Организация защищенного канала - Форум по вопросам информационной безопасности

Адрес документа: http://lib.itsec.ru/forum.php?sub=12987&from=0

К списку тем | Добавить сообщение


Автор: Человек | 68642 09.02.2017 14:30
Добрый день!
Цель: компания А каждый день передаёт данные с ПДн компании Б. Организовать обязана всё компания Б.
Подскажите, есть ли какие-то способы организации защищенного канала передачи между двумя компаниями полностью соблюдая при этом фз 152?
Прошу прощения за дилетантский вопрос.

Автор: Бутч | 68644 09.02.2017 14:51
Можно настроить защищенный канал с использованием ViPNet-технологии или с использованием любых иных сертифицированных ФСБ средств.

Можно передавать отделяемые носители, данные при этом должны быть зашифрованы. Например, можно использовать ПО SafeDisk.


Автор: Человек | 68676 10.02.2017 07:14
Я правильно понимаю, что компания Б не может установить на ПК компании А решения по шифрованию трафика, если не имеет при это лицензии фсб на криптографию?
Как тогда быть?

Автор: Анатолий | 68682 10.02.2017 10:50
Если выберите ViPNet, то обратиться в организацию, которая имеет лицензию на криптографию и у них закупить данное ПО

Автор: nekto | 68689 10.02.2017 13:40
to Анатолий | 68682

ViPNet не работает как самостоятельное отдельное приложение, ему нужны Координатор и ViPNet-Администратор для формирование ключевой информации...

Вариант, только шифрование файлов самостоятельным решением, и передача их по любым каналам связи...

Автор: oko | 68692 10.02.2017 18:16
to Человек
Варианты бюджетные: кодирование (читай, то же шифрование, но не по ГОСТ); архивация с паролем; обезличивание...
Минус - подходит не везде и не всегда. Подробности - Гугл и анализ открытой НМД (особенно, 21 Приказ ФСТЭК).

Варианты стандартные: шифрование каналов связи по ГОСТ (ФСБ, все дела) с использованием программных комплексов; шифрование по ГОСТ передаваемых файлов отдельно (без канала связи); кодирование средствами сертифицированных СЗИ ФСТЭК России.
Минус - теряется мобильность, необходима лицензия на выполнение работ (при ГОСТ-шифровании), необходима установка сертифицированных СКЗИ (ФСБ) или СЗИ (ФСТЭК) + дальнейшие ворохи инструкций и организационно-режимных мероприятий.

Варианты стандартные-расширенные: шифрование каналов связи по ГОСТ с использованием программно-аппаратных комплексов.
Минус - все минусы "стандартных" вариантов, а также сложность внедрения и цена решения.

Варианты грамотные: шифрование каналов связи по ГОСТ с использованием отчуждаемых защищенных криптоносителей.
Минус - нужны лицензия ФСБ на установку и настройку + грамотные специалисты (также и из числа лицензиатов), иначе все это не заработает и принесет только разочарование владельцу. Отсюда и редкость+уникальность решений.

*в сторону* И не надо говорить, что единственный вариант - применение ViPNet. Так и рождаются нездоровые сенсации, которые потом уставшим людям приходится расхлебывать. То сертификат не продлен или отсутствует, то КС2 при Н3+, то завязка на недобросовестного-владельца-сети-которого-уже-нет...

Автор: Человек | 68738 13.02.2017 08:40
to oko
Большое спасибо за обстоятельный ответ!
1) Бюджетный вариант не подходит, т.к. не соблюдаем тут законодательство
2) Стандартный вариант это по типу: зашифровали с помощью связки криптопро+криптоарм гостом и передали по незащищенному каналу? Вопрос: а если обе компании выпустили сертификаты, например, в УЦ и таким образом стали обмениваться, то в таком случае разве нужна лицензия ФСБ?
3) Про грамотный вариант: можете на пальцах объяснить как это должно выглядеть? Обращаюсь к лицензиату ФСБ, он ставит в компании А и Б программное решение, выпускает ключи шифрования, всё законно?

Автор: oko | 68901 13.02.2017 20:18
to Человек
1. "Бюджетный вариант" может подойти. Все зависит от уровня защищенности вашей ИС, а также грамотности внедрения и последующего обоснования регулятору...
2. "Стандартный вариант" - это и криптоармы, и vipnet client, и любой другой программный комплекс, который либо шифрует поток трафика между нодами, либо позволяет шифровать конкретный файл, пересылаемый в открытый канал. Эксплуатация таких СКЗИ должна проводиться в полном соответствии с требованиями ФСБ. В частности, 378 приказ (как раз про ПДн) и, увы, зачастую, 152 инструкция ФАПСИ...
3. "Грамотный вариант" комментировать не буду. Не потому, что это тайна за семью печатями, а потому, что могу вас окончательно запутать. Скажем так, то, что вы указали - это модификация "стандартного варианта". Все равно на рабочие станции (серверы) организаций что-то устанавливается на постоянной основе. Или в сетевую структуру внедряется...
Если весь вопрос в том, нужна ли лицензия ФСБ на проведение подобных работ, то "для собственных нужд" не нужна - требуется только для оказания услуг. И, если положения по защите ПДн организации Б обязывают ее интегрировать СКЗИ в свою среду, а также в среду организации А, то она так же не оказывает услуги по СКЗИ. Но парадокс в том, что для этого изначально организация Б должна подтвердить соответствие своей системы защиты (ее необходимости, стойкости и т.д.). Что без привлечения лицензиатов (ФСБ и ФСТЭК) сделать будет проблематично. Также, помятуя ту самую инструкцию ФАПСИ, которую весьма любит наш "другой регулятор", и организации Б, и организации А могут вменить "противоправные действия", если для обеспечения их безопасного взаимодействия с использованием СКЗИ не был привлечен соответствующий лицензиат...
Как будут обстоять дела в вашем случае - не рискну предполагать (собственно, и данных для анализа почти 0). Но, как говорится, описанные выше случаи "знаю, видел даже" (с)

Автор: Федор, ООО "Комрунет" | 68930 14.02.2017 19:54
Очень интересно было бы видеть идеальное решение, что бы криптография различных производителей была совместима между собой. Но пока такое не достижимо.

Есть еще один вариант, что бы не покупать своего администратора и прочее оборудование. Так это обратиться к лицензиату ФСБ и попросить его сдать в аренду зашифрованный канал связи. То есть вы будете платить ежемесячную абонентскую плату. Законодательство позволяет такое реализовать. Но можно ли такое реализовать в вашем случае, необходимо разбираться более предметно.


Петрушенко Федор
komrunet.ru

Автор: Павел Иванов | 69082 21.02.2017 13:10
В качестве альтернативы ViPNet-у можно рассмотреть С-Терра. Есть сертифицированные программные продукты (довольно бюджетные) и система управления не обязательна.

И, кстати, используется стандартный протокол - IPsec, а не проприетарщина как у инфотекса и прочих. Если все производители будут использовать стандартные протоколы и выполнять рекомендации ТК26, то и совместимость появится.

Best Regards,
Pavel Ivanov

Автор: СующийНосНеВСвоиДела, ГКУ | 69097 22.02.2017 13:00
А как на счет обмена файлами по электронной почте с использованием криптографии на основе сертификатов (открытых закрытых ключей) (как правильно все это называется я не знаю)?

https://www.cryptopro.ru/sites/default/files/docs/smime.pdf

Обмен осуществляется через почтовый клиент (например OUTLOOK, windows mail live 2012). Шифрование почты выполняется на основе сертификатов, которые выдаются в УЦ. Организации А и Б заказывают для себя квалифицированную электронную подпись (далее КЭП). Требования к электронной подписи: КЭП, юридически значимая, для шифрования и подписания, должен быть указан адрес электронной почты, с которого будут отправляться подписанные письма с вложениями содержащие ПДн..
Для работы с КЭП нужна программа КриптоПро CSP. Скорей всего она уже есть.

Заключается соглашение/договор о передаче электронных документов с использованием КЭП между А и Б.

Расходы: носитель для КЭП - 2000 руб. КЭП на один год - 1500 руб, крипто про 2000 руб.

Нужны ли сертифицированные версии почтовых клиентов, криптопро - не знаю.

Автор: Бутч | 69099 22.02.2017 14:07
Обмен через e-mail довольно интересное решение.

Одной из проблем при такой передачи данных, может быть лимит на объем отправляемых данных. Если нужно передавать гигабайты данных, то такой канал малоэффективен.

Автор: oko | 69102 22.02.2017 18:58
Только "защищенный e-mail" не тянет на звание "защищенный канал"... разве что в широком смысле обоих слов...
И кстати, кто-нибудь в курсе, у КриптоПро есть криптопровайдер под *nix? А то повальный перевод машин на Win10 уже давно попахивает необходимостью рассмотрения угроз НДВ 1 типа... что на общеизвестной сертифицированной криптухе (согласно 378 приказу) сказывается не лучшим образом...

Автор: zGORY | 69137 27.02.2017 07:53
Для oko.
Какие-то продукты под *nix-ы у них были. Как сейчас - уже не в курсе, отошел от этих дел.

Автор: oko | 69138 27.02.2017 11:52
to zGORY
Спасибо!
Собственно, уже сам нагуглил: https://www.cryptopro.ru/category/faq/linuxunix.
Вопрос более в том, как обстоят дела с эксплуатацией этих продуктов.

Автор: zGORY | 69139 27.02.2017 12:08
Для oko
Попробуйте там же на форуме посмотреть/спросить.

Автор: kotap | 69350 03.03.2017 11:47
Обязательных требований по сертификации СКЗИ теперь нет.
Приказе №58 был явный пункт 3.1.7, где прямо говорилось о том, что вся криптография должна быть сертифицирована. Сейчас этот нормативно-правовой акт не действует.
Вопрос: как убедить руководство (коммерческой организации) в использовании сертифицированных ФСБ средств шифрования, при передачи ПДн (работников и клиентов) по открытым каналам связи.

Автор: oko | 69351 03.03.2017 12:33
to kotap
Во-первых, ПП №1119. Во-вторых, Приказ №378 ФСБ России.
Обойти необходимость внедрения сертифицированных СКЗИ можно:
- либо обосновав принципиальное отсутствие угроз (каким-то волшебным образом, ага);
- либо сославшись на существующую защиту канала (на базе зарубежных криптоалгоритмов), назвав это "кодированием", но не называя это все "системой защиты каналов связи";
- либо применив сертифицированные СЗИ ФСТЭК, которые как раз подобное "кодирование" реализуют в своем составе, но шифровальным средством не считаются.
Все это через Модель угроз и нарушителей.
В противном случае, придется использовать именно СКЗИ. При этом сертифицированные ФСБ под нужный класс. А класс этот уже вытекает из уровня защищенности ИСПДн (согласно 378 Приказу).
Как-то так (если на пальцах объяснять, ага)...

Прошла пара недель

Автор: Юля, 12345 | 69792 20.03.2017 11:34
А если надо организовать закрытый канал связи между двумя юр.лицами для передачи конфиденциальной информации (ДСП, пдн), то какие мероприятия надо провести?...Установить на оконечники сертифицированные скзи(например vipnet) и аттестовать их ?

Автор: oko | 69797 20.03.2017 13:00
to Юля
В целом, да. Но много нюансов.
Обратитесь к ближайшему лицензиату ФСТЭК России в области технической защиты конфиденциальной информации. Объяснят. Ибо через форум будет долго, и текста потребуется много. Впрочем, если хорошо поискать, то и на этом форуме можно найти ответы на все интересующие вопросы.

Автор: Евгений | 69799 20.03.2017 14:04
"Обратитесь к ближайшему лицензиату ФСТЭК России в области технической защиты конфиденциальной информации."
А когда это ФСТЭК стала уполномочена в области криптографии? Может быть ФСБ России?

Автор: oko | 69803 20.03.2017 17:17
to Евгений
Аттестация же (ведь ДСП, ПДн)... + более чем уверен, что лицензиат по ТЗКИ сможет и в вопросах криптографии от "другого регулятора" пояснить. К тому же, еще раз повторюсь, защищенный канал связи - это не только СКЗИ по ФСБ (см. прошлые посты)...

Просмотров темы: 10891


Copyright © 2004-2019, ООО "ГРОТЕК"

Rambler's Top100 Rambler's Top100