Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline andr  
#1 Оставлено : 6 июля 2009 г. 19:15:40(UTC)
andr

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9

Корректно ли использование КриптоПро CSP 3.6 применительно к протоколу SSTP (Windows Server 2008), работающего по протоколу TLS, с точки зрения российских регулирующих органов (ФСБ, ФСТЭК)? Мне подсказали, что при некоторых условиях может потребоваться контроль корректности встраивания.
Как это сделать? Хотелось бы получить какую-нибудь информацию на эту тему.
Спасибо
Offline Юрий Маслов  
#2 Оставлено : 6 июля 2009 г. 19:34:35(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Использование - корректно. Но, в соответствии с ПКЗ-2005, если СКЗИ используется в гос органах или для защиты персональных данных, то требуется осуществлять контроль встраивания. Контроль встраивания осуществляет ФСБ России. Порядок определен в ПКЗ-2005.
С уважением,
КРИПТО-ПРО
Offline andr  
#3 Оставлено : 21 июля 2009 г. 14:50:30(UTC)
andr

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9

Правильно ли я понял, что, исходя из пункта 5.1 "Методических материалов ФСБ от 21 февраля 2008 г.", возможно проводить встраивание СКЗИ КриптоПро 3.6 (КС1, КС2) без контроля со стороны ФСБ?
Offline andr  
#4 Оставлено : 21 июля 2009 г. 17:48:11(UTC)
andr

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9

И еще, поясните пожалуйста. Скажем, обычная установка дистрибутива КриптоПро CSP в ОС Windows (или другую ОС) добавляет к списку установленных в этой ОС криптопровайдеров КриптоПро CSP. Так как устанавливаемый дистрибутив сделан специально под конкретную ОС, то не требуется дополнительный контроль установки. Т.е автоматически есть доверие к добавленному криптопровайдеру КриптоПро. Правильно ли? Контроль встраивания может быть необходим при работе CSP с конретным приложением (ПО). Нужен ли контроль встраивания для приложений Windows, таких как IIS, SSTP? Будет ли такое же автоматическое доверие к работе, скажем, протокола SSTP (встроенная служба Windows) с добавленной криптобиблиотекой КриптоПро? Можно ли говорить о том, что для работы приложений Windows с криптопровайдером КриптоПро не требуется дополнительный контроль встраивания?
Offline Sergey M. Murugov  
#5 Оставлено : 21 июля 2009 г. 18:19:50(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Добрый день, возможно будет интересно.
Недавно был в конторе и в неформальной общении тоже касался вопроса встраивания. Так вот как я понял, контору более интересует Модель угроз которая нарисована к проектированной системе, класс её защищенности и как следствие класс выбранного СКЗИ. Оценить это можно через "контроль встраивания ..." хотя технически слова совершенно неправильные, поскольку для стандартного АПИ что контролировать при встраивании не очень понятно, либо АПИ есть либо его нет, другое дело на сколько оно соответствует стандарту и в каком объеме.
Offline Юрий Маслов  
#6 Оставлено : 21 июля 2009 г. 18:29:54(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Sergey M. Murugov написал:
Добрый день, возможно будет интересно.
Недавно был в конторе и в неформальной общении тоже касался вопроса встраивания. Так вот как я понял, контору более интересует Модель угроз которая нарисована к проектированной системе, класс её защищенности и как следствие класс выбранного СКЗИ. Оценить это можно через "контроль встраивания ..." хотя технически слова совершенно неправильные, поскольку для стандартного АПИ что контролировать при встраивании не очень понятно, либо АПИ есть либо его нет, другое дело на сколько оно соответствует стандарту и в каком объеме.


ТЗ на встраивание не согласуют со стороны ФСБ, если в ТЗ или в ином утвержденном документе нет Модели. Так было всегда. И 7 лет назад :-) Это я насчет "открытия" :-)
Модель - это необходимое, но недостаточное условие. На соответствие этой Модели и смотрится (контролируется) потом применение СКЗИ.
Насчет АПИ... Не это контролируют т.к. нет стандартов на АПИ (утвержденных в РФ в соответствующем порядке). Даже самое хорошее АПИ можно вызвать неправильно или вообще не вызвать :-) Вот это и контролируется в части встраивания!
С уважением,
КРИПТО-ПРО
Offline andr  
#7 Оставлено : 21 июля 2009 г. 20:14:27(UTC)
andr

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9

Т.е. при встраивании криптосредств класса КС1 и КС2 при отсутствии в ТЗ Модели угроз контроль не требуется?
Offline Юрий Маслов  
#8 Оставлено : 22 июля 2009 г. 12:30:10(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
andr написал:
Т.е. при встраивании криптосредств класса КС1 и КС2 при отсутствии в ТЗ Модели угроз контроль не требуется?

Вы неправильно поняли.
Если контроль встраивания требеутся, то при отсутствии в ТЗ Модели угроз и нарушителя (или Модели в виде отдельного утвержденного документа) ТЗ со стороны ФСБ вообще не согласуют!
Когда контроль встраивания обязателен - об этом читайте ПКЗ-2005.
С уважением,
КРИПТО-ПРО
Offline andr  
#9 Оставлено : 22 июля 2009 г. 17:54:01(UTC)
andr

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9

Смотрю ПКЗ-2005. Меня вроде как не интересует ни разработка, ни производство, ни реализация.) Смотрю "V. Порядок эксплуатации СКЗИ". В пункте 46. написано "СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России ". Где посмотреть правила пользования СКЗИ КриптоПро? Не нашел. Можно ли взять за правила использования, например КриптоПро CSP, информацию с сайта: Продукты > КриптоПро CSP > Использование?

Далее пункт 47. "СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям..". Что под этим подразумевается?

Учет пока пропускаю.
Спасибо.
Offline Юрий Маслов  
#10 Оставлено : 23 июля 2009 г. 13:13:52(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
andr написал:
Смотрю ПКЗ-2005. Меня вроде как не интересует ни разработка, ни производство, ни реализация.) Смотрю "V. Порядок эксплуатации СКЗИ". В пункте 46. написано "СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России ". Где посмотреть правила пользования СКЗИ КриптоПро? Не нашел. Можно ли взять за правила использования, например КриптоПро CSP, информацию с сайта: Продукты > КриптоПро CSP > Использование?

Далее пункт 47. "СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям..". Что под этим подразумевается?

Учет пока пропускаю.
Спасибо.


Правила использования "КриптоПро CSP" определены в эксплуатационной документации, входящей в состав дистрибутива. Документация доступна на странице скачивания дистрибутива. Информация на странице информацию сайта: "Продукты > КриптоПро CSP > Использование" не является правилами использования.
Что подразумевается в отдельных пунктах ПКЗ-2055 и иные толкования лучше получать у первоисточника, разработчика этого документа. Обратитесь в ФСБ :-)
Но в пункт 47 Вы ткнули правильно. Именно он и эксплуатационная документация на СКЗИ (в ней прописана необходимость контроля встраивания) трактуются как основание для контроля встраивания. Эксплутационная документация на СКЗИ утверждена ФСБ при сертификации продукта. Соответственно, невыполнение трактуется как нарушение правил эксплуатации СКЗИ.

Отредактировано пользователем 28 июля 2009 г. 6:02:27(UTC)  | Причина: Не указана

С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (3)
7 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.