Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
Ответить
RSS
Модель нарушителя ФСБ
Вопрос такой, пытаюсь разобраться с моделью угроз и нарушителя ФСБ. читал Методические рекомендации ФСБ для персональных данных. Осталось много неясностей. Если с угрозами ещё как-то понятно, то критерии определения модели нарушителя очень расплывчаты. На практике, как я понимаю, чаще всего удается все свести к КС1, КС2 и КС3, соответсвенно модели наруштеля Н1, Н2 и Н3. Но как реально определить когда к чему проще свестись?

а) К примеру цитирую - "Только нарушителям типа Н3 - Н6 могут быть известны все сети связи, работающие на едином ключе." Правильно ли я понимаю, что имеется ввиду знание топологии VPN сети?

б) Далее "Нарушители типа Н1 и Н2 располагают только доступными в свободной продаже аппаратными компонентами криптосредства и СФК." При этом в общем списке возможных средств атак упоминаются: 1) аппаратные компоненты криптосредства и СФК, 2) доступные в свободной продаже технические средства и программное обеспечение, 3) специально разработанные технические средства и программное обеспечение, 4) штатные средств.
Вопрос - к какому пункту относятся возможные у Н1, Н2 средства - к 1) или к 2)?...

в) и что вообще понимается под 1)? Имеется ввиду, имеют ли пользователи физический доступ к техническим средствам, на которых реализуется шифрование данных в системе? если да, то почему эти средства рассматриваются как средства атаки, а не объекты угроз?

г) Далее, что такое штатные средства и почему пользователи Н1 могут иметь к ним доступ только за пределами КЗ? Выходит что Н1 может быть рассмотрена только как модель нарушителя удаленного пользователя, все локальные как минимум Н2 (поскольку по логике к штатным средствам могут иметьдоступ даже самые непривилегированные пользователи, если конечно я правильно понимаю понятие штатных средств).

Ну как-то так для начала...Вообще у меня создается впечатление, что на многие вопросы можно было бы получить ответ из документа по классам КСЗ (КС1-3, КВ1-2, КА1), но он гад, видимо в закрытом доступе. Прошу, если кто знает, ответить на мои вопросы.
Вот что накопал на просторах Инета
скину сюда, пока помню

Сами по себе требования построены по вложенному принципу, и требования к более высокому классу шифровальных средств включают в себя все требования к более низкому классу. В соответствии с изложенным существуют три основных класса СКЗИ, предназначенных для защиты конфиденциальной информации, не содержащей сведения, составляющие государственную тайну:
• уровень «А». Сертификат выдается на систему защиты в целом и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам, комплексное выполнение требований ФАПСИ к шифровальным средствам с учетом их программного окружения, наличие защищенной (без недокументированных возможностей) аппаратно-программной среды;
• уровень «В». Сертификат выдается на систему защиты, включающую в себя шифровальные средства и их программное окружение, и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям ФАПСИ, выполнение требований ФАПСИ к программному окружению шифровальных средств;
• уровень «С». Сертификат выдается только на шифровальные средства и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям.
В рамках двух последних названных больших классов выделены несколько подклассов шифровальных средств, в зависимости от того, каким образом конкретизированы модели вероятного нарушителя.

Минимальные требования предъявляются к шифровальным средствам сертифицированным по классу КС1: по существу, это требования к теоретической стойкости используемого криптографического алгоритма и правильности реализации самого шифровального средства. Следующий класс -- КС2 -- дополнительно содержит требования обеспечения практической стойкости шифра в условиях возможного доступа неквалифицированного персонала к вычислительным средствам на которых реализовано СКЗИ. Класс КС3 предполагает возможность осуществления атак со стороны авторизованного пользователя системы.
В соответствии с ранее сказанным шифровальные средства, сертифицированные по классу «В» должны противостоять атакам, осуществляемым корпоративными нарушителями, владеющими основными научно-техническими методами и средствами защиты информации. Класс КВ1 предполагает, что шифровальные средства сохраняют практическую стойкость при осуществлении нарушителем перехвата ПЭМИН, сопровождающих работу СКЗИ. Более высокий класс КВ2 предусматривает возможность наличия недокументированных возможностей в прикладном программном обеспечении.

Высший класс шифровальных средств КА1 предполагает сохранение их практической стойкости в условиях, по существу, неограниченных возможностей нарушителя. (Они ограничиваются только существующим уровнем науки и техники.)
А вот ещё...
http://www.itsec.ru/articles2/Inf_security/pd

Но я пока с этим не согласен, думаю возможность выйти на АК1 (соответственно Н1 и КС1) для ИСПДн существует...хммм интересно...и чо я один сам с собой разговариваю? ))
Михаил, почему руководствуетесь именно ФСБ? А ФСТЭК не подойдет?
Я тоже сейчас собираюсь разрабатывать модель угроз и модель нарушителя, планирую придерживаться именно модели ФСТЭК-а
Максим, модель ФСБ (дополнительно к модели ФСТЭК) следует использовать, когда вам необходимо применять криптографические средства защиты информации в вашей ИСПДн. Например, в случае обмена или доступа к персональным данным через сети общего доступа (Интернет). Просто все обычно пишут - ставьте VPN такой-то или такой-то...а они разных классов вообще-то бывают и выбор класса тоже надо обосновывать в соответствии с моделью ФСБ.
Вы модель под ИСПДн составляете, или просто для КИ?
Если ИСПДн то там, как вы знаете, 4 класса, и они основываются на той информации субъектов ПДн, которая обрабатывается в вашей ИСПДн.. Или я что-то не совсем понимаю?
Так, давайте по порядку:
1) вопросы использования криптосредств ФСТЭК не регулирует (в том числе и что касается ИСПДн, почитайте они в своих приказах так и пишут);

2) если криптосредства использовать надо, а ФСТЭК этот вопрос не ргуелирует, то кто-то должен. И этим занимается ФСБ (потому и сертификаты на криптосредства выдает ФСБ). Так вот у ФСБ есть свой перечень документов (в том числе и для ИСПДн). Можете посмотреть их в том числе на этом сайте.

Поэтому все отсылки к классам ФСТЭК в данном случае не корректны. Закрывайте по РД ФСТЭК все требования СЗИ, но криптографию закрывайте по требованиям ФСБ.
По пунктам:
а) в принципе правильно. Надо еще реально знать какие сети в этой топологии работают на одном ключе. Мудренные слова но их почему-то в открытом приказе оставили.

б)к обоим. И тот и другой неавторизированные нарушители.

в) не понял

г) Н1 - это внешний нарушитель, осуществляющий перехват на канале связи.

С документами ФСБ вообще большая путаница (ну у тех кто не сталкивался). Приведу маленькую схемку. Думаю аналогия будет понятна.

У ФСТЭКа есть РД по СВТ и АС (ИСПДн)
У ФСБ есть РД по КА(Б,С) и АК(1-6)

Так, что если у вас ИСПДн ориентироваться надо не на КС(Б,А), а на АК(1-6). Ну это так, для общего развития!
ICQ 377238542
По пункту в) - уже разобрался самостоятельно
По поводу последнего пункта...Спасибо конечно, но не надо мне информации для общего сведения, про классы АК1-6 в Методических рекомендациях ФСБ упоминание и так есть. Вы мне конкретную информацию дайте. Может у кого завалялись где РД на АК и на КС.
Михаил - забавный Вы человек! Может у кого и завалялись. А у кого и хранятся подшитые! Указанные РД имеют то что они имеют, или их имеют те кто их имеет. Если у Вас их нет - значит Вам не положено!

Ну а если серьезно, то будте вежливее. Требования на КС(Б,А) в открытом доступе не найдете, если что интересует из конкретных требований могу ответить и только по КС. КА и КБ уже обычным людям ни к чему.

Что касается АК, то эти требования были практически полностью расписаны в одном из открытых документов по ЭЦП (надеюсь не раскрыл гос. тайны). Поищите!
ICQ 377238542
Хорошо, Андрей, вы можете мне сказать конкретно - анализируя методические рекомендации и правила формирования модели нарушителя, я прихожу к выводу, что для центрального офиса VPN, всегда будет актуальной модель нарушителя как минимум H3, поскольку там есть должностные лица, формирующие топологию VPN-сети, а значит знающие все сети связи, работающие на одном ключе. Однако почти все продукты VPN сертифицированны только по классу КС2, а не по соответствующему для этой модели нарушителя классу КС3 (только у ViPNet видел решения КС3). Так вот скажите мне, в каких условиях возможно тогда развертывание VPN-решения по классу КС2? Или я все-таки направильно трактую приведенное условие формирования модели нарушителя?
РД я уже запросил в ФСБ, но пока они придут...
Позвольте добавить и свои "5 копеек" в обсуждение.
Цитата
Михаил пишет:
...анализируя методические рекомендации и правила формирования модели нарушителя, я прихожу к выводу, что для центрального офиса VPN, всегда будет актуальной модель нарушителя как минимум H3, поскольку там есть должностные лица, формирующие топологию VPN-сети, а значит знающие все сети связи, работающие на одном ключе.

Насколько я понял "должностные лица" - это администраторы сети. Так почему вы им не доверяете?! Пропишите в МУ, на основании каких организационных мероприятий вы можете исключить данную категорию из перечня нарушителей (работа по подбору кадров, допуску к защищаемой информации... и т.д.) и какие угрозы со стороны этих лиц при этом можно исключить. В МУ Вам надо выйти на уровень защиты КС1 (внешний нарушитель), КС2 (внутренний).
И еще, при создании систем защищенных с использованием СКЗИ необходимо не упускать момент необходимости проведения оценки корректности встраивания. Посмотрите на Вашу систему и "под этим углом".
Что бы долго не расписывать проблему, суть обсуждается здесь: http://www.cryptopro.ru/forum2/Default.aspx?g=posts&t=1534
Вот это конкретный ответ, спасибо Александр.
Насчет ссылки на ветку форума КриптоПро, очень интерсная..я её раньше читал. Консультировался по этому поводу с представителями другого вендора, там мне сообщили несколько другое. Я написал тему в форуме, вот ссылка (см. последний коммент, остальные по другим вопросам)...http://www.cryptopro.ru/forum2/Default.aspx?g=posts&t=4645
Заметьте, ни одного коммента в моей теме от представителей КриптоПро так и не было, что настораживает.
Вопрос организации VPN SSL/TLS без прохождения процедуры проверки корректности встраивания пока остается открытым.
Цитата
Михаил пишет:
Заметьте, ни одного коммента в моей теме от представителей КриптоПро так и не было, что настораживает.
Вопрос организации VPN SSL/TLS без прохождения процедуры проверки корректности встраивания пока остается открытым.
Не буду комментировать действия (бездействия) коллег, но от себя добавлю:
Откройте Формуляр на "КриптоПро CSP" Версия 3.6 (ЖТЯИ.00050-01 30 01)
п. 1.5. Должна проводиться проверка корректности встраивания СКЗИ ЖТЯИ.00050-01 в прикладные системы в случаях:
..........
• при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд.
Это ли не Ваш случай?
Дальше речь идет именно про Гос. организацию!!!
Если вы встраиваете (инсталлируете) в систему криптопровайдер и строете с его использованием TLS соединения, то оценку корректности встраивания делать нужно в случае если: предполагается обоюдная аутентификация клиента и сервера и конфиденциальная информация "ходит" в обе стороны (клиент-сервер). Если инсталляция криптопровайдера осуществляется с "умолчальными" настройками, т.е. аутентифицируется только сервер, конфиденциальная информация идет только от клиента к серверу, оценку встраивания проводить не нужно.
В случае использования StoneGate SSL (данный продукт сертифицирован как "Система обеспечения безопасных соединений StoneGate SSL VPN") оценка встраивания не требуется. Можете пообщаться со StoneSoft-ом, у них есть данное решение как софтовое, так и в железе.
Спасибо Алксандр, насчет StoneGate SSL я в курсе, документацию читал, формуляр на сертификат смотрел. Там правда есть неувязочка, судя по Admin Guide на клиентских местах все же требуется установка StoneGate Client, не уверен, что без него можно будет организовать SSL VPN. Да и "толстоват" этот продукт в функциональном и ценовом плане, когда надо организовать только защищенные TLS-сессии от клиентов до 1 веб-сервера.

1) Насчет оценки корректности встраивания, да она в нашем случае нужна, если говорить о встраивании КриптоПро CSP в прикладное ПО. Но вроде как по документам КриптоПро организация TLS-соединений с определенным ПО не является встраиванием.Судя по документу КриптоПро "Описание реализации", среди перечня ПО с которыми КриптоПро CSP работает в рамках стандартной архитектуры присутствует к примеру IIS и IE, почему же организация TLS-соединений на этих продуктах (даже со взаимной аутентификацией, о которой нигде в документе не упоминается) потребует проверки корректности встраивания?

2) я не понял на основании чего по вашим словам необходимо делать проверку корректности при обоюдной аутентификации? В документации этого момента я не нашел.
Изменено: Михаил - 17.05.2012 16:46:22
Цитата
Михаил пишет:
на клиентских местах все же требуется установка StoneGate Client, не уверен, что без него можно будет организовать SSL VPN.
Если мне память не изменяет, то установка StoneGate Client требуется при аутентификации клиент-сервер с использованием ГОСТ-овской СКЗИ и для обеспечения централизованного управления политиками ИБ. Можно уточнить здесь: http://www.newinfosec.ru/

Цитата
Михаил пишет:
я не понял на основании чего по вашим словам необходимо делать проверку корректности при обоюдной аутентификации? В документации этого момента я не нашел.
Боюсь ссылку на официальный документ я Вам не предоставлю :)
Обратитесь в любую Испытательную лабораторию которая аккредитована ЦЛСЗ ФСБ России или непосредственно с запросом в 8-й Центр с просьбой разьяснить необходимость проведения оценки встраивания (приложите пояснительную записку с описанием функционала реализуемого СКЗИ и того ПО с которым оно взаимодействует), возможно все решится в лучшую сторону. Потом этим письмом прикроетесь при проверке.
Александр, а контактов 8 центра у вас случаем не найдется?
Цитата
Михаил пишет:
Александр, а контактов 8 центра у вас случаем не найдется?
...сколько юношеского задора в Вашем вопросе. ;)
Поищите в Internet-е, если ни чего не найдете, то - сомневаюсь, что смогу чем-то помочь.
Это не юношеский задор, это попытка нахождения кратчайшего пути :D
Отлично, надеюсь мы друг друга поняли.
Попробуйте обратиться сюда (Контактные телефоны - Сертификация). Спросите, в какую организацию обратиться для получения консультаций о необходимости проведения оценки встраивания.
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку