Контакты
Подписка
МЕНЮ
Контакты
Подписка

Удаленное управление и КриптоПро CSP - Форум по вопросам информационной безопасности

Удаленное управление и КриптоПро CSP - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: lex | 99732 14.08.2018 10:58
Добрый день!Уважаемые коллеги,наша организация осуществляет удаленную поддержку пользователей подведомственных учреждений по средствам удаленного подключения по Ammyy Admin, на ПК пользователей к которым подключаемся установлен КриптоПро CSP в документации на который прописано:
"1. Необходимо исключить возможность удаленного управления, администрирования и модификации ОС и её настроек; 2. Должна быть отключена возможность удаленного администрирования ПЭВМ с установленным СКЗИ «КриптоПро CSP» v 4.0." Есть ли выход,компромисс? Если прописать инструкцию для пользователей,где прописать что разрешено подключение только с правами просмотра экрана,без прав управления мышью и администрирования,будет ли это все равно нарушением.

Автор: Влад | 99745 14.08.2018 11:28
>>> 2. Должна быть отключена возможность удаленного администрирования ПЭВМ с установленным СКЗИ «КриптоПро CSP» v 4.0.


Это требование или рекомендация? Внимательно изучите документ.

Автор: lex | 99749 14.08.2018 12:31
Я думаю это требование или я не прав?
"ЖТЯИ.00087-01 91 02. Крипт оПро CSP. Руководство администратора безопасност и.
Использование СКЗИ под управлением ОС Windows
10.1. Организационно-технические меры защиты от НСД
Должен быть реализован следующий комплекс организационно-технических мер защиты от НСД:
29. Должна быть отключена возможность удаленного администрирования ПЭВМ с установленным СКЗИ «КриптоПро CSP» v 4.0."

Автор: oko | 99772 14.08.2018 17:16
to lex
<наша организация осуществляет удаленную поддержку ... по средствам ... Ammyy Admin> - сочувствую...
<Я думаю это требование или я не прав?> - формуляры, к сожалению, редко кто читает. В том ваше счастье. А вообще... в любом случае нарушаете, если не формальные требования, то логику ИБ/ЗИ. Меняйте техпроцесс, используйте защищенные каналы и средства удаленного администрирования (защищенные не в смысле <только с правами просмотра экрана...>) и будет счастье. А лучше те же средства и время потратить на обучение пользователей и создание устойчивой системы, к которой не надо удаленно подключаться, ага...

Автор: Константин | 99915 15.08.2018 13:23
2 lex

ЖТЯИ.00087-01 91 01. Руководство администратора безопасности. Общая часть
страница 5
Настоящее Руководство содержит общее описание средства криптографической защиты
информации «КриптоПро CSP» v. 4.0 КС1 (ЖТЯИ.00087-01) исполнения 1-Base и РЕКОМЕНДАЦИИ по использованию СКЗИ в различных автоматизированных системах.

В зависимости от комплектации и используемой программно-аппаратной среды функционирования СКЗИ следует руководствоваться также документами [9] - [21].

Инструкции администраторам безопасности и пользователям различных автоматизированных систем, использующих «КриптоПро CSP» v. 4.0, должны разрабатываться с
учетом требований настоящего Руководства.

В общем, основное это соблюдать требования Формуляра, а остальное на ваше усмотрение

Автор: Олег, Оттуда | 100010 16.08.2018 06:47
"подведомственных учреждений по средствам удаленного подключения по Ammyy Admin"
Как сказал великий oko: "в любом случае нарушаете, если не формальные требования, то логику ИБ/ЗИ"
И вообще, любую логику нарушаете хотя бы выбором продукта. Или готовы поспорить, что это самый защищенный продукт и вообще, его (или его производителя) никто никогда не ломал и не встраивал вредоносы?
Только сертифицированными средствами можно связывать "подведомственные" учреждения.

Автор: lex | 100021 16.08.2018 09:13
Спасибо,уважаемые коллеги,за живое обсуждение!Подключатся в любом случае удаленно нам придется к пользователям,обслуживаем бухгалтерское ПО с которым постоянные проблемы. В настоящее время есть предписание регулятора: "выявлены следующие недостатки: используется программное обеспечение, имеющие возможность удаленного управления, администрирования и модификации оперативной системы и ее настроек Ammyy Admin (требования п. 15.4 Руководства администратора безопасности ЖТЯИ.00050-03 90 02). Предлагается исключить возможность удаленного управления,администрирования и модификации операционной системы и ее настроек".

to oko, to Олег, Оттуда
У нас 50 % клиентов находятся в защищенной КСПД, сеть ViPNet.Остальные вне нашей КСПД. Посоветуйте пожалуйста сертифицированные продукты, программные решения которые можно использовать для организации удаленного подключения как в пределах КСПД так и за ее пределами.
Желательно с наименьшим бюджетом для внедрения, являемся муниципальной организацией,деньги выбить как всегда сложно.

Автор: Константин | 100029 16.08.2018 09:41
2 lex
А перейти на Vipnet вместо КриптоПро? я правда документацию их не читал, но возможно у них нет такого требования в документации..

Автор: Евгений | 100076 16.08.2018 14:07
Средства криптографической защиты и удаленных доступ не совместимые вещи.

Автор: oko | 100093 16.08.2018 16:29
to Евгений
<Средства криптографической защиты и удаленных доступ не совместимые вещи> - скажите это Активу и КриптоКом с их защитой RDP и SSH, согласованной с "другим" регулятором...

to lex
Смотреть вашу схему подключения надо, чтобы нечто конкретное посоветовать и не ошибиться. В простейшем случае: любое сертиф. vpn-решение или сертиф. tls-решение поверх транспортного протокола + децентрализованное средство администрирование. Т.е., к примеру, RDP через каналы, закрытые ViPNet. Или тем же переводом на ГОСТ-SSL через КриптоПро. Или вообще взять сертиф.ФСТЭК ПАК, позволяющий VPN без сертификата ФСБ. Тоже вариант (хоть и несколько неказистый, в зависимости от того, "под кем" первоочередно ходит ваша организация - под ФСТЭК или под ФСБ)...

Просмотров темы: 2910

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*