Статус: Новичок
Группы: Участники
Зарегистрирован: 17.12.2014(UTC) Сообщений: 4   Откуда: Бутово Сказал «Спасибо»: 2 раз
Поблагодарили: 1 раз в 1 постах
|
Всем привет, есть вопрос: существует софт на java, использующий сейчас CryptoPro JCP для подписи некоторого сообщения технологической ЭП.
Появилось требование проведения оценки корректности встраивания СКЗИ (правомерность этого требования под вопросом, но оно пока есть).
Есть мнение, что в случае использования JCSP вместо JCP процедура оценки корректности встраивания СКЗИ может быть существенно сокращена, так как в этом случае встраивания СКЗИ в java приложение не происходит и сертифицировать по сути надо только корректность установки CSP на машину.
Вопросы:
1. Так ли это?
2. Проходил ли кто-нибудь оценку корректности встраивания СКЗИ для JSCP указанным выше способом? В какой лаборатории, сколько примерно это длилось?
3. Тот же вопрос про сроки и лабораторию для JCP. Понятно что в этом случае всё будет медленно и печально - предоставление исходников, анализ, замечания, исправления и т.д.
Заранее спасибо за ответы.
|
|
|
|
|
|
Статус: Сотрудник
Группы: Модератор, Участники Зарегистрирован: 03.12.2018(UTC) Сообщений: 1,190 Сказал(а) «Спасибо»: 100 раз
Поблагодарили: 272 раз в 253 постах
|
Добрый день! 1. нет, не так 2-3 passing Цитата:согласно формуляру на СКЗИ JCP:
1.8. При встраивании СКЗИ в прикладные системы необходимо по Техническому заданию,
согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования (далее —
СФ) СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
• если информация конфиденциального характера подлежит защите в соответствии с законодательством
Российской Федерации;
• при организации криптографической защиты информации конфиденциального характера в
федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской
Федерации (далее — государственные органы);
* при организации криптографической защиты информации конфиденциального характера в
организациях независимо от их организационно-правовой формы и формы собственности при выполнении
ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее -
организации, выполняющие государственные заказы);
* если обязательность защиты информации конфиденциального характера возлагается
законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных
полномочиями по распоряжению сведениями, содержащимися в данной информации;
* при обрабатывании информации конфиденциального характера, обладателем которой являются
государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер
по охране ее конфиденциальности путем использования средств криптографической защиты;
* при обрабатывании информации конфиденциального характера в государственных органах и в
организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее
конфиденциальности путем установления необходимости криптографической защиты данной информации т.е. если есть требование об оценке влияния, то производить их должны лаборатории при ФСБ России ознакомьтесь пожалуйста с указанным ПКЗ 2005, а также с формуляром на СКЗИ. в случае возникновения дополнительных вопросов рекомендую направить письмо нашим менеджерам info@cryptopro.rup.s. вообще "встраивание" это процесс когда программист пишет код. если он использовал черные функции, то это тематические исследования = разработка нового СКЗИ если использовал белые функции, то это оценка влияния, в случаях указанных в формуляре СКЗИ и ПКЗ 2005 |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
