Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы<12345>»
Опции
К последнему сообщению К первому непрочитанному
Offline Юрий Маслов  
#21 Оставлено : 13 декабря 2011 г. 12:18:31(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
BrainStorm написал:
Итак, что в конце концов имеем?

Контроль встраивания в ФСБ обязателен:
1. Если стороннему разработчику требуется обеспечить "встраивание криптосредств класса КС3, КВ1, КВ2 и КА1".
2. Заказчик прямо указал необходимость контроля встраивания в техническом задании на разработку (модернизацию) информационной системы

В противном случае, контроль встраивания не обязателен.

КриптоПро является криптосредстом класса KC1 (я имею ввиду КриптоПро CSP, именно так у меня написано: версия криптографического ядра (СКЗИ): КС1 3.6.5359), поправьте меня, если я ошибаюсь. Учитывая это п.1. отпадает сам по себе, т.к. СКЗИ физически не может обеспечить необходимый для обязательного контроля встраивания класс криптосредств.

Т.е. если заказчик не указал в ТЗ необходимость контроля корректности встраивания, и мы используем КриптоПро CSP КС1, то мы можем спокойно обойтись без этого контроля? Так?


Складывается впечатление, что Вы вообще не читали посты в этом топике :-(
Контроль встраивания криптосредств с информационную систему в ФСБ обязателен:
1. Если криптосредства класса КС3, КВ1, КВ2 и КА1 применяются в информационной системе для защиты персональных данных
2. Если криптосредства в информационной системе используются для защиты информации конфиденциального характера, подлежащей защите в соответствии с законодательством Российской Федерации;
3. Если криптосредства используются для организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
4. Если криптосредства используются для организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд;
5. Заказчик прямо указал необходимость контроля встраивания в техническом задании на разработку (модернизацию) информационной системы.

В остальных случаях - рекомендуется контроль встраивания с целью оценки обоснованности и достаточности мер, принятых для защиты информации конфиденциального характера.

Поэтому если Вы используете КриптоПро CSP КС1, то это ещё не значит, что "мы можем спокойно обойтись без этого контроля". Посмотрите, может Вы ещё попадаете в оставшиеся 4 пункта...
С уважением,
КРИПТО-ПРО
Offline Rams  
#22 Оставлено : 13 декабря 2011 г. 12:30:13(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

BrainStorm написал:
Итак, что в конце концов имеем?

Контроль встраивания в ФСБ обязателен:
1. Если стороннему разработчику требуется обеспечить "встраивание криптосредств класса КС3, КВ1, КВ2 и КА1".
2. Заказчик прямо указал необходимость контроля встраивания в техническом задании на разработку (модернизацию) информационной системы

В противном случае, контроль встраивания не обязателен.

КриптоПро является криптосредстом класса KC1 (я имею ввиду КриптоПро CSP, именно так у меня написано: версия криптографического ядра (СКЗИ): КС1 3.6.5359), поправьте меня, если я ошибаюсь. Учитывая это п.1. отпадает сам по себе, т.к. СКЗИ физически не может обеспечить необходимый для обязательного контроля встраивания класс криптосредств.

Т.е. если заказчик не указал в ТЗ необходимость контроля корректности встраивания, и мы используем КриптоПро CSP КС1, то мы можем спокойно обойтись без этого контроля? Так?

3. Либо Заказчик - госорган
Offline BrainStorm  
#23 Оставлено : 13 декабря 2011 г. 15:44:26(UTC)
BrainStorm

Статус: Участник

Группы: Участники
Зарегистрирован: 11.12.2011(UTC)
Сообщений: 17

Юрий, благодарю за терпение и развёрнутый ответ.

Написал Вам личное сообщение с детальным описанием нашей ситуации. Помогите разобраться.
Offline Юрий Маслов  
#24 Оставлено : 13 декабря 2011 г. 16:04:05(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Ответил в личку!
С уважением,
КРИПТО-ПРО
Offline Rams  
#25 Оставлено : 8 февраля 2012 г. 18:22:14(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

Хочу поднять тему.

До этого выше писали, что для использования CSP в стандартном ПО (пункт 8 "Описания применения"), проведения контроля корректности встраивания не требуется.

А откуда это следует? В пункте 8 написано следующее:
"Программное обеспечение КриптоПро CSP позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей X.509 с различным программным обеспечением Microsoft:"

Ну позволяет и позволяет, а где доказательства того, что не требуется проведение контроля корректности встраивания? Здесь такое не написано.

Я с какой целью интересуюсь. Допустим нужно защитить документооборот между двумя госорганами. Понятно персданные, ФЗ диктует необходимость их защищать, модель угроз говорит о том, что Н3-Н6 отдыхают, максимум Н1,Н2, нам достаточно СКЗИ КС2 и в качестве таковых мы используем:
1) vpn на континентах
2) vpn на випнетах
3) ipsec от криптопро

Третий вариант как бы гораздо дешевле. Но насколько это легетимно?
Offline Юрий Маслов  
#26 Оставлено : 8 февраля 2012 г. 18:43:20(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Rams написал:
Хочу поднять тему.

До этого выше писали, что для использования CSP в стандартном ПО (пункт 8 "Описания применения"), проведения контроля корректности встраивания не требуется.

А откуда это следует? В пункте 8 написано следующее:
"Программное обеспечение КриптоПро CSP позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей X.509 с различным программным обеспечением Microsoft:"

Ну позволяет и позволяет, а где доказательства того, что не требуется проведение контроля корректности встраивания? Здесь такое не написано.

Я с какой целью интересуюсь. Допустим нужно защитить документооборот между двумя госорганами. Понятно персданные, ФЗ диктует необходимость их защищать, модель угроз говорит о том, что Н3-Н6 отдыхают, максимум Н1,Н2, нам достаточно СКЗИ КС2 и в качестве таковых мы используем:
1) vpn на континентах
2) vpn на випнетах
3) ipsec от криптопро

Третий вариант как бы гораздо дешевле. Но насколько это легетимно?


Берём документ "ЖТЯИ.00050-02 90 01 Описание реализации".
Раздел 7 Применение СКЗИ ЖТЯИ.00050-02 гласит:
Возможны следующие применения СКЗИ ЖТЯИ.00050-02:
1. Применение СКЗИ в составе стандартного программного обеспечения компании Microsoft и других компаний, реализующих криптографический интерфейс в соответствии с архитектурой Microsoft.
2. Встраивание СКЗИ во вновь разрабатываемое или существующее прикладное программное обеспечение.

Соответственно появляется раздел 8 Применение и раздел 9 Встраивание. Прочитали?

В документе "ЖТЯИ.00050-02 30 01 Формуляр" в разделе 1.5 написано "1.5. При встраивании СКЗИ ЖТЯИ.00050-02 в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований в следующих случаях:"

Как видите "При встраивании". Надеюсь показал и убедил? И Вы поняли отличие "применения" от "встраивания"?

Что касается Вашего второго вопроса про "3) ipsec от криптопро"
Нами разработан и подан на сертификацию продукт СКЗИ "КриптоПро IPSec". Судя по всему, Вы именно про него говорили. Т.к. это продукт типа VPN то на него заключение о встраивании получить НЕВОЗМОЖНО. Только сертифицировать как СКЗИ.
Ждём со дня на день заключение ФСБ России... После появления положительного заключения (получение сертификата это формальная бюрократическая процедура при наличии заключения) применение в госорганах и для защиты персональных данных при классах защиты от КС3 и выше будет лигитимно.
Применение "КриптоПро IPSec" класса КС1 и КС2 для защиты персональных данных и сейчас лигитимно. Это в соответствии с пунктом 5.1 "Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждённых руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144.

С уважением,
КРИПТО-ПРО
Offline Rams  
#27 Оставлено : 8 февраля 2012 г. 19:09:40(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

Юрий Маслов написал:

Берём документ "ЖТЯИ.00050-02 90 01 Описание реализации".
Раздел 7 Применение СКЗИ ЖТЯИ.00050-02 гласит:
Возможны следующие применения СКЗИ ЖТЯИ.00050-02:
1. Применение СКЗИ в составе стандартного программного обеспечения компании Microsoft и других компаний, реализующих криптографический интерфейс в соответствии с архитектурой Microsoft.
2. Встраивание СКЗИ во вновь разрабатываемое или существующее прикладное программное обеспечение.

Соответственно появляется раздел 8 Применение и раздел 9 Встраивание. Прочитали?

В документе "ЖТЯИ.00050-02 30 01 Формуляр" в разделе 1.5 написано "1.5. При встраивании СКЗИ ЖТЯИ.00050-02 в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований в следующих случаях:"

Как видите "При встраивании". Надеюсь показал и убедил? И Вы поняли отличие "применения" от "встраивания"?

Ну то есть я так понял. Если разработчик говорит, что он встраивает CSP в свой продукт - контроль корректности встраивания нужен, а если говорит, что реализует криптографический интерфейс в соответствии с архитектурой Microsoft - то не нужен?

Цитата:

Что касается Вашего второго вопроса про "3) ipsec от криптопро"
Нами разработан и подан на сертификацию продукт СКЗИ "КриптоПро IPSec". Судя по всему, Вы именно про него говорили. Т.к. это продукт типа VPN то на него заключение о встраивании получить НЕВОЗМОЖНО. Только сертифицировать как СКЗИ.
Ждём со дня на день заключение ФСБ России... После появления положительного заключения (получение сертификата это формальная бюрократическая процедура при наличии заключения) применение в госорганах и для защиты персональных данных при классах защиты от КС3 и выше будет лигитимно.
Применение "КриптоПро IPSec" класса КС1 и КС2 для защиты персональных данных и сейчас лигитимно. Это в соответствии с пунктом 5.1 "Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждённых руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144.

Что ж, будем ждать и смотреть прецеденты. Решение на ipsec должно получиться дешевле и логичнее.
Offline Юрий Маслов  
#28 Оставлено : 8 февраля 2012 г. 19:41:22(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
1. Если разработчик говорит, что он встраивает CSP в свой продукт - контроль корректности встраивания нужен, а если говорит, что использует CSP посредством применения стандартных приложений, перечисленных в разделе 8 документа "ЖТЯИ.00050-02 90 01 Описание реализации" - то не нужен.

2. Преценденты применения уже есть. Но в госорганах нет т.к. нужно заключение ФСБ. Решение на ipsec должно получиться дешевле т.к. сам продукт "КриптоПро IPSec" бесплатен. Это фактически дополнительный функционал к СКЗИ "КриптоПро CSP" версии 3.6.
С уважением,
КРИПТО-ПРО
Offline Rams  
#29 Оставлено : 8 февраля 2012 г. 19:46:21(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

Юрий Маслов написал:
... а если говорит, что использует CSP посредством применения стандартных приложений, перечисленных в разделе 8 документа "ЖТЯИ.00050-02 90 01 Описание реализации" - то не нужен.

Погодите, а при чем тут стандартные приложения, вы же цитировали
Юрий Маслов написал:

Возможны следующие применения СКЗИ ЖТЯИ.00050-02:
1. Применение СКЗИ в составе стандартного программного обеспечения компании Microsoft и других компаний, реализующих криптографический интерфейс в соответствии с архитектурой Microsoft.

Вот значит все разработчики хором и скажут что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft =)

То то я все думал, как компания ЭОС свое "Дело" в госдуму пропихнуло, а вон оно как - главное правильно назвать чем занимаешься =)
Offline Андрей Писарев  
#30 Оставлено : 8 февраля 2012 г. 19:57:29(UTC)
Андрей *

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 26.07.2011(UTC)
Сообщений: 13,324
Мужчина
Российская Федерация

Сказал «Спасибо»: 549 раз
Поблагодарили: 2208 раз в 1723 постах
Rams написал:

Вот значит все разработчики хором и скажут что они реализуют криптографический интерфейс в соответствии с архитектурой Microsoft =)


кто-то встраивает, кто-то вызывает через MS Crypto API и не только КриптоПРО ... и?

Техническую поддержку оказываем тут
Наша база знаний
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
7 Страницы<12345>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.