делать, если законы и нормативные документы написаны так, как они у нас написаны...
Ну да, если ещё в тему вспомнить п.3 ст.15 63-ФЗ Цитата:Аккредитованный удостоверяющий центр обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей к выданным этим удостоверяющим центром квалифицированным сертификатам и к актуальному списку аннулированных квалифицированных сертификатов в любое время в течение срока деятельности этого удостоверяющего центра. и приказ МКС от 05.10.11 № 250 и сравнить с требованиями приказа ФСБ №796 Цитата:35. При подключении средств УЦ к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1. Вообще получается песня.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Alexey I написал:Цитата:Аккредитованный удостоверяющий центр обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей к выданным этим удостоверяющим центром квалифицированным сертификатам и к актуальному списку аннулированных квалифицированных сертификатов в любое время в течение срока деятельности этого удостоверяющего центра. и приказ МКС от 05.10.11 № 250 и сравнить с требованиями приказа ФСБ №796 Цитата:35. При подключении средств УЦ к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, указанные средства должны соответствовать требованиям к средствам УЦ класса КВ2 или КА1. Вообще получается песня. А что Вас смущает? Реализовать доступ к списку аннулированных сертификатов и списку выданных сертификатов без использования средств УЦ большая проблема?
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 29.04.2009(UTC) Сообщений: 125 Сказал «Спасибо»: 3 раз
Поблагодарили: 28 раз в 20 постах
|
Rams, проблема не техническая, можно и вручную через АРМ ЦР по вечерам реестр сертификатов из ЦС сохранять и переносить на веб сервер, проблема организационная и больше правовая. Поделитесь пожалуйста опытом. как вы у себя организовали доступ к реестру сертификатов? С учетом ст.14 63-ФЗ Цитата:5. Сертификат ключа проверки электронной подписи действует с момента его выдачи, если иная дата начала действия такого сертификата не указана в самом сертификате ключа проверки электронной подписи. Информация о сертификате ключа проверки электронной подписи должна быть внесена удостоверяющим центром в реестр сертификатов не позднее указанной в нем даты начала действия такого сертификата. Т.е. в день выдачи сертификата реестр, если он не на ЦР, должен быть обновлен (фактически каждый день). С учетом приказа МКС №250 Цитата:7. Раздел "квалифицированные сертификаты ключей проверки электронной подписи, выданные физическим лицам" должен содержать следующие обязательные поля:
1) уникальный номер квалифицированного сертификата;
2) даты начала и окончания действия квалифицированного сертификата;
3) фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата;
4) реквизиты основного документа, удостоверяющего личность владельца квалифицированного сертификата (номер, серия, дата выдачи);
5) страховой номер индивидуального лицевого счета владельца квалифицированного сертификата;
6) сведения о наименованиях, номерах и датах выдачи документов, подтверждающих полномочия владельца квалифицированного сертификата действовать по поручению третьих лиц, если информация о таких полномочиях владельца квалифицированного сертификата включена в квалифицированный сертификат;
7) ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются); Данные п.п. 4, 6 отсутствуют в сертификатах! Т.е. это не только реестр сертификатов из ЦС. Далее Цитата:19. Аккредитованный удостоверяющий центр обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей к реестру квалифицированных сертификатов в любое время в течение срока деятельности этого удостоверяющего центра Цитата:
14. Аккредитованный удостоверяющий центр обеспечивает защиту информации, содержащейся в реестре квалифицированных сертификатов, от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий в течение всего срока своей деятельности.
А также с учетом того, что часть данных являются персональными и попадает под действие 152-ФЗ, а доступ к ЦР к можно организовать, если доступ к сети, к которой подключен ЦР ограничен определенным кругом лиц или если класс средств УЦ соответствуют КВ2 или КА1. Кстати, тема по 250 приказу МКС уже поднималась ранее http://www.cryptopro.ru/....aspx?g=posts&t=4697Отредактировано пользователем 13 сентября 2012 г. 11:24:04(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Цитата:Rams, проблема не техническая, можно и вручную через АРМ ЦР по вечерам реестр сертификатов из ЦС сохранять и переносить на веб сервер, проблема организационная и больше правовая. Таковые проблемы всегда будут, все требования дословно неразумно выполнять =) У меня доступ к реестру не организован, когда начнутся санкции за неисполнение приказа 250 МКС тогда и подумаем, зачем впереди паровоза бежать и решать проблемы, которые еще не возникли. На настоящий момент я полностью отключил УЦ от интернета, CRL распространяется кластером из nginx, на нем же крутятся вспомогательные сервисы.
|
|
|
|
|
|
Форум КриптоПро
»
КриптоПро УЦ
»
КриптоПро УЦ 1.5
»
наличие подключения УЦ к сетям общего пользования
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
