Полу-OFF. Надо ли шифровать клиентские сессии АБС по ГОСТу

Можно было разместить вопрос в "UNIX, Linux, Open Source Software", но здесь все же народ более в теме.
Вопрос вот в чем. Организация проводящая аудит ИБ на соответствие 152-ФЗ требует, чтобы SSH-сессии (линукс-винда) АБС шифровались по ГОСТ-овским алгоритмам. Есть мнение что это кагбы черезчур, и для внутренней инфраструктуры нормативные документы соответствия гостам не требуют.
Поодержка гостовского шифрования со стороны винды требует покупки криптопровайдеров на клиентские машины. Cо стороны Luinux - поодержка гостовского шифрования поддерживается в OpenSSL 1.0.0 который пока в ранге беты. Короче головняк еще тот.
Наверняка кто-нибудь с этой проблемой сталкивался - подскажите.

Не хочу ничего комментировать про юридическую надобность этого дела, однако технически решение есть. Ставите перед линуксовым сервером "ssl-терминатор" с гостовской криптухой (типа: http://www.s-terra.com/CSP/RU/products/gate_100b.h..., на клиентских машинах (виндах) - криптопровайдер, и получаете сертифицированное шифрование сессий по ГОСТу.

Корректность встраивания в ФСБ, лицензии .....




так или altell, stonegate можно посмотреть. Криптопровайдеры по-разному стоят.




что за организация если не секрет?

Сертификаты, точнее...

я про Лицензию на осуществление разработки, производства шифровальных (криптографических) средств, .....

C OpenSSL получается забвная ситуация. Адаптацией OpenSSL под госты занимается некий Криптоком. С одной стороны он вносит изменения в OpenSSL(http://www.cryptocom.ru/OpenSource/OpenSSL_rus.htm..., который с открытыми исходниками, бесплатный, но без сертификата.(как ФСБ будет выдавать сертификат на OpenSource - не представляю). С другой стороны Криптоком имеет сертифицированный набор библиотек OpenSSL, но уже за деньги. Но ко всему прочему имеется еще и OpenSSH(в конечном счете нам нужен именно он). И вот тут то выясняется что:

"НА НАСТОЯЩИЙ МОМЕНТ НЕ СУЩЕСТВУЕТ расширения стандарта на протокол SSH, позволяющего использовать российские алгоритмы. Поэтому OpenSSH, собранный с модифицированной OpenSSL, не будет поддерживать российскую криптографию."

Оказывается OpenSSH не использует реализацию TLS из OpenSSL, а идет своим путем. В общем приехали.
:-(

Похоже мы стали(попали) первыми, с кого требуют гостовский SSH. Повезло блин.

м.б. не усложнять себе жизнь и пойти простым путем?




кто требует?? Аудитор может только предлагать ... Весь смысл сотрудничества в создании эффективной, экономически оправданной и удобной для вас СЗПДн (т.е. в первую очередь помощь). А у вас война и разногласия получается? :-(

[Сообщение изменено пользователем 14.12.2009 17:29]

Ну, это как трактовать. Вы трактуете это как "встраивание СКЗИ" - тогда да, нужна лицензия. А если трактовать как установку готового решения, то достаточно базовых лицензий (техобслуживание, распространение, оказание услуг), которые у каждого банка есть.
ИМХО, когда вы берете криптобиблиотеку (*.dll, *.so) и собираете с ее помощью приложение - это встраивание. А когда вы запускаете на клиентском компьютере некую сертифицированную "чучу", которая прозрачно шифрует весть трафик в направлении заданного IP-адреса (пардон за столь вольное определение VPNа), это не есть встраивание, и лицензию на данный вид деятельности получать не надо.

Так-то это аудит на предмет соответствия 152-ФЗ. ИМХО проблема в том что аудитор(не буду его называть) - некая государственная контора, которая проверяла государственные же конторы. Для госконтор требование гостовско шифрования - обязательны везде. Для негосударственных контор - по сути только на "стыках" с внешним миром и госорганизациями.

To Cybervlad: Задумалсо. Если я ставлю из исходников OpenSSL, компилирую его, а потом пересобираю зависимые от него продукты - у меня формально должна быть лицензия на разработку. Вот ведь шит то!!!

P.S. Похоже и наверху начинают понимать что с шифрованием они перегнули:
http://www.cnews.ru/news/top/index.shtml?2009/12/1...

"Суть предлагаемых изменений к принятому Госдумой еще летом 2006 г. документу – во-первых, продлить срок, в течение которого ранее созданные информационные системы персональных данных (ИСПДн) подлежат приведению в соответствие с законом. Во-вторых, исключить требование использовать криптографические средства защиты персональных данных (ПД). "

[Сообщение изменено пользователем 14.12.2009 18:13]

Неа, шит в другом ;-)
В особых требованиях к лицензии будет пункт о том, что встраивать вы можете только сертифицированные СКЗИ. К коим "собранный из исходников OpenSSL" не относится :-)
Т.е. вы должны будете взять сертифицированную библиотеку, произвсти встраивание ее в информационную систему, после этого нужно бюудет провести аудит корректности встраивания, и лишь после этого данной ИС можно будет легитимно пользоваться.

p.s. Это не относится к ситуациям "для семьи, для дома", а касается только коммерческой деятельности.

....при использовании криптографии. А если не использовать?
Криптография решает многие проблемы, но не является панацеей.

Вообще Модель угроз, требования безопасности и т.д. разрабатывает сам Оператор (в соответтсвии с РД, здравым смыслом и помощью опытных товарищей :-) ).
Многое зависит от класса ИСПДн.




Как вариант, сегмент сети можно физически выделить.



вопрос к тредстартеру :-) есть?

Вот-вот. Меня всегда высаживает требование типа "база данных должна быть зашифрована". А от чего это защищает? Сервер БД стоит в бронированном бункере. При работе с БД данные все равно расшифровываются, так что их можно "слить" при обработке. Единственное, от чего защищает "прозрачное шифрование БД" - это от совершенно гипотетической ситуации хищения дискового массива (а сервер в бункере, помним, да?), т.е. совершенно нереальной модели угроз. Итого, кроме гимора в виде доп. затрат на криптуху и увеличения стоимости сервера (т.к. он должен быть более производительным, чтобы шифровать на лету), ничего не получаем.
Впрочем, в рассматриваемом случае (защита данных, циркулирующих между рабочей станцией и сервером) применение криптографии является адекватной мерой, дабы не городить выделенную "физику" линий.
Насчет сертифицированности и "бОльшей правильности" одних алгоритмов, так это повсеместно. Не только у нас требуют применять ГОСТ (сертифицированные реализации), буржуи тоже этим страдают. В процессе сертификации в VISA решения 3dsecure, нам понадобилось почти полгода, чтобы доказать VISA, что использование "Russian GOST28147 and 3410/11" ничуть не хуже, чем ихних AES/DSA. Ссылки на статьи ведущих криптографов (типа Шнайера), где говорится, что "русский ГОСТ - это сильно", помогли :-)

А куда деваться - конечно есть(процесс ее получения - та еще песня)
:-)



Ваши бы слова:-( Чтобы пройти проверку на предмет 152-ФЗ надо пройти аудит на предмет 152-ФЗ. Чтобы проверка прошла нормально - аудит надо проходить в совершенно определенных конторах(ну как в автошколах приблизительно). А контора (в этом ничего плохого нет) хочет заработать немного(ну это как получится) денег. И здравый смысл здесь далеко не главное :-(

Ссылку на документ, где это написано, можно?
Могу ошибаться, но ИМХО если оператор ПД анализирует свою систему, и понимает, что стандартные классы ему не подходят (т.е. система относится к "специальному классу"), он сам оформляет модель угроз, разрабатывает комплекс мер защиты и внутренним актом оформляет их внедрение (т.е. упрощенно: сам создал требования, и сам себя аттестовал на соответствие им). Если же стандартный класс - то да, нужна формальная аттестация АС в специализированной организации.

Hint: ни одна банковская АС по формальным признакам в стандартные классы "не помещается", т.е. ее надо выводить под спец. класс.
:-)

Проверку на предмет выполнения требований осуществляют либо регуляторы, либо лицензиаты в рамках Аттестации.



Подойдет (почти) любой лицензиат. И модель угроз согласуют и Аттестат соотвтетсвия получат.




именно! Типовые классы подходят, если нужно обеспечить Только Конфиденциальность. Неужели не нужно обеспечивать целостность или доступность?? А дальше классифицируем как Специальная и поехали.



Сложилась такая практика как классификация ИСПДн как "Специальная К2" или "Специальная К3". Т.е. модель угроз, требования сам себе написал. А в зависимости от класса применяется требование Аттестации ИСПДн. Благодаря "специальности" системы по возможности понижаем класс (была Специальная К2, стала Специальная К3).

+1

М.б. это ИМХО аудитора? с целью


:-D

[Сообщение изменено пользователем 15.12.2009 12:00]

Так и есть :-(