Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline IT Manager  
#1 Оставлено : 24 марта 2009 г. 21:54:44(UTC)
IT Manager

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.03.2009(UTC)
Сообщений: 6
Откуда: KHMAO

Доброго Здравия Всем!
Установил 30 дневную версию 3.6. В качестве считываталя "зарегистрировал" реестр. Решил опробовать связку - служба ЦС (MSCS - MS Server 2003 EE R2) в "изолированном домене" + отечественный криптопровайдер. Процесс установки проходит нормально. Для ЦС выбрал "изолированный корневой", служба стартует, но по окончании невозможно запустить оснастку Центр сертификации (консоль администрирования ЦС) Версия 5.2.3790.3959, "вываливается" с ошибками - WIN 32 :53 (не найден сетевой путь.) Полагаю что-то не так с настройкой DNS в "домене" хотя связка DNS +AD работает нормально, в журналах нет сообщений об ошибках. Может стоит добавить соответствующие записи в файл зоны - SIG и KEY, или в принципе невозможно посадить этих двух зверей в одну клетку? Потому как при выборе "родного" криптопровайдера (MSCP) ВСЁ ХОРОШО, всё стартует и работает.
Расскажите кто "в курсе" что за особенности реализации отечественных стандартов которые не позволяют продукту от MS функционировать "штатно".
Offline Максим Коллегин  
#2 Оставлено : 24 марта 2009 г. 22:37:32(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
ХМ, проблем не было замечено. Пароль на контейнер не ставили?
Знания в базе знаний, поддержка в техподдержке
Offline IT Manager  
#3 Оставлено : 24 марта 2009 г. 22:53:04(UTC)
IT Manager

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.03.2009(UTC)
Сообщений: 6
Откуда: KHMAO

Угу, ставил-ставил, но не запоминал, если правильно ухватил, то стоит оставить пустым или запомнить (по-Вашему)? Если можно по-подробнее поясните ход Ваших мыслей....
Offline Максим Коллегин  
#4 Оставлено : 25 марта 2009 г. 2:33:34(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
1. Проще не ставить.
2. Можно запомнить.
2. Иначе нужно поставить крыжик при установке или в диспетчере служб "разрешить взаимодействие с рабочим столом".

Отредактировано пользователем 25 марта 2009 г. 2:34:47(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
Offline IT Manager  
#5 Оставлено : 25 марта 2009 г. 12:45:19(UTC)
IT Manager

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.03.2009(UTC)
Сообщений: 6
Откуда: KHMAO

1. C "Пустым" поставилось, работает.) В этом случае так понимаю вырастают шансы у "потенциального" злоумышленника "стырить" (Унести по Задорнову) закрытую часть ключа из реестра. Или экспорт соответствующего раздела не поддерживается? Как быть? Использовать что-нибудь вроде Автономного Варианта Secret Net 5.0 и уже там "запретить" раздачу "плюшек"?
2. Вариант №2 (Поставить на контейнер "контрольку". Запомнить и разрешить взаимодействие с рабочим столом (профилем пользователя) обязательно опробую.Только риски те же (по-моему, а по-Вашему?) Как Быть? Использовать другой Считыватель?
А если мне нужна "круглосуточная" готовность после "перезагрузки", например, отключили-включили ЭЛЕКТРОЭНЕРГИЮ, да мало ли что. Всё же контролировать доступ к соответствующим разделам реестра? (что-нибудь вроде Автономного Варианта Secret Net 5.0)???
Offline Максим Коллегин  
#6 Оставлено : 25 марта 2009 г. 12:50:22(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Сначала нужно классифицировать нарушителя.
Знания в базе знаний, поддержка в техподдержке
Offline IT Manager  
#7 Оставлено : 25 марта 2009 г. 14:51:00(UTC)
IT Manager

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.03.2009(UTC)
Сообщений: 6
Откуда: KHMAO

Так Вы же уже "классифицировали" КС1 и КС2 - ??
=Цитата=
- Как я понимаю, основное различие для пользователя СКЗИ в этих классах состоит в том, что в модели нарушителя по КС1 используется только внешний нарушитель, а в КС2 еще и внутренний, не являющийся легитимным пользователем (типа уборщица). Уверен, что поэтому при КС2 необходим электронный замок или тотальное опечатывание всех разъёмов, а при КС1 - не надо.
== конец цитаты ==
==================================================================================
Требования к уровню защиты информации КС2 содержат требования к уровню КС1 плюс дополнительные
требования.Уровень защиты информации определяется потенциальными возможностями нарушителя, в соответсвии с базовой моделью нарушителя, разработанной ФАПСИ. Вкратце - для уровня КС1 предполагается, что имеем случайного внешнего нарушителя который может перхватывать информацию в каналах связи - следовательно достаточные требования - математическая стойкость, корректности реализации и качество ключей.
Уровень КС2 - неавторизованный внутренний нарушитель - следовательно достаточные дополнительные требования - рзаграничение доступа к СКЗИ, ну там есть еще кое-чего. это влечет за собой наличие в системе сертифицированного ФАПСИ/ФСБ электронного замка, его основная задача - идентфикация и аутентфикация пользователя, проверка целостности, доверенная загрузка. Дополнительно - качественный аппаратный датчик случайных чисел и интерфейс к носителью ключевой информации.
== цитата ==
Сертифицируемые изделия классифицируются в зависимости от вида информации, для
защиты которой они предназначены. От этого зависит и стоимость сертификационных испытаний.
Требования ФАПСИ к шифровальным средствам базируются на принятой у нас модели нарушителя. В зависимости от допущений о его возможностях (хакер, фирма-профессионал, иностранная спец. служба) и категории защищаемой информации и выбирается соответствующий класс и подкласс, по которому будет производится сертификация.
== конец цитаты ==
== цитата ===
Насколько я понимаю, существуют различные задачи, подпадающие под разные классы защищенности. В зависимости от класса защищенности выбирается СКЗИ.
КС1 - это класс, самый нижний, обеспечивающий просто ТЕОРЕТИЧЕСКУЮ стойкость алгоритма и правильность реализации.
КС2 - следующий за ним класс, обеспечивает ПРАКТИЧЕСКУЮ стойкость шифра в условиях использования неквалифицированного персонала.
КС3 - это еще и стойкость от атак авторизованного пользователя системы. Каждый следующий класс, естественно, включает предыдущий. Обычно на практике вполне достаточно КС2 для любых задач прикладного уровня.
== конец цитаты ==
== цитата ==
Если говорить коротко, то эти классы различаются стойкостью защиты от различных нарушителей: КС1 - внешний нарушитель; КС2 - внутренний незарегистрированный нарушитель; КС3 - внутренний зарегистрированный нарушитель.
== конец цитаты ==
======================================================
П Р О К О М М Е Н Т И Р У Й Т Е, ЕСЛИ ВОЗМОЖНО.
======================================================
Что возьмём за основу?
======================================================
ГОСТ Р 51275-2006
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ЗАЩИТА ИНФОРМАЦИИ
ОБЪЕКТ ИНФОРМАТИЗАЦИИ.
ФАКТОРЫ, ВОЗДЕЙСТВУЮЩИЕ НА ИНФОРМАЦИЮ
ОБЩИЕ ПОЛОЖЕНИЯ

PROTECTION OF INFORMATION. OBJECT OF INFORMATISATION.
FACTORS INFLUENCING THE INFORMATION. GENERAL
==================================================================
1. IEEE Std 610.12-1990. IEEE Standard Glossary of Software Engineering Terminology.
2. ГОСТ Р ИСО МЭК 12207-99. Информационные технологии. Процессы жизненного цикла программного обеспечения.
3. IEEE 1074. Жизненный цикл разработки программных средств.
4. ИСО/ТО 10006:1997 (R). Менеджмент качества. Руководство качеством при административном управлении проектами.
5. ISO 15846, ISO 10007. Стандарты по менеджменту конфигурации программных средств.
6. ISO 9000 - 2000; группы ГОСТ Р 9000х.
7. ISO/IEC TR 15504. Оценка процессов жизненного цикла ПО (Information technology - Software process assessment).
В части порядка разработки и документирования ИС и ПО
8. ГОСТ 34.ххх. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы.
9. ГОСТ 19.ххх. Единая система программной документации.
10. IEEE 1063-1987. Standard for Software User Documentation.
11. IEEE 830-1994. Рекомендуемая практика формирования спецификаций программного обеспечения.
12. IEEE 829. Планирование тестирования программных средств.
13. DoD STD 2167A. Разработка программного обеспечения оборонных систем.
В части качества программных средств
14. ГОСТ 28806. Качество программных средств. Термины и определения.
15. ГОСТ 28195. Оценка качества программных средств. Общие положения.
16. ГОСТ 9126. Информационная технология. Оценка программного продукта. Характеристики качества и руководящие указания по их применению.
?

Отредактировано пользователем 25 марта 2009 г. 16:53:59(UTC)  | Причина: Не указана

Offline Максим Коллегин  
#8 Оставлено : 25 марта 2009 г. 16:43:54(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Цитата:
Что возьмём за основу?
Что хотите.

Крипто-Про может предложить защиту по уровнями KC1, KC2 и KB2 (http://www.cryptopro.ru/cryptopro/products/atlix-hsm/default.htm)
Знания в базе знаний, поддержка в техподдержке
Offline IT Manager  
#9 Оставлено : 25 марта 2009 г. 17:16:20(UTC)
IT Manager

Статус: Новичок

Группы: Участники
Зарегистрирован: 24.03.2009(UTC)
Сообщений: 6
Откуда: KHMAO

Благодарю за содействие. Кульный Девайс, однако и цена соответствующая(?).
Вот на самом деле задумаешься - "а стоит ли игра свеч" )?
Ориентир ЯСЕН вполне (Цель всего лишь - желаемый результат деятельности).
И что же у Вас есть реализованные проекты с этим устройством? (Клиенты не жалуются?)
Ваш "SUPPORT" там живёт наверное (?!). Что же, как там в песне "поётся", лишь бы вместе с "забором" не унесли.)
И что же транспортировка, настройка, ввод в эксплуатацию с выездом Ваших сотрудников к месту монтажа?
Простите за тон, если что не так.
Offline Максим Коллегин  
#10 Оставлено : 25 марта 2009 г. 17:22:02(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 6,393
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 37 раз
Поблагодарили: 717 раз в 621 постах
Проекты есть, клиенты не жалуются.
Позвоните в наш коммерческий отдел и выясните условия - возможны различные варианты.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (4)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.