Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline AlexPavlenko  
#1 Оставлено : 29 марта 2016 г. 17:14:59(UTC)
AlexPavlenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.02.2013(UTC)
Сообщений: 6
Российская Федерация

Я написал самодельное ПО,
которое использует стороннюю библиотеку,
которая использует CryptoPro Java CSP,
которая является оберткой над CryptoPro CSP

Какое-то из этого ПО сертифицировано, какое-то нет.

Хотелось бы понять принцип, где в этом стеке проходит граница между тем ПО которое должно быть сертифицированным для удовлетворения требований регуляторов и тем которое можно не сертифицировать (при тех же условиях).

И какие существуют нормативные документы регулирующие данный вопрос?

Отредактировано модератором 30 марта 2016 г. 9:58:29(UTC)  | Причина: Не указана

Offline Станислав Смышляев  
#2 Оставлено : 30 марта 2016 г. 9:45:20(UTC)
Станислав Смышляев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 186
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 62 постах
Добрый день!

Ориентироваться здесь стоит на ПКЗ-2005, в особенности на раздел II.

При использовании СКЗИ для защиты информации в случаях, описанных в пункте 3 данного положения, необходимо проводить оценку влияния (по сути - контроль встраивания) системы на СКЗИ (см. пункт 35), при этом проверяется один тезис: весь функционал криптографической защиты информации базируется на сертифицированных средствах, при этом они используются в полном соответствии с эксплуатационной документацией.

Если Ваша сторонняя библиотека использует (через модули CryptoPro Java CSP, на которые отдельный сертификат мы пока не получали) CryptoPro CSP в соответствии с перечнем вызовов, описанных в руководстве по эксплуатации (в случае КриптоПро CSP 4.0 – в "Правилах пользования"), то корректность встраивания обеспечивается, отдельных сертификатов получать больше на что-либо не нужно.

С другой стороны, строго говоря, в случае, если защищаемая информация относится к пункту 3 ПКЗ-2005, то независимо от набора используемых СКЗИ требуется отдельное заключение на всю систему в части корректности встраивания в нее СКЗИ.


Готов ответить на Ваши вопросы и дать уточнения, если потребуется.
С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline ccb  
#3 Оставлено : 14 июля 2016 г. 17:29:15(UTC)
ccb

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.07.2016(UTC)
Сообщений: 2
Российская Федерация

Автор: svs Перейти к цитате
Добрый день!

Ориентироваться здесь стоит на ПКЗ-2005, в особенности на раздел II.

При использовании СКЗИ для защиты информации в случаях, описанных в пункте 3 данного положения, необходимо проводить оценку влияния (по сути - контроль встраивания) системы на СКЗИ (см. пункт 35), при этом проверяется один тезис: весь функционал криптографической защиты информации базируется на сертифицированных средствах, при этом они используются в полном соответствии с эксплуатационной документацией.

Если Ваша сторонняя библиотека использует (через модули CryptoPro Java CSP, на которые отдельный сертификат мы пока не получали) CryptoPro CSP в соответствии с перечнем вызовов, описанных в руководстве по эксплуатации (в случае КриптоПро CSP 4.0 – в "Правилах пользования"), то корректность встраивания обеспечивается, отдельных сертификатов получать больше на что-либо не нужно.

С другой стороны, строго говоря, в случае, если защищаемая информация относится к пункту 3 ПКЗ-2005, то независимо от набора используемых СКЗИ требуется отдельное заключение на всю систему в части корректности встраивания в нее СКЗИ.


Готов ответить на Ваши вопросы и дать уточнения, если потребуется.


Добрый день, Станислав.
Рассматриваем возможность использования CryptoPro Java CSP в нашем ПО.
Т.е. стек практически аналогичен описаному выше:
- Наше разрабатываемое ПО
- CryptoPro Java CSP
- CryptoPro CSP

Хотел бы уточнить один момент в вашем ответе.
Вы пишете
Автор: svs Перейти к цитате
"корректность встраивания обеспечивается, отдельных сертификатов получать больше на что-либо не нужно".

При этом выше:
Автор: svs Перейти к цитате
"через модули CryptoPro Java CSP, на которые отдельный сертификат мы пока не получали".


Т.е. для использования CryptoPro Java CSP все-таки нужно дождаться получения вами сертификата на данный модуль?
Или же сертификат на нее не нужен? Тогда зачем вы планируете получать на нее отдельный сертификат?
И каковы ориентировочные сроки получения сертификата на CryptoPro Java CSP?

Спасибо.
Offline Станислав Смышляев  
#4 Оставлено : 14 июля 2016 г. 17:41:02(UTC)
Станислав Смышляев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 186
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 81 раз в 62 постах
Добрый день!

Совершенно уместный вопрос, ситуация тут несколько двоякая – уточняю.

С одной стороны, действительно, у нас запланированы работы по сертификации Java CSP как отдельного исполнения. Это позволит при встраивании в конечную систему пользоваться не только функционалом по подписи (который обращается к CSP через документированный для встраивания интерфейс), но и, например, по TLS - а это уже требует досертификации. Кроме того, при необходимости проведения контроля встраивания (оценки влияния) придется предоставлять все исходные коды ПО, обращающегося к СКЗИ, а исходников Java-машины у Вас, вероятно, не будет (да и исходники своей Java-оболочки мы не даем).

Но с другой стороны при отсутствии необходимости проходить контроль встраивания (оценку влияния) использование Java CSP для подписи/проверки приводит к использованию вызовов CSP CryptoAPI из интерфейса для встраивания (см. Правила пользования на CSP 4.0), что совершенно честно попадает под действие сертификата соответствия ФСБ России (с той оговоркой, что вызовы производятся через неизвестную Вам в исходниках нашу прослойку).
С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline ccb  
#5 Оставлено : 18 июля 2016 г. 13:25:06(UTC)
ccb

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.07.2016(UTC)
Сообщений: 2
Российская Федерация

Добрый день, Станислав!
Понятно, спасибо за ответ.
Offline hot  
#6 Оставлено : 26 января 2018 г. 18:00:07(UTC)
hot

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2018(UTC)
Сообщений: 2
Мужчина

Мне всегда казалось что сертификация нужна всегда
Offline sterid  
#7 Оставлено : 13 августа 2020 г. 12:40:27(UTC)
sterid

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.08.2020(UTC)
Сообщений: 1

Добрый день, прошу подсказать какая сертификация (ФСБ\ФСТЭК) необходима.

Разрабается программное обеспечение, которое будет подписывать и проверять КЭП\УКЭП для файлов при взаимодействии с внешними контрагентами.
Вся логика приложения реализована на собственой кодовой базе C#.

Для работы с ГОСТ 34.10-2012 планируется использование КриптоПро.
Приобретены лицензии на следующие продукты:
-КриптоПро CSP
-КриптоПро OCSP
-КриптоПро TSP
-Cryptcp утилиту

Если мы используем КриптоПро SDK для интеграции нужна ли сертификация разрабатываемоего ПО?
Если мы используем Cryptcp.exe для проверки\создания подписей нужна ли сертификация данного ПО?
Offline DmitryBagin  
#8 Оставлено : 13 августа 2020 г. 18:02:21(UTC)
DmitryBagin

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.08.2020(UTC)
Сообщений: 1

Доброго дня!

Если говорить о том, в каких ситуациях необходимо проведение каких-либо исследований в системе сертификации ФСБ РФ при использовании СКЗИ, то информация об этом содержится в эксплуатационной документации на КриптоПро CSP. В частности, перечень случаев, когда необходимо проведение работ по оценке влияния или по тематическим исследованиям (сертификации как самостоятельного СКЗИ), приведен в пункте 1.5 Формуляра, где сказано:
«1.5 При встраивании СКЗИ в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
 если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
 при организации защиты конфиденциальной информации, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
 при организации криптографической защиты конфиденциальной информации, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд;
 если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
 при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
 при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.»
и
«В случае использования вызовов, не входящих в перечень Приложения 2 документа ЖТЯИ.00087-03 95 01. Правила пользования, необходимо производить разработку отдельного СКЗИ на базе «КриптоПро CSP» версия 4.0 R4 в соответствии с действующей нормативной базой (в частности, с Постановлением Правительства Российской Федерации от 16 апреля 2012 г. №313 и Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)).»



Цитата:
Если мы используем КриптоПро SDK для интеграции нужна ли сертификация разрабатываемоего ПО?

В случае использования КриптоПро SDK для создания/проверки ЭП сертификация разрабатываемого ПО не требуется (в силу того, что для создания/проверки ЭП используются только вызовы входящие в перечень Приложения 2 Правил пользования), однако проведение работ по оценке влияния разрабатываемого ПО на СКЗИ нужно (если ваше ПО подпадает под пункты, перечисленные выше).

Цитата:
Если мы используем Cryptcp.exe для проверки\создания подписей нужна ли сертификация данного ПО?

По поводу данной утилиты в Правилах пользования на КриптоПро CSP указано:
«Следующие программные компоненты СКЗИ «КриптоПро CSP» версии 4.0 R4 можно использовать без проведения дополнительных тематических исследований:
 приложение командной строки для подписи и шифрования файлов cryptcp;
 приложение командной строки для работы с сертификатами certmgr;
 приложение для создания TLS-туннеля stunnel.»

При этом, в общем случае работы по оценке влияния на СКЗИ так же должны быть проведены (если ваше ПО подпадает под пункты, перечисленные выше).


С уважением, Багин Дмитрий
Начальник отдела анализа безопасности систем
Offline СергейГоловин  
#9 Оставлено : 31 марта 2022 г. 10:24:19(UTC)
СергейГоловин

Статус: Новичок

Группы: Участники
Зарегистрирован: 31.03.2022(UTC)
Сообщений: 8
Российская Федерация
Откуда: Омск

Сказал(а) «Спасибо»: 5 раз
Добрый день !

Требуется на локальном рабочем месте поддержка работы windows-приложения (Delphi) через COM-интерфейс (CAPICOM) с подписями в формате XAdES-BES в соответствии с ГОСТ Р 34.11-2012
Если я правильно понял, для этого необходимо использовать пакет ПО "КриптоПро SDK".
Пожалуйста, уточните.
1. Какие лицензии необходимо приобрести для поддержки описанного выше функционала ?
2. На компьютере при инсталляции СБИС установлен СКЗИ "КриптоПро CSP" версия 4.
Есть необходимость обновить до версии 5 ?

Offline James Bolt  
#10 Оставлено : 22 июля 2024 г. 16:16:19(UTC)
James Bolt

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.07.2024(UTC)
Сообщений: 4
США
Откуда: Washington

Привет,

Я думаю, что требования к сертификации программного обеспечения, использующего криптографические библиотеки, обычно зависят от конкретной нормативной среды, в которой вы работаете. В целом граница сертификации часто лежит в точке реализации криптографических функций. В вашем случае CryptoPro CSP и, возможно, оболочка CryptoPro Java CSP должны быть сертифицированы. Ваше самодельное программное обеспечение может не нуждаться в сертификации, если оно не реализует напрямую криптографические функции, а использует сертифицированные библиотеки.

Нормативные документы, регулирующие этот вопрос, включают стандарты и рекомендации таких организаций, как NIST (в США) или ФСБ (в России). В частности, в России актуальны нормативные акты Федеральной службы безопасности (ФСБ) и Федеральной службы по техническому и экспортному контролю (ФСТЭК). Проверка в этих регулирующих органах или консультация с экспертом по соблюдению требований в вашей юрисдикции позволит определить точные требования.

Спасибо
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.