Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы«<4567>
Опции
К последнему сообщению К первому непрочитанному
Offline Юрий Маслов  
#51 Оставлено : 24 февраля 2012 г. 16:16:15(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Kalinka написал:
Юрий, прочитала ветку, но хотела бы для себя уточнить:

Без контроля встраивания мы можем применять КриптоАРМ и cryptcp.
То есть если мы руками набиваем команды в cryptcp, то контроль встраивания не нужен, а если автоматически подаём - то контроль встраивания нужен?
Аналогично с КриптоАРМ - если пользователь мышкой осуществляет постановку/проверку/снятие ЭЦП, то контроль не нужен
Если работать с КриптоАРМ через COM-интерфейс, то нужен контроль встраивания?

Когда речь идёт о встраивании, то получается, что автоматически подтягивается лицензия ФСБ на разработку информационных систем, защищенных с использованием шифровальных (криптографических) средств.



Если Вы представляете организацию, являющуюся органом госвласти или СКЗИ используется в государственной информационной системе или класс защиты СКЗИ более чем КС2 при использовании для защиты персональных данных, то:
Да, Вы правы в утверждении "если мы руками набиваем команды в cryptcp, то контроль встраивания не нужен, а если автоматически подаём - то контроль встраивания нужен".
Да, Вы правы в утверждении "с КриптоАРМ - если пользователь мышкой осуществляет постановку/проверку/снятие ЭЦП, то контроль не нужен"
Да, Вы правы в утверждении "Если работать с КриптоАРМ через COM-интерфейс, то нужен контроль встраивания"
Да, Вы правы в утверждении "Когда речь идёт о встраивании, то получается, что автоматически подтягивается лицензия ФСБ на разработку информационных систем, защищенных с использованием шифровальных (криптографических) средств"
С уважением,
КРИПТО-ПРО
Offline Kalinka  
#52 Оставлено : 24 февраля 2012 г. 16:47:25(UTC)
Kalinka

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2010(UTC)
Сообщений: 21
Откуда: Архангельск

Контроль встраивания межу cryptcp и КриптоПро CSP - тут всё понятно.
Если мы разработаем приложение, которое будет работать с cryptcp, то получается нам нужно будет проводить контроль встраивания cryptcp в наше приложение?
Offline Юрий Маслов  
#53 Оставлено : 24 февраля 2012 г. 16:52:38(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Kalinka написал:
Контроль встраивания межу cryptcp и КриптоПро CSP - тут всё понятно.
Если мы разработаем приложение, которое будет работать с cryptcp, то получается нам нужно будет проводить контроль встраивания cryptcp в наше приложение?


Контроль встраивания межу cryptcp и КриптоПро CSP делать не нужно. Это уже проверено на этапе сертификации.

А вот необходимость контроля встраивания cryptcp в Ваше приложение, на наш взгляд, вызвана тем, что необходимо проверить а) осуществляется ли вызов вообще б) правильно ли он осуществляется, а то возможно параметры вызова сформированы неправильно в) и т.д. Но это на наш взгляд! Окончательное решение выносит ФСБ. Можете обратиться с запросом к ним.:-)
С уважением,
КРИПТО-ПРО
Offline Kalinka  
#54 Оставлено : 24 февраля 2012 г. 16:59:14(UTC)
Kalinka

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2010(UTC)
Сообщений: 21
Откуда: Архангельск

Я поняла, что cryptcp прошло контроль встраивания.
По идее, дальше без разницы, кто будет с ним работать - другое ПО или пользователь

Все эти проверки, которые Вы перечисли, это наши проблемы :)
Главное чтобы cryptcp с CSP работало нормально :)
по идее с cryptcp что сторонняя прога, что пользователь может работать с ошибками ...
Но работу ПО необходимо проверять на встраивание, а пользователя нет ... :)

Этот контроль встраивания сильно связывает руки при разработке приложений для автоматической работы с ЭП
Offline Kalinka  
#55 Оставлено : 24 февраля 2012 г. 17:01:42(UTC)
Kalinka

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2010(UTC)
Сообщений: 21
Откуда: Архангельск

Наше ПО работает с cryptcp по сути как пользователь
Offline Юрий Маслов  
#56 Оставлено : 24 февраля 2012 г. 17:06:03(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Мы Вам конечно можем сказать, что наплюйте на контроль встраивания и не связывайте себе руки. Да и про Ваше ПО всё понимаем. Но Вы всё таки ждёте от нас не этого, а отета "как правильно со всех точек зрения".
Поэтому говорим, что если Вы орган власти, если Вы государственная система, если у Вас cryptcp применяется для шифрования - то Вы должны пройти контроль встраивания. Вот теперь посмотрите, может Вы не такие? :-)
С уважением,
КРИПТО-ПРО
Offline Kalinka  
#57 Оставлено : 24 февраля 2012 г. 17:14:21(UTC)
Kalinka

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2010(UTC)
Сообщений: 21
Откуда: Архангельск

ПКЗ 2005
3. Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:
- если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;

Мы не гос орган и не ГИС, но мы защищаем ПДн
Получается с этой стороны тоже не зайти ....
Offline Юрий Маслов  
#58 Оставлено : 24 февраля 2012 г. 17:34:18(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Kalinka написал:
ПКЗ 2005
3. Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:
- если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;

Мы не гос орган и не ГИС, но мы защищаем ПДн
Получается с этой стороны тоже не зайти ....


Всё нормально!

Согласно части 4 статьи 19 Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных", состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

В соответствии со статьёй 2 Федерального закона от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности» федеральным органом исполнительной власти в области обеспечения безопасности определена ФСБ России.

Во исполнение Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных" подготовлены "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждённые руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144.

В соответствии с пунктом 5.1 указанных выше "Методических рекомендаций..." (цитирую) "Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).".

Таким образом, если у Вас есть утверждённая оператором ИСПДн модель угроз и модель нарушите, которая определяет, что Вы используете для защиты ПДн СКЗИ класса КС1 или КС2, то Вы контроль встраивания в ФСБ НЕ ПРОИЗВОДИТЕ!

Убедил? :-)



С уважением,
КРИПТО-ПРО
Offline Kalinka  
#59 Оставлено : 24 февраля 2012 г. 17:42:52(UTC)
Kalinka

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2010(UTC)
Сообщений: 21
Откуда: Архангельск

да, по МУ, включающей МН, у нас КС2

теперь меня смущает след пункт :

5.2. Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо
самим пользователем криптосредства при наличии соответствующей лицензии ФСБ
России, либо организацией, имеющей соответствующую лицензию ФСБ России.

У нас такой лицензии нет, и получать её очень не хочется
Для того, чтоб не получать ее, нужно отойти от термина "встраивание", что я пытаюсь сделать :)
Offline Юрий Маслов  
#60 Оставлено : 24 февраля 2012 г. 18:02:19(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
А это уже не имеет отношение к встраиванию как таковоу или контролю встраивания. Это относится к статье 171 "незаконное предпринимательство" Уголовного кодекса РФ. Цитирую: Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна. Ибо Вы не встраиваете, а разрабатываете защищенную с использованием шифровальных (криптографических) средств информационную систему. Такая деятельность подлежит обязательному лицензированию в соответствии с частью 1 статьи 12 Федерального закона 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности". Читайте об этой лицензии тут http://www.cryptopro.ru/...sts&m=6712&#6712

Так что если Вам не хочется получать такую лимцензию и Вашему директору не хочется, что бы его стремали по 171 статье, Вам нужно подумать... Вы сами будете эксплуатировать эту информационную систему. Т.е. сами создаёте и сами эксплуатируете? Если да, то Вам лицензия не нужна. Или Вы делаете под заказ?

С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
7 Страницы«<4567>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.