15.03.2011

Новый сертификат ФСБ на модуль шифрования Cisco

С радостью сообщаю, что модуль NME-RVPN (в исполнении МСМ) для маршрутизаторов ISR и ISR G2 28-го февраля получил новый сертификат ФСБ. Если раньше модуль был сертифицирован по классу защиты КС1, то сейчас уровень защиты повышен до КС2. Основное изменение касается банков, которым стандартом Банка России было предписано применение VPN-решение классом не ниже КС2. Теперь и модуль NME-RVPN и VPN-решение на базе Cisco UCS C-200 сертифицированы по классу КС2.

21 коммент.:

Big комментирует...

Алексей, не могли бы Вы дать ссылку на абзац СТО БР ИББС-1.0-2010, где четко указано требования использовать VPN не ниже 2-го Класса.

Заранее благодарю за подробный ответ.

Алексей Лукацкий комментирует...

7.7.1

Big комментирует...

Ок, соглашусь.

Есть ли у Вас в наличии документы ФСБ, которые регламентируют сертификацию VPN-решений именно как СКЗИ.

Кроме письма ответа ФСБ на запрос одной компании, я не нашел подтверждающих документов.

Буду благодарен за ссылку на соответствущие РД (если они в открытом доступе).

Спасибо!

Алексей Лукацкий комментирует...

Любое продукт, имеющий механизмы шифрования, по нормативной базе (ПП-957 и GRP-2005) является СКЗИ.

Сертификация СКЗИ определяется закрытыми документами ФСБ.

Алексей Лукацкий комментирует...

ПКЗ-2005

Big комментирует...

Спасибо за комментарии.

Суть - закрытые документы ФСБ.

Сергей Б комментирует...

Есть открытый методический документ ФСБ, в котором встраивание СКЗИ в сложный продукт не требуется сертифицировать.

Поэтому с-терра + криптопро и раньше можно было использовать для защиты ПДн.

На самом деле интересен вопрос - как решили проблему с электронным замком, который обязателен для СКЗИ класса КС2?

Алексей Лукацкий комментирует...

Какой документ? По ПДн? Там речь идет о встраивании в прикладуху. А вот насчет встраивания в VPN позиция регулятора достаточно четкая - нужно сертифицировать все изделие целиком.

По поводу КС2 - специальную флешку доверенной загрузки сделали - "МАРШ-CF". Ее выпускает ОКБ САПР.

Сергей Б комментирует...

Да, я про документ по ПДн.

Там четко написано что это любое встраивание:

5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России

Ни слова не говорится прикладное это ПО или средства построения VPN.

Алексей Лукацкий комментирует...

Сергей, я вам говорю про позицию регулятора, зафиксированную в письме. Вы можете к ней прислушиваться или не прислушиваться, но если к вам придут и спросят, аппелировать вам будет не к чему, ибо названный вами документ вообще никакого юридического статуса не имеет. И его же авторы вам пояснят "на месте", что они имели ввиду ;-)

Но если мы посмотрим внимательно на методичку ФСБ, то там написано буквально следующее:
1. Встраивание осуществляется без контроля со стороны ФСБ, если контроль не предусмотрен ТЗ (в формуляре на КриптоПро, например, написано, что нужен контроль ФСБ).
2. Встраивание осуществляется ТОЛЬКО лицензиатом. Причем под словам "соответствующая лицензия" подразумевается лицензия на разработку СКЗИ.

А теперь посмотрим на то, как эти два пункт выполняются? ;-) Никак и никем ;-)

Алексей Т. комментирует...

Все конечно красиво, но: VPN клиенты С-терра все равно нужно применять с устройствами доверенной загрузки для достижения уровня КС2 (и Марш! на рабочих станциях уже не поможет, соболя надо покупать). Так что победа какая-то сомнительная… Да и повторюсь – я бы все-таки С-Терру поздравил, а не Cisco – Cisco поздравим, когда Вы сертифицируете свой собственный VPN с ГОСТовским алгоритмом.  В общем мы конечно рады, но что делать с этим модулем (с учетом его стоимости, стоимости маршрутизатора можно несколько гейтов купить) не знаем пока… По поводу встраивания Вы Алексей правы, ФСБ неофициально не любит встраивания, но официально никогда об этом не говорит, тут уж как карта ляжет.

Алексей Лукацкий комментирует...

Есть МАРШ-USB для клиентов. КС2 обеспечивает.

По поводу поздравлений: Cisco предоставила платформу, которую и проверяли. Хотя основная заслуга у С-Терры - тут никто не спорит. Но и мы движемся. Куда... пока не скажу ;-) Рано еще.

Цена... Cisco никогда не была дешевой при первичных капитальных затратах. Мы берем другим - качество, функционал, надежность... Так и тут - есть задачи, которые из всех сертифицированных решений делает только Cisco+С-Терра.

Станислав комментирует...

Алексей, немного не в эту тему, но тоже по СКЗИ и Cisco.
Не могу разобраться, требуется ли лицензия на техобслуживание ASA с К8? Т.е. когда канал шифруем только DESом.

Алексей Лукацкий комментирует...

Насколько я помню ПП-957, лицензия не требуется.

amt2001 комментирует...

Можно рабочую ссылку на сертификат? За счет чего удалось подняться до КС2? Какой-нибудь МАРШ! прикрутили или еще что-нить?

Алексей Лукацкий комментирует...

МАРШ. Сертификат скоро на сайте С-Терры будет

doom комментирует...

Алексей, все-таки МАРШ! на стороне клиента еще не сертифицирован.

Все сертификаты уже выложены на сайте S-terra: http://www.s-terra.com/CSP/RU/licenses/licenses.htm#fsb_certificates
Но там написано про загадочные "Исполнение X", а формуляр на сайте не выложен :)
Но могу сказать, что VPN клиент - это исполнение 3
А исполнение 5 - это как раз VPN Gate + МАРШ!

Василий комментирует...

Алексей, для удаленных рабочих мест нужен КС2, но под МАРШ( который под линукс на флэшке) не все приложения идут, потому для многих он будет бесполезен. Планируется ли повышение до КС2 CSP VPN Client какими либо отличными способами, чем описаны в формуляре (установка Аккорд или Соболь), ведь на ноутбук их не поставить.

Алексей Лукацкий комментирует...

doom: Да, верно. Не углядел.

Василию: Под КС2 еще МАРШ подходит. Но VPN Client есть только под Винду.

Василий комментирует...

VPN Client интересует, чтоб именно под винду, но он КС1. МАРШ не подходит по двум причинам:
1. не будут работать ряд бизнес-приложений (специфика);
2. не нравится руководству, так как на флэшке МАРШ среда линукс, не удобно.
Есть ли возможность повысить класс VPN Client до КС2 не посредством Аккорд или Соболь, а чем то другим?
например шифрованием диска ноутбука + Secure Pack или что-то еще?
в формуляре жестко Аккорд и Соболь, а альтернатива?

Алексей Лукацкий комментирует...

Уточню