Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline _alexander  
#1 Оставлено : 11 января 2016 г. 17:02:25(UTC)
_alexander

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Не совсем понятно из документации.
1) При эксплуатации УЦ в изолированном режиме допускается ли размещать все компоненты на одном сервере: ЦС, ЦР, Консоль управления ЦР, АРМ РКС ?
Верно ли, что при эксплуатации УЦ в изолированном режиме исчезает необходимость использования межсетевого экрана? Или все-таки ЦС и ЦР необходимо отделять от Консоли управления посредством МЭ?
2) При использовании схемы с подключением к сети допускается ли размещать компоненты ЦС и ЦР на одном сервере?

Отредактировано пользователем 11 января 2016 г. 17:05:21(UTC)  | Причина: Не указана

Offline Станислав Королёв  
#2 Оставлено : 13 января 2016 г. 17:08:26(UTC)
Станислав Королёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.11.2014(UTC)
Сообщений: 219
Российская Федерация

Поблагодарили: 26 раз в 26 постах
Добрый день,

1) Согласно документации ЖТЯИ.00078 01 90 01 ПАК КриптоПро УЦ 2.0. Общее описание.pdf Пункт 2.4.3 Программный компонент УЦ «Диспетчер УЦ»
- Если «КриптоПро УЦ» установлен и эксплуатируется в изолированном режиме, не имеет сетевых соединений, выходящих за контролируемую зону, то допускается установка всех программных компонентов «КриптоПро УЦ», включая Роль УЦ «Сервер центра сертификации», Роль УЦ «Сервер центра регистрации», Роль УЦ «Сервер CDP» на один выделенный компьютер (сервер).
Если Консоль ЦР стоит на выделенном сервере, то рекомендуется использовать МЭ.
2) Согласно документации ЖТЯИ.00078 01 90 01 ПАК КриптоПро УЦ 2.0. Общее описание.pdf Пункт 2.4.3 Программный компонент УЦ «Диспетчер УЦ»
-При обычной конфигурации «КриптоПро УЦ» каждый логический структурный компонент должен быть расположен на отдельном компьютере (сервере или рабочей станции).
Offline chomper  
#3 Оставлено : 2 февраля 2016 г. 10:23:49(UTC)
chomper

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85

Поблагодарили: 9 раз в 6 постах
Добрый день. Хочу добавить вопрос. Возможно ли размещение компонентов ЦС, ЦР на виртуальных машинах?
Offline Kirill Sobolev  
#4 Оставлено : 2 февраля 2016 г. 11:04:07(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Здравствуйте

Да, в целях тестирования.
Техническую поддержку оказываем тут
Наша база знаний
Offline chomper  
#5 Оставлено : 4 февраля 2016 г. 16:48:17(UTC)
chomper

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85

Поблагодарили: 9 раз в 6 постах
Автор: Kirill Sobolev Перейти к цитате
Да, в целях тестирования.


А в промышленных?

В документации на УЦ 2.0 не нашел каких-то требований. В документации на УЦ 1.5 нашел только:

Цитата:
В качестве аппаратной платформы для функционирования Центра Сертификации должен
использоваться компьютер (сервер) типа IBM PC с процессором Pentium IV (и выше), частотой
процессора от 1 ГГц и с минимальным объемом оперативной памяти – 1 Гбайт.


Цитата:
Компьютер (сервер) должен быть оснащен:
• устройством защиты от НСД типа электронный замок («Соболь PCI» или
«Аккорд»);


Цитата:
В качестве программной платформы может использоваться операционная система
Microsoft Windows Server


Цитата:
Для обеспечения требований по безопасности эксплуатации не рекомендуется
устанавливать Центр Сертификации ПАК «КриптоПро УЦ» на контроллер домена или на сервер,
подключенный к домену (Active Directory).


Виртуальная машина на базе Hyper-V подходит под эти требования. Единственное - электронный замок будет контролировать запуск не каждой отдельной виртуальной машины (ЦС или ЦР), а хост-машины. Но и в этом случае запуск ЦС и ЦР не будет возможен без запуска хост-машины. Контроль целостности программных компонентов можно осуществлять встроенными в УЦ средствами.
Offline Kirill Sobolev  
#6 Оставлено : 5 февраля 2016 г. 9:05:30(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Техническую поддержку оказываем тут
Наша база знаний
Offline chomper  
#7 Оставлено : 5 февраля 2016 г. 12:35:28(UTC)
chomper

Статус: Активный участник

Группы: Участники
Зарегистрирован: 22.04.2008(UTC)
Сообщений: 85

Поблагодарили: 9 раз в 6 постах
Ясно. Спасибо.
Offline _alexander  
#8 Оставлено : 27 апреля 2016 г. 18:14:37(UTC)
_alexander

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Добрый день!
В "ЖТЯИ.00078 01 90 01 ПАК КриптоПро УЦ 2.0. Общее описание" версии 2.0.5938.0000 изменился абзац в пункте 2.4.3:
Цитата:
Если УЦ установлен и эксплуатируется в изолированном режиме, не имеет сетевых со-единений, за исключением прямого соединения с АРМ администратора ЦР, то допускается раз-мещение всех программных компонентов «КриптоПро УЦ», включая Роль УЦ «Сервер центра сертификации», Роль УЦ «Сервер центра регистрации», Роль УЦ «Сервер CDP» на один выде-ленный компьютер (сервер), при условии, что АРМ администратора ЦР устанавливается на от-дельную ПЭВМ (см. п. 3.1).


Таким образом, при изолированном режиме работы УЦ теперь ЦС+ЦР и АРМ должны быть на разных ПК.
Верно ли, что для данной схемы наличие МЭ между ПК (в одной контролируемой зоне) не является обязательным?

Отредактировано пользователем 27 апреля 2016 г. 19:21:27(UTC)  | Причина: Не указана

Offline pavelvn  
#9 Оставлено : 10 мая 2016 г. 12:42:11(UTC)
pavelvn

Статус: Эксперт

Группы: Администраторы, Участники
Зарегистрирован: 01.12.2008(UTC)
Сообщений: 54
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 14 раз в 9 постах
Прямое соединение между сервером с УЦ и АРМ администратора не требует МЭ. Других сетевых соединений в изолированном режиме быть не должно.
Offline _alexander  
#10 Оставлено : 12 мая 2016 г. 18:53:31(UTC)
_alexander

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 145

Сказал(а) «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
Ок, спасибо.

Подскажите еще, пожалуйста, "АРМ Пользователя" подпадает под пункт 2.11 Формуляра?
Цитата:
«При организации сетевого взаимодействия компонентов ПАК «КриптоПро УЦ 2.0» меж-ду собой в случае их размещения в разных контролируемых зонах, каналы связи (сети связи) между этими компонентами, в случае если данные каналы связи (сети связи) под-ключены к сетям передачи данных общего пользования (сети интернет), должны быть защищены с использованием СКЗИ, сертифицированных ФСБ России по классу не ниже КВ2, либо быть выделенными в соответствии с ФЗ «О связи» №126-ФЗ от 07.07.2003 го-да.»


То есть если сотрудник организации захочет использовать "АРМ Пользователя" из удаленного офиса своей же компании, то необходимо защищать канал от машины пользователя до контролируемой зоны, в которой находится УЦ, по классу КВ2 ?

Отредактировано пользователем 12 мая 2016 г. 18:57:41(UTC)  | Причина: Не указана

Offline pavelvn  
#11 Оставлено : 13 мая 2016 г. 11:34:44(UTC)
pavelvn

Статус: Эксперт

Группы: Администраторы, Участники
Зарегистрирован: 01.12.2008(UTC)
Сообщений: 54
Откуда: Крипто-Про

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 14 раз в 9 постах
АРМ пользователя это не компонент УЦ, поэтому п. 2.11 формуляра не имеет к нему отношения. К данной ситуации относится пункт 2.9 формуляра, где есть следующее:

Цитата:
При подключении к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц (в том числе к сети интернет), реализованные в изделии ПАК «КриптоПро УЦ 2.0» меры информационной безопасности не обеспечивают защиту от нарушителя, возможности которого превосходят уровень защиты КС2.


Т.е. чтобы подключить нужно как-то ограничить неопределенный круг лиц. И считать, что мы подключаемся не к сети общего пользования, а к корпоративной сети, которая в качестве транспорта использует каналы передачи данных от сети общего пользования.

Один из вариантов такого решения - использование VPN-сетей. Каналы передачи данных используются общедоступные, а доступ при построении такой VPN-сети есть только у пользователей этой VPN-сети. Далее нужно понять, кто является нарушителем для этой VPN-сети и выбрать средства, соответствующие этому нарушителю. Если нарушитель Н2 – то достаточно будет средств КС2, а если Н5 – то тогда и средства KB2.

Отредактировано пользователем 13 мая 2016 г. 11:35:39(UTC)  | Причина: Опечатка

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.