Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
контроль корректности встраивания
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
BrainStorm написал:Итак, что в конце концов имеем?
Контроль встраивания в ФСБ обязателен:
1. Если стороннему разработчику требуется обеспечить "встраивание криптосредств класса КС3, КВ1, КВ2 и КА1".
2. Заказчик прямо указал необходимость контроля встраивания в техническом задании на разработку (модернизацию) информационной системы
В противном случае, контроль встраивания не обязателен.
КриптоПро является криптосредстом класса KC1 (я имею ввиду КриптоПро CSP, именно так у меня написано: версия криптографического ядра (СКЗИ): КС1 3.6.5359), поправьте меня, если я ошибаюсь. Учитывая это п.1. отпадает сам по себе, т.к. СКЗИ физически не может обеспечить необходимый для обязательного контроля встраивания класс криптосредств.
Т.е. если заказчик не указал в ТЗ необходимость контроля корректности встраивания, и мы используем КриптоПро CSP КС1, то мы можем спокойно обойтись без этого контроля? Так? Складывается впечатление, что Вы вообще не читали посты в этом топике :-( Контроль встраивания криптосредств с информационную систему в ФСБ обязателен: 1. Если криптосредства класса КС3, КВ1, КВ2 и КА1 применяются в информационной системе для защиты персональных данных 2. Если криптосредства в информационной системе используются для защиты информации конфиденциального характера, подлежащей защите в соответствии с законодательством Российской Федерации; 3. Если криптосредства используются для организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации; 4. Если криптосредства используются для организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд; 5. Заказчик прямо указал необходимость контроля встраивания в техническом задании на разработку (модернизацию) информационной системы. В остальных случаях - рекомендуется контроль встраивания с целью оценки обоснованности и достаточности мер, принятых для защиты информации конфиденциального характера. Поэтому если Вы используете КриптоПро CSP КС1, то это ещё не значит, что "мы можем спокойно обойтись без этого контроля". Посмотрите, может Вы ещё попадаете в оставшиеся 4 пункта... |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
BrainStorm написал:Итак, что в конце концов имеем?
Контроль встраивания в ФСБ обязателен:
1. Если стороннему разработчику требуется обеспечить "встраивание криптосредств класса КС3, КВ1, КВ2 и КА1".
2. Заказчик прямо указал необходимость контроля встраивания в техническом задании на разработку (модернизацию) информационной системы
В противном случае, контроль встраивания не обязателен.
КриптоПро является криптосредстом класса KC1 (я имею ввиду КриптоПро CSP, именно так у меня написано: версия криптографического ядра (СКЗИ): КС1 3.6.5359), поправьте меня, если я ошибаюсь. Учитывая это п.1. отпадает сам по себе, т.к. СКЗИ физически не может обеспечить необходимый для обязательного контроля встраивания класс криптосредств.
Т.е. если заказчик не указал в ТЗ необходимость контроля корректности встраивания, и мы используем КриптоПро CSP КС1, то мы можем спокойно обойтись без этого контроля? Так? 3. Либо Заказчик - госорган
|
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.12.2011(UTC)
Сообщений: 17
|
Юрий, благодарю за терпение и развёрнутый ответ.
Написал Вам личное сообщение с детальным описанием нашей ситуации. Помогите разобраться.
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
|
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Хочу поднять тему.
До этого выше писали, что для использования CSP в стандартном ПО (пункт 8 "Описания применения"), проведения контроля корректности встраивания не требуется.
А откуда это следует? В пункте 8 написано следующее:
"Программное обеспечение КриптоПро CSP позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей X.509 с различным программным обеспечением Microsoft:"
Ну позволяет и позволяет, а где доказательства того, что не требуется проведение контроля корректности встраивания? Здесь такое не написано.
Я с какой целью интересуюсь. Допустим нужно защитить документооборот между двумя госорганами. Понятно персданные, ФЗ диктует необходимость их защищать, модель угроз говорит о том, что Н3-Н6 отдыхают, максимум Н1,Н2, нам достаточно СКЗИ КС2 и в качестве таковых мы используем:
1) vpn на континентах
2) vpn на випнетах
3) ipsec от криптопро
Третий вариант как бы гораздо дешевле. Но насколько это легетимно?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Rams написал:Хочу поднять тему.
До этого выше писали, что для использования CSP в стандартном ПО (пункт 8 "Описания применения"), проведения контроля корректности встраивания не требуется.
А откуда это следует? В пункте 8 написано следующее:
"Программное обеспечение КриптоПро CSP позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей X.509 с различным программным обеспечением Microsoft:"
Ну позволяет и позволяет, а где доказательства того, что не требуется проведение контроля корректности встраивания? Здесь такое не написано.
Я с какой целью интересуюсь. Допустим нужно защитить документооборот между двумя госорганами. Понятно персданные, ФЗ диктует необходимость их защищать, модель угроз говорит о том, что Н3-Н6 отдыхают, максимум Н1,Н2, нам достаточно СКЗИ КС2 и в качестве таковых мы используем:
1) vpn на континентах
2) vpn на випнетах
3) ipsec от криптопро
Третий вариант как бы гораздо дешевле. Но насколько это легетимно? Берём документ "ЖТЯИ.00050-02 90 01 Описание реализации". Раздел 7 Применение СКЗИ ЖТЯИ.00050-02 гласит: Возможны следующие применения СКЗИ ЖТЯИ.00050-02: 1. Применение СКЗИ в составе стандартного программного обеспечения компании Microsoft и других компаний, реализующих криптографический интерфейс в соответствии с архитектурой Microsoft. 2. Встраивание СКЗИ во вновь разрабатываемое или существующее прикладное программное обеспечение. Соответственно появляется раздел 8 Применение и раздел 9 Встраивание. Прочитали? В документе "ЖТЯИ.00050-02 30 01 Формуляр" в разделе 1.5 написано "1.5. При встраивании СКЗИ ЖТЯИ.00050-02 в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований в следующих случаях:" Как видите "При встраивании". Надеюсь показал и убедил? И Вы поняли отличие "применения" от "встраивания"? Что касается Вашего второго вопроса про "3) ipsec от криптопро" Нами разработан и подан на сертификацию продукт СКЗИ "КриптоПро IPSec". Судя по всему, Вы именно про него говорили. Т.к. это продукт типа VPN то на него заключение о встраивании получить НЕВОЗМОЖНО. Только сертифицировать как СКЗИ. Ждём со дня на день заключение ФСБ России... После появления положительного заключения (получение сертификата это формальная бюрократическая процедура при наличии заключения) применение в госорганах и для защиты персональных данных при классах защиты от КС3 и выше будет лигитимно. Применение "КриптоПро IPSec" класса КС1 и КС2 для защиты персональных данных и сейчас лигитимно. Это в соответствии с пунктом 5.1 "Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждённых руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Юрий Маслов написал:
Берём документ "ЖТЯИ.00050-02 90 01 Описание реализации".
Раздел 7 Применение СКЗИ ЖТЯИ.00050-02 гласит:
Возможны следующие применения СКЗИ ЖТЯИ.00050-02:
1. Применение СКЗИ в составе стандартного программного обеспечения компании Microsoft и других компаний, реализующих криптографический интерфейс в соответствии с архитектурой Microsoft.
2. Встраивание СКЗИ во вновь разрабатываемое или существующее прикладное программное обеспечение.
Соответственно появляется раздел 8 Применение и раздел 9 Встраивание. Прочитали?
В документе "ЖТЯИ.00050-02 30 01 Формуляр" в разделе 1.5 написано "1.5. При встраивании СКЗИ ЖТЯИ.00050-02 в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований в следующих случаях:"
Как видите "При встраивании". Надеюсь показал и убедил? И Вы поняли отличие "применения" от "встраивания"?
Ну то есть я так понял. Если разработчик говорит, что он встраивает CSP в свой продукт - контроль корректности встраивания нужен, а если говорит, что реализует криптографический интерфейс в соответствии с архитектурой Microsoft - то не нужен? Цитата:
Что касается Вашего второго вопроса про "3) ipsec от криптопро"
Нами разработан и подан на сертификацию продукт СКЗИ "КриптоПро IPSec". Судя по всему, Вы именно про него говорили. Т.к. это продукт типа VPN то на него заключение о встраивании получить НЕВОЗМОЖНО. Только сертифицировать как СКЗИ.
Ждём со дня на день заключение ФСБ России... После появления положительного заключения (получение сертификата это формальная бюрократическая процедура при наличии заключения) применение в госорганах и для защиты персональных данных при классах защиты от КС3 и выше будет лигитимно.
Применение "КриптоПро IPSec" класса КС1 и КС2 для защиты персональных данных и сейчас лигитимно. Это в соответствии с пунктом 5.1 "Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждённых руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144.
Что ж, будем ждать и смотреть прецеденты. Решение на ipsec должно получиться дешевле и логичнее.
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
1. Если разработчик говорит, что он встраивает CSP в свой продукт - контроль корректности встраивания нужен, а если говорит, что использует CSP посредством применения стандартных приложений, перечисленных в разделе 8 документа "ЖТЯИ.00050-02 90 01 Описание реализации" - то не нужен.
2. Преценденты применения уже есть. Но в госорганах нет т.к. нужно заключение ФСБ. Решение на ipsec должно получиться дешевле т.к. сам продукт "КриптоПро IPSec" бесплатен. Это фактически дополнительный функционал к СКЗИ "КриптоПро CSP" версии 3.6. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Юрий Маслов написал:... а если говорит, что использует CSP посредством применения стандартных приложений, перечисленных в разделе 8 документа "ЖТЯИ.00050-02 90 01 Описание реализации" - то не нужен.
Погодите, а при чем тут стандартные приложения, вы же цитировали Юрий Маслов написал:
Возможны следующие применения СКЗИ ЖТЯИ.00050-02:
1. Применение СКЗИ в составе стандартного программного обеспечения компании Microsoft и других компаний, реализующих криптографический интерфейс в соответствии с архитектурой Microsoft.
Вот значит все разработчики хором и скажут что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft =) То то я все думал, как компания ЭОС свое "Дело" в госдуму пропихнуло, а вон оно как - главное правильно назвать чем занимаешься =)
|
|
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 26.07.2011(UTC) Сообщений: 13,024  Сказал «Спасибо»: 524 раз
Поблагодарили: 2144 раз в 1671 постах
|
Rams написал:
Вот значит все разработчики хором и скажут что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft =) кто-то встраивает, кто-то вызывает через MS Crypto API и не только КриптоПРО ... и? |
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
контроль корректности встраивания
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
