С радостью сообщаю, что модуль NME-RVPN (в исполнении МСМ) для маршрутизаторов ISR и ISR G2 28-го февраля получил новый сертификат ФСБ. Если раньше модуль был сертифицирован по классу защиты КС1, то сейчас уровень защиты повышен до КС2. Основное изменение касается банков, которым стандартом Банка России было предписано применение VPN-решение классом не ниже КС2. Теперь и модуль NME-RVPN и VPN-решение на базе Cisco UCS C-200 сертифицированы по классу КС2.
Алексей, не могли бы Вы дать ссылку на абзац СТО БР ИББС-1.0-2010, где четко указано требования использовать VPN не ниже 2-го Класса.
ОтветитьУдалитьЗаранее благодарю за подробный ответ.
7.7.1
ОтветитьУдалитьОк, соглашусь.
ОтветитьУдалитьЕсть ли у Вас в наличии документы ФСБ, которые регламентируют сертификацию VPN-решений именно как СКЗИ.
Кроме письма ответа ФСБ на запрос одной компании, я не нашел подтверждающих документов.
Буду благодарен за ссылку на соответствущие РД (если они в открытом доступе).
Спасибо!
Любое продукт, имеющий механизмы шифрования, по нормативной базе (ПП-957 и GRP-2005) является СКЗИ.
ОтветитьУдалитьСертификация СКЗИ определяется закрытыми документами ФСБ.
ПКЗ-2005
ОтветитьУдалитьСпасибо за комментарии.
ОтветитьУдалитьСуть - закрытые документы ФСБ.
Есть открытый методический документ ФСБ, в котором встраивание СКЗИ в сложный продукт не требуется сертифицировать.
ОтветитьУдалитьПоэтому с-терра + криптопро и раньше можно было использовать для защиты ПДн.
На самом деле интересен вопрос - как решили проблему с электронным замком, который обязателен для СКЗИ класса КС2?
Какой документ? По ПДн? Там речь идет о встраивании в прикладуху. А вот насчет встраивания в VPN позиция регулятора достаточно четкая - нужно сертифицировать все изделие целиком.
ОтветитьУдалитьПо поводу КС2 - специальную флешку доверенной загрузки сделали - "МАРШ-CF". Ее выпускает ОКБ САПР.
Да, я про документ по ПДн.
ОтветитьУдалитьТам четко написано что это любое встраивание:
5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России
Ни слова не говорится прикладное это ПО или средства построения VPN.
Сергей, я вам говорю про позицию регулятора, зафиксированную в письме. Вы можете к ней прислушиваться или не прислушиваться, но если к вам придут и спросят, аппелировать вам будет не к чему, ибо названный вами документ вообще никакого юридического статуса не имеет. И его же авторы вам пояснят "на месте", что они имели ввиду ;-)
ОтветитьУдалитьНо если мы посмотрим внимательно на методичку ФСБ, то там написано буквально следующее:
1. Встраивание осуществляется без контроля со стороны ФСБ, если контроль не предусмотрен ТЗ (в формуляре на КриптоПро, например, написано, что нужен контроль ФСБ).
2. Встраивание осуществляется ТОЛЬКО лицензиатом. Причем под словам "соответствующая лицензия" подразумевается лицензия на разработку СКЗИ.
А теперь посмотрим на то, как эти два пункт выполняются? ;-) Никак и никем ;-)
Все конечно красиво, но: VPN клиенты С-терра все равно нужно применять с устройствами доверенной загрузки для достижения уровня КС2 (и Марш! на рабочих станциях уже не поможет, соболя надо покупать). Так что победа какая-то сомнительная… Да и повторюсь – я бы все-таки С-Терру поздравил, а не Cisco – Cisco поздравим, когда Вы сертифицируете свой собственный VPN с ГОСТовским алгоритмом. В общем мы конечно рады, но что делать с этим модулем (с учетом его стоимости, стоимости маршрутизатора можно несколько гейтов купить) не знаем пока… По поводу встраивания Вы Алексей правы, ФСБ неофициально не любит встраивания, но официально никогда об этом не говорит, тут уж как карта ляжет.
ОтветитьУдалитьЕсть МАРШ-USB для клиентов. КС2 обеспечивает.
ОтветитьУдалитьПо поводу поздравлений: Cisco предоставила платформу, которую и проверяли. Хотя основная заслуга у С-Терры - тут никто не спорит. Но и мы движемся. Куда... пока не скажу ;-) Рано еще.
Цена... Cisco никогда не была дешевой при первичных капитальных затратах. Мы берем другим - качество, функционал, надежность... Так и тут - есть задачи, которые из всех сертифицированных решений делает только Cisco+С-Терра.
Алексей, немного не в эту тему, но тоже по СКЗИ и Cisco.
ОтветитьУдалитьНе могу разобраться, требуется ли лицензия на техобслуживание ASA с К8? Т.е. когда канал шифруем только DESом.
Насколько я помню ПП-957, лицензия не требуется.
ОтветитьУдалитьМожно рабочую ссылку на сертификат? За счет чего удалось подняться до КС2? Какой-нибудь МАРШ! прикрутили или еще что-нить?
ОтветитьУдалитьМАРШ. Сертификат скоро на сайте С-Терры будет
ОтветитьУдалитьАлексей, все-таки МАРШ! на стороне клиента еще не сертифицирован.
ОтветитьУдалитьВсе сертификаты уже выложены на сайте S-terra: http://www.s-terra.com/CSP/RU/licenses/licenses.htm#fsb_certificates
Но там написано про загадочные "Исполнение X", а формуляр на сайте не выложен :)
Но могу сказать, что VPN клиент - это исполнение 3
А исполнение 5 - это как раз VPN Gate + МАРШ!
Алексей, для удаленных рабочих мест нужен КС2, но под МАРШ( который под линукс на флэшке) не все приложения идут, потому для многих он будет бесполезен. Планируется ли повышение до КС2 CSP VPN Client какими либо отличными способами, чем описаны в формуляре (установка Аккорд или Соболь), ведь на ноутбук их не поставить.
ОтветитьУдалитьdoom: Да, верно. Не углядел.
ОтветитьУдалитьВасилию: Под КС2 еще МАРШ подходит. Но VPN Client есть только под Винду.
VPN Client интересует, чтоб именно под винду, но он КС1. МАРШ не подходит по двум причинам:
ОтветитьУдалить1. не будут работать ряд бизнес-приложений (специфика);
2. не нравится руководству, так как на флэшке МАРШ среда линукс, не удобно.
Есть ли возможность повысить класс VPN Client до КС2 не посредством Аккорд или Соболь, а чем то другим?
например шифрованием диска ноутбука + Secure Pack или что-то еще?
в формуляре жестко Аккорд и Соболь, а альтернатива?
Уточню
ОтветитьУдалить