Встраивание - это когда Вы в СВОЕЙ программе вызываете функции СКЗИ "КриптоПро CSP". Не важно через какой интерфейс или напрямую.

Я не слышал о существовании сертификата соответствия ФСБ России на CSP Lissi или Signal-Com. Так что прошу не вводить в заблуждение участников форума. Прецендент вот тут http://www.cryptopro.ru/...lezhashchei-reklame-prod И мы будем привлекать к ответственности любые организации, которые рекламируют эти продукты как сертифицированные. Только по ФЗ о конкуренции. Там 10% от годового оборота в виде штрафа берётся :-)

Под КАЖДЫЙ СКЗИ нужно проводить контроль встраивания. Если только СКЗИ не является готовым и законченным решением. Например, "КриптоАРМ" сертифицировали как СКЗИ http://www.cryptopro.ru/...rtifitsirovan-fsb-rossii И при его использовании не нужно проводить контроль встраивания "КриптоПро CSP" в него. Но только до тех пор пока не будете "КриптоАРМ" встраивать в другой софт!

чтобы создать некую определенность в вопросах встраивания и использования,
я хотел бы получить четкое определение встраивания? цель - до сих пор идет полемика по вопросу,
а нужно знать, четкое определение встраивания и использования криптосредств и где четко написано и определено,
что есть встраивание или что есть использование, поэтому возникли всвязи с этим вопросы:
1. использование интерфейсов криптопровайдера напрямую - встраивание?
2. использование архитектуры МС для использования криптопровайдера - использование? если нет:
- где посмотреть документ-сертификат? на встраивание крпропровайдера в продукты МС? иначе как объяснить
нестабильную работу в продуктах от МС - о чем говорят некоторые ветки форума.
3. где опубликована методика встраивания, при следовании которой, можно было подавать документы регулятору
на контроль встраивания?
4. где почитать все это? иначе получаем как правила дорожного движения - если четко не запрещено - значит разрешено. или тут другое правило?
если не разрешено явно - значит запрещено? и возникает противоречие соблюдение законодательства двусмысленность и повод для коррупции.

буду благодарен за четкие ответы по вопросам... если четкого ответа нет (ПКЗ-2005 нечетко, формуляры - нечетко).. лучше так и ответить..
А то как гаишники.. - каждый трактует правила в свою пользу.
Давайте сначала определимся по понятиям!

спасибо.

Использование интерфейсов криптопровайдера напрямую - это особо извращённая форма мазохизма :-) Но иногда без этого не обойтись. Когда нужны специфические приложения с параметрами, отличными от параметров, получаемых через стандартные интерфйсы (канальные шифраторы, например). У интерфейса криптопровайдера всего порядка 25 функций. И они очень низкоуровневые. Криптопровайдер "не знает" что такое сертификат открытого ключа, что такое криптографическое сообщение и т.д. Поэтому корректно говорить об использовании интерфейсов MS CryptoAPI или COM-объектов.
Если почитаем раздел 9 документа "ЖТЯИ.00050-02 90 01 Описание реализации" то увидим их перечисление. И использование этих интерфейсов из СВОЕЙ программы - это процедура встраивания.
Можно дать такое определение встраивания: Разработка или модификация программы для ЭВМ, использующей функции криптографических преобразований, реализуемых средством криптографической защиты информации.
Определение средства криптографической защиты информации дано в нормативно-правовых документах типа ПКЗ-2005.


А вот этот Ваш вопрос совершенно непонятен.
Что Вы понимаете под "архитектура МС"? Домен, портал, веб-сервер, терминальный сервер, база данных? Что это?!
Что Вы понимаете под "документ-сертификат" Сертификат открытого ключа? Сертификат соответствия, выданный РОСТЕСТ? Сертификат дилера, выданный ООО "КРИПТО-ПРО"?
Как Вы связываете состояние, определяемое как "нестабильную работу в продуктах от МС" и процедуру "встраивание криптопровайдера"?


Что Вы понимаете под "методикой встраивания"? Описание как разрабатывать программы на C++ или описание какие функции MS CryptoAPI нужно вызвать и с какими параметрами, что бы получить, например, зашифрованный участок оперативной памяти, или какие разделы с каким задержанием, описывающие действия пользователя по защите ключевого документа, нужно вставить в руководство пользователя своей программы? Извините, коллега, методика - это Ваше горе! А вот как подавать документы регулятору на контроль встраивания - описано в нормативных документа.
Только перед тем как встраивать, получите сначала разрешение (лицензию) на осуществление этого вида деятельности. Читайте ст. 12 Федерального закона «О лицензировании отдельных видов деятельности», согласно которой деятельность по разработке, производству защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, подлежит обязательному лицензированию. Для получения этой лицензии Вы должны будете выполнить лицензионные требования. В том числе иметь обученный персонал. Который и разработает методику встраивания.
А вот потом встраивайте! А потом уже подавайте документы регулятору на контроль встраивания! Согласно ст. 52 «Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», утверждённым Приказом ФСБ России от 9 февраля 2005 г. N 66 (зарегистрирован в Минюсте РФ 3 марта 2005 г. N 6382) и формуляра на СКЗИ.

Как пройти контроль встраивания? Обращаетесь в аккредитованную испытательную лабораторию. Заключаете с ней договор и дальше действуете строго по договору в соответствии с нормами Гражданского кодекса РФ. Перечень лабораторий опубликован тут http://clsz.fsb.ru/accred.htm Никто ничего не скрывает!!!


Коллега! Прежде чем искать поводы для коррупции и двусмысленности там, где их нет, попробуйте сначала поискать информацию и почитать её...
Если хотите, найти книжку или статью или ещё какой-то документ, где будет всё в одном издании собрано по интересующему Вас вопросу - то такого издания нет. Если хотите помочь другим, то изучите этот вопрос и напишите и опубликуйте! Если Вы этого не сделали, то зачем обвинять других, что они не подготовили пошаговую инструкцию для Вас? Это некорректно, коллега!


В некой социальной группе тоже есть свои понятия. Они называются рамсы. Что бы рамсы не путали, есть старшие, авторитетные люди, которые их правильно растолковывают.
В другой, но близкой, социальной группе, есть кодекс, который определяет за какую вину какое наказание должно быть. Называется уголовным кодексом. И его тоже надо растолковывать. И это тоже делают авторитетные люди. Правда уже немного другие. Толкования называются "Комментарии к Уголовному кодексу" и их размер сопоставим с полным собранием сочинений В.И. Ленина.
А есть ещё одна социальная группа, которая руководствуется при совершении определённых действий неким сводом правил. Называется этот свод "Правила дорожного движения". И вот, что бы рамсы не путали некоторые гаишники, есть старшие, авторитетные люди, которые их правильно растолковывают. Эти люди называются Верховный суд, который периодически проводит обобщения судебной практики и даёт разъяснения, как применять те или иные правила ПДД.

Как видите, жизнь устроена так, что всегда будет место толкованию. В том числе и по вопросам встраивания и контроля встраивания СКЗИ :-(

Отредактировано пользователем 9 февраля 2012 г. 12:14:56(UTC)  | Причина: Не указана

будем разбираться по порядку:

1. прошу дать нормативное определение встраивания средств криптозащиты в ЛЮБОЕ ПО, т.е. именно ... встраиванием называется и т.д.... Выдажение ... "Можно дать... и можно взять - не нормативнЫЕ!

2. Далее. Цитата ПКЗ-2005:
Шифровальные (криптографические) средства защиты информации конфиденциального характера в настоящем Положении именуются средствами криптографической защиты информации (далее - СКЗИ). К СКЗИ относятся(***):
• средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;
ВОПРОС:
Прошу указать на средства шифрования – реализующие алгоритмы криптографического преобразования информации ! Конкретно! Модули какого ПО в линейке: КРИПТОпровайдер – МСАПИ – Любое ПО реализует алгоритмы криптозащиты?



1. Задайте вопрос этот автору поста:

2. под "документом-сертификатом" я имею ввиду документ проверки корректности ВСТРАИВАНИЯ средства криптозащиты в
Программное обеспечение КриптоПро CSP позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей X.509 с различным программным обеспечением Microsoft:
....
или вопрос: для различного программного обеспечения Microsoft кортроль встраивания делать не нужно?
3. связываю с исполнением функционала создания и проверки электронной подписи, и что этот функционал работает с органичениями не со всеми версиями работает корректно, о чем говорят некоторые ветки форума. я так и говорил.


1. под методикой встраивания я понимаю правила использования внешнего интерфейса криптопровайдера, для определения корректности или некорректности.
иначе с чего вдруг вообще встает вопрос о коректности встраивания?
2. повторяю - нет четкого определения понятия встраивания. если это написано в формуляре - это еще не является нормативной юридической базой. для изделий КриптоПРО вы можете использовать ссылки на свои формуляры, но если используются длугие средства криптозащиты, на ваши формуляры ссылаться не корректно. я не прав?


0. коррупционная составляющая любого документа имеет место везде, где требуется возможность дать и получить по этому документу разъяснения!
1. информацию ищу давно... почему вопросы и возникли. 2. Поэтому прошу четко и агрументированно ответить с привдением нормативнях актов и цитат из них - что есть встраивание.
3. по момему не совсем корректно отсылать к книжкам, если конкретных ответов на конкретно поставленные воросы нет.
поставлю вопросы иначе:
1. в каком нормативном акте есть термин встраивание и дано определение этому термину в рамках использования криптосредств.
2. в каком нормативном акте(ах) определены правила корректного встраивания средств криптозащиты для четкого и правильного следования им - где определено - корректно, некорректно!
3. проверка корректности встраивания производится на основании технической докуметации к продукту, а не ТЗ?
4. если ответ на 3 вопрос - да, то не проще ли сразу сказать - то что напишете - то и будут проверять!


К чему флуд, если нужно четко ответить - где документ разъясняющий термин "встраивание", как собития или как действия и соответственно требований к корректности этого "встраивания".

очень прошу конкретых ответов, да/нет, ссылка, цитата.

спасибо.