Новый сертификат ФСБ на модуль шифрования Cisco

С радостью сообщаю, что модуль NME-RVPN (в исполнении МСМ) для маршрутизаторов ISR и ISR G2 28-го февраля получил новый сертификат ФСБ. Если раньше модуль был сертифицирован по классу защиты КС1, то сейчас уровень защиты повышен до КС2. Основное изменение касается банков, которым стандартом Банка России было предписано применение VPN-решение классом не ниже КС2. Теперь и модуль NME-RVPN и VPN-решение на базе Cisco UCS C-200 сертифицированы по классу КС2.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    Алексей, не могли бы Вы дать ссылку на абзац СТО БР ИББС-1.0-2010, где четко указано требования использовать VPN не ниже 2-го Класса.

    Заранее благодарю за подробный ответ.

    Ответить
  2. Алексей Лукацкий

    7.7.1

    Ответить
  3. Unknown

    Ок, соглашусь.

    Есть ли у Вас в наличии документы ФСБ, которые регламентируют сертификацию VPN-решений именно как СКЗИ.

    Кроме письма ответа ФСБ на запрос одной компании, я не нашел подтверждающих документов.

    Буду благодарен за ссылку на соответствущие РД (если они в открытом доступе).

    Спасибо!

    Ответить
  4. Алексей Лукацкий

    Любое продукт, имеющий механизмы шифрования, по нормативной базе (ПП-957 и GRP-2005) является СКЗИ.

    Сертификация СКЗИ определяется закрытыми документами ФСБ.

    Ответить
  5. Алексей Лукацкий

    ПКЗ-2005

    Ответить
  6. Unknown

    Спасибо за комментарии.

    Суть — закрытые документы ФСБ.

    Ответить
  7. Сергей Борисов

    Есть открытый методический документ ФСБ, в котором встраивание СКЗИ в сложный продукт не требуется сертифицировать.

    Поэтому с-терра + криптопро и раньше можно было использовать для защиты ПДн.

    На самом деле интересен вопрос — как решили проблему с электронным замком, который обязателен для СКЗИ класса КС2?

    Ответить
  8. Алексей Лукацкий

    Какой документ? По ПДн? Там речь идет о встраивании в прикладуху. А вот насчет встраивания в VPN позиция регулятора достаточно четкая — нужно сертифицировать все изделие целиком.

    По поводу КС2 — специальную флешку доверенной загрузки сделали — "МАРШ-CF". Ее выпускает ОКБ САПР.

    Ответить
  9. Сергей Борисов

    Да, я про документ по ПДн.

    Там четко написано что это любое встраивание:

    5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России

    Ни слова не говорится прикладное это ПО или средства построения VPN.

    Ответить
  10. Алексей Лукацкий

    Сергей, я вам говорю про позицию регулятора, зафиксированную в письме. Вы можете к ней прислушиваться или не прислушиваться, но если к вам придут и спросят, аппелировать вам будет не к чему, ибо названный вами документ вообще никакого юридического статуса не имеет. И его же авторы вам пояснят "на месте", что они имели ввиду 😉

    Но если мы посмотрим внимательно на методичку ФСБ, то там написано буквально следующее:
    1. Встраивание осуществляется без контроля со стороны ФСБ, если контроль не предусмотрен ТЗ (в формуляре на КриптоПро, например, написано, что нужен контроль ФСБ).
    2. Встраивание осуществляется ТОЛЬКО лицензиатом. Причем под словам "соответствующая лицензия" подразумевается лицензия на разработку СКЗИ.

    А теперь посмотрим на то, как эти два пункт выполняются? 😉 Никак и никем 😉

    Ответить
  11. Алексей Т.

    Все конечно красиво, но: VPN клиенты С-терра все равно нужно применять с устройствами доверенной загрузки для достижения уровня КС2 (и Марш! на рабочих станциях уже не поможет, соболя надо покупать). Так что победа какая-то сомнительная… Да и повторюсь – я бы все-таки С-Терру поздравил, а не Cisco – Cisco поздравим, когда Вы сертифицируете свой собственный VPN с ГОСТовским алгоритмом.  В общем мы конечно рады, но что делать с этим модулем (с учетом его стоимости, стоимости маршрутизатора можно несколько гейтов купить) не знаем пока… По поводу встраивания Вы Алексей правы, ФСБ неофициально не любит встраивания, но официально никогда об этом не говорит, тут уж как карта ляжет.

    Ответить
  12. Алексей Лукацкий

    Есть МАРШ-USB для клиентов. КС2 обеспечивает.

    По поводу поздравлений: Cisco предоставила платформу, которую и проверяли. Хотя основная заслуга у С-Терры — тут никто не спорит. Но и мы движемся. Куда… пока не скажу 😉 Рано еще.

    Цена… Cisco никогда не была дешевой при первичных капитальных затратах. Мы берем другим — качество, функционал, надежность… Так и тут — есть задачи, которые из всех сертифицированных решений делает только Cisco+С-Терра.

    Ответить
  13. Станислав

    Алексей, немного не в эту тему, но тоже по СКЗИ и Cisco.
    Не могу разобраться, требуется ли лицензия на техобслуживание ASA с К8? Т.е. когда канал шифруем только DESом.

    Ответить
  14. Алексей Лукацкий

    Насколько я помню ПП-957, лицензия не требуется.

    Ответить
  15. amt2001

    Можно рабочую ссылку на сертификат? За счет чего удалось подняться до КС2? Какой-нибудь МАРШ! прикрутили или еще что-нить?

    Ответить
  16. Алексей Лукацкий

    МАРШ. Сертификат скоро на сайте С-Терры будет

    Ответить
  17. doom

    Алексей, все-таки МАРШ! на стороне клиента еще не сертифицирован.

    Все сертификаты уже выложены на сайте S-terra: http://www.s-terra.com/CSP/RU/licenses/licenses.htm#fsb_certificates
    Но там написано про загадочные "Исполнение X", а формуляр на сайте не выложен 🙂
    Но могу сказать, что VPN клиент — это исполнение 3
    А исполнение 5 — это как раз VPN Gate + МАРШ!

    Ответить
  18. Tomas

    Алексей, для удаленных рабочих мест нужен КС2, но под МАРШ( который под линукс на флэшке) не все приложения идут, потому для многих он будет бесполезен. Планируется ли повышение до КС2 CSP VPN Client какими либо отличными способами, чем описаны в формуляре (установка Аккорд или Соболь), ведь на ноутбук их не поставить.

    Ответить
  19. Алексей Лукацкий

    doom: Да, верно. Не углядел.

    Василию: Под КС2 еще МАРШ подходит. Но VPN Client есть только под Винду.

    Ответить
  20. Tomas

    VPN Client интересует, чтоб именно под винду, но он КС1. МАРШ не подходит по двум причинам:
    1. не будут работать ряд бизнес-приложений (специфика);
    2. не нравится руководству, так как на флэшке МАРШ среда линукс, не удобно.
    Есть ли возможность повысить класс VPN Client до КС2 не посредством Аккорд или Соболь, а чем то другим?
    например шифрованием диска ноутбука + Secure Pack или что-то еще?
    в формуляре жестко Аккорд и Соболь, а альтернатива?

    Ответить
  21. Алексей Лукацкий

    Уточню

    Ответить