MSCS c использованием CSP по GOST 34.11.94

Обсуждение вопросов, связанных с технической поддержкой программного обеспечения компании "Microsoft".
Александр Лапидус(LA)
Сообщения: 1
Зарегистрирован: 01 янв 1970 03:00

MSCS c использованием CSP по GOST 34.11.94

Сообщение Александр Лапидус(LA) » 24 мар 2009 19:14

Доброго Здравия Всем!
Установил 30 дневную версию CryptoPro 3.6 KC1 . В качестве считываталя "зарегистрировал" реестр. Решил опробовать связку - служба ЦС (MSCS - MS Server 2003 EE R2) в "изолированном домене" + отечественный криптопровайдер. Процесс установки проходит нормально. Для ЦС выбрал "изолированный корневой", служба стартует, но по окончании невозможно запустить оснастку Центр сертификации (консоль администрирования ЦС) Версия 5.2.3790.3959, "вываливается" с ошибками - WIN 32 :53 (не найден сетевой путь.) Полагаю что-то не так с настройкой DNS в "домене" хотя связка DNS +AD работает нормально, в журналах нет сообщений об ошибках. Может стоит добавить соответствующие записи в файл зоны - SIG и KEY, или в принципе невозможно посадить этих двух зверей в одну клетку? Потому как при выборе "родного" криптопровайдера (MSCP) ВСЁ ХОРОШО, всё стартует и работает.
Расскажите кто "в курсе" что за особенности реализации отечественных стандартов которые не позволяют продукту от MS ункционировать "штатно".

Александр Лапидус(LA)
Сообщения: 1
Зарегистрирован: 01 янв 1970 03:00

MSCS c использованием CSP по GOST 34.11.94

Сообщение Александр Лапидус(LA) » 26 мар 2009 10:02

Ну что же, сам спросил, сам ответил (лишь бы за сумасшедшего не сочли...)
1.Для начала стоит чётко определиться для чего Вам такая связка (Возможно в деталях)
2.Изучить Документацию на продукт (не пожалеть времени и сил)
3.Ну и собственно сабж:
================== Для начала нужно классифицировать нарушителя ====================
=Цитата=
- Как я понимаю, основное различие для пользователя СКЗИ в этих классах состоит в том, что в модели нарушителя по КС1 используется только внешний нарушитель, а в КС2 еще и внутренний, не являющийся легитимным пользователем (типа уборщица). Уверен, что поэтому при КС2 необходим электронный замок или тотальное опечатывание всех разъёмов, а при КС1 - не надо.
== конец цитаты ==
==================================================================================
Требования к уровню защиты информации КС2 содержат требования к уровню КС1 плюс дополнительные
требования.Уровень защиты информации определяется потенциальными возможностями нарушителя, в соответсвии с базовой моделью нарушителя, разработанной ФАПСИ. Вкратце - для уровня КС1 предполагается, что имеем случайного внешнего нарушителя который может перхватывать информацию в каналах связи - следовательно достаточные требования - математическая стойкость, корректности реализации и качество ключей.
Уровень КС2 - неавторизованный внутренний нарушитель - следовательно достаточные дополнительные требования - рзаграничение доступа к СКЗИ, ну там есть еще кое-чего. это влечет за собой наличие в системе сертифицированного ФАПСИ/ФСБ электронного замка, его основная задача - идентфикация и аутентфикация пользователя, проверка целостности, доверенная загрузка. Дополнительно - качественный аппаратный датчик случайных чисел и интерфейс к носителью ключевой информации.
== цитата ==
Сертифицируемые изделия классифицируются в зависимости от вида информации, для
защиты которой они предназначены. От этого зависит и стоимость сертификационных испытаний.
Требования ФАПСИ к шифровальным средствам базируются на принятой у нас модели нарушителя. В зависимости от допущений о его возможностях (хакер, фирма-профессионал, иностранная спец. служба) и категории защищаемой информации и выбирается соответствующий класс и подкласс, по которому будет производится сертификация.
== конец цитаты ==
== цитата ===
Насколько я понимаю, существуют различные задачи, подпадающие под разные классы защищенности. В зависимости от класса защищенности выбирается СКЗИ.
КС1 - это класс, самый нижний, обеспечивающий просто ТЕОРЕТИЧЕСКУЮ стойкость алгоритма и правильность реализации.
КС2 - следующий за ним класс, обеспечивает ПРАКТИЧЕСКУЮ стойкость шифра в условиях использования неквалифицированного персонала.
КС3 - это еще и стойкость от атак авторизованного пользователя системы. Каждый следующий класс, естественно, включает предыдущий. Обычно на практике вполне достаточно КС2 для любых задач прикладного уровня.
== конец цитаты ==
== цитата ==
Если говорить коротко, то эти классы различаются стойкостью защиты от различных нарушителей: КС1 - внешний нарушитель; КС2 - внутренний незарегистрированный нарушитель; КС3 - внутренний зарегистрированный нарушитель.
== конец цитаты ==
===================================================================================================
Потому как от класса зависит какой идентификатор пользователя используется (будет использоваться) в системе. Чем ЖЁСТЧЕ требования (есть что охранять)тем ВЫШЕ КЛАСС. В случае использования реестра в качестве считывателя не стоит ставит "контрольку" на контейнер закрытого ключа или уж если ставить то "запоминать", разрешив службам сертификации "взаимодействовать" с рабочим столом (Профилем пользователя). А в остальном всё штатно.
====================================================================================================
Полезные Документы:

ГОСТ Р 51275-2006
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ЗАЩИТА ИНФОРМАЦИИ
ОБЪЕКТ ИНФОРМАТИЗАЦИИ.
ФАКТОРЫ, ВОЗДЕЙСТВУЮЩИЕ НА ИНФОРМАЦИЮ
ОБЩИЕ ПОЛОЖЕНИЯ

PROTECTION OF INFORMATION. OBJECT OF INFORMATISATION.
FACTORS INFLUENCING THE INFORMATION. GENERAL
==================================================================
1. IEEE Std 610.12-1990. IEEE Standard Glossary of Software Engineering Terminology.
2. ГОСТ Р ИСО МЭК 12207-99. Информационные технологии. Процессы жизненного цикла программного обеспечения.
3. IEEE 1074. Жизненный цикл разработки программных средств.
4. ИСО/ТО 10006:1997 (R). Менеджмент качества. Руководство качеством при административном управлении проектами.
5. ISO 15846, ISO 10007. Стандарты по менеджменту конфигурации программных средств.
6. ISO 9000 - 2000; группы ГОСТ Р 9000х.
7. ISO/IEC TR 15504. Оценка процессов жизненного цикла ПО (Information technology - Software process assessment).
В части порядка разработки и документирования ИС и ПО
8. ГОСТ 34.ххх. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы.
9. ГОСТ 19.ххх. Единая система программной документации.
10. IEEE 1063-1987. Standard for Software User Documentation.
11. IEEE 830-1994. Рекомендуемая практика формирования спецификаций программного обеспечения.
12. IEEE 829. Планирование тестирования программных средств.
13. DoD STD 2167A. Разработка программного обеспечения оборонных систем.
В части качества программных средств
14. ГОСТ 28806. Качество программных средств. Термины и определения.
15. ГОСТ 28195. Оценка качества программных средств. Общие положения.
16. ГОСТ 9126. Информационная технология. Оценка программного продукта. Характеристики качества и руководящие указания по их применению.
======================================================================================================

twinview(John Smith)
Сообщения: 690
Зарегистрирован: 01 янв 1970 03:00

MSCS c использованием CSP по GOST 34.11.94

Сообщение twinview(John Smith) » 26 мар 2009 11:31

неплохой диалог получился:)

Ali Aleem(radiantskills)
Сообщения: 0
Зарегистрирован: 01 янв 1970 03:00

MSCS c использованием CSP по GOST 34.11.94

Сообщение Ali Aleem(radiantskills) » 13 май 2014 19:21

to twinview:
ISO Standards Training Courses in South Africa by Radiant Skills

When products and services comply to ISO International Standards (ie quality expectations) consumers can have self-assurance that they are safe, reliable and of good quality. read more here: http://www.radiantskills.com/za/iso-standards-training/


Вернуться в «Техническая поддержка: Microsoft»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя