Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
контроль корректности встраивания
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Kalinka написал:Юрий, прочитала ветку, но хотела бы для себя уточнить:
Без контроля встраивания мы можем применять КриптоАРМ и cryptcp. То есть если мы руками набиваем команды в cryptcp, то контроль встраивания не нужен, а если автоматически подаём - то контроль встраивания нужен? Аналогично с КриптоАРМ - если пользователь мышкой осуществляет постановку/проверку/снятие ЭЦП, то контроль не нужен Если работать с КриптоАРМ через COM-интерфейс, то нужен контроль встраивания?
Когда речь идёт о встраивании, то получается, что автоматически подтягивается лицензия ФСБ на разработку информационных систем, защищенных с использованием шифровальных (криптографических) средств.
Если Вы представляете организацию, являющуюся органом госвласти или СКЗИ используется в государственной информационной системе или класс защиты СКЗИ более чем КС2 при использовании для защиты персональных данных, то: Да, Вы правы в утверждении "если мы руками набиваем команды в cryptcp, то контроль встраивания не нужен, а если автоматически подаём - то контроль встраивания нужен". Да, Вы правы в утверждении "с КриптоАРМ - если пользователь мышкой осуществляет постановку/проверку/снятие ЭЦП, то контроль не нужен" Да, Вы правы в утверждении "Если работать с КриптоАРМ через COM-интерфейс, то нужен контроль встраивания" Да, Вы правы в утверждении "Когда речь идёт о встраивании, то получается, что автоматически подтягивается лицензия ФСБ на разработку информационных систем, защищенных с использованием шифровальных (криптографических) средств" |
С уважением, КРИПТО-ПРО |
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.12.2010(UTC) Сообщений: 21 Откуда: Архангельск
|
Контроль встраивания межу cryptcp и КриптоПро CSP - тут всё понятно. Если мы разработаем приложение, которое будет работать с cryptcp, то получается нам нужно будет проводить контроль встраивания cryptcp в наше приложение?
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Kalinka написал:Контроль встраивания межу cryptcp и КриптоПро CSP - тут всё понятно. Если мы разработаем приложение, которое будет работать с cryptcp, то получается нам нужно будет проводить контроль встраивания cryptcp в наше приложение? Контроль встраивания межу cryptcp и КриптоПро CSP делать не нужно. Это уже проверено на этапе сертификации. А вот необходимость контроля встраивания cryptcp в Ваше приложение, на наш взгляд, вызвана тем, что необходимо проверить а) осуществляется ли вызов вообще б) правильно ли он осуществляется, а то возможно параметры вызова сформированы неправильно в) и т.д. Но это на наш взгляд! Окончательное решение выносит ФСБ. Можете обратиться с запросом к ним.:-) |
С уважением, КРИПТО-ПРО |
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.12.2010(UTC) Сообщений: 21 Откуда: Архангельск
|
Я поняла, что cryptcp прошло контроль встраивания. По идее, дальше без разницы, кто будет с ним работать - другое ПО или пользователь
Все эти проверки, которые Вы перечисли, это наши проблемы :) Главное чтобы cryptcp с CSP работало нормально :) по идее с cryptcp что сторонняя прога, что пользователь может работать с ошибками ... Но работу ПО необходимо проверять на встраивание, а пользователя нет ... :)
Этот контроль встраивания сильно связывает руки при разработке приложений для автоматической работы с ЭП
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.12.2010(UTC) Сообщений: 21 Откуда: Архангельск
|
Наше ПО работает с cryptcp по сути как пользователь
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Мы Вам конечно можем сказать, что наплюйте на контроль встраивания и не связывайте себе руки. Да и про Ваше ПО всё понимаем. Но Вы всё таки ждёте от нас не этого, а отета "как правильно со всех точек зрения". Поэтому говорим, что если Вы орган власти, если Вы государственная система, если у Вас cryptcp применяется для шифрования - то Вы должны пройти контроль встраивания. Вот теперь посмотрите, может Вы не такие? :-) |
С уважением, КРИПТО-ПРО |
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.12.2010(UTC) Сообщений: 21 Откуда: Архангельск
|
ПКЗ 2005 3. Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях: - если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
Мы не гос орган и не ГИС, но мы защищаем ПДн Получается с этой стороны тоже не зайти ....
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Kalinka написал:ПКЗ 2005 3. Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях: - если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
Мы не гос орган и не ГИС, но мы защищаем ПДн Получается с этой стороны тоже не зайти ....
Всё нормально! Согласно части 4 статьи 19 Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных", состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. В соответствии со статьёй 2 Федерального закона от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности» федеральным органом исполнительной власти в области обеспечения безопасности определена ФСБ России. Во исполнение Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных" подготовлены "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждённые руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144. В соответствии с пунктом 5.1 указанных выше "Методических рекомендаций..." (цитирую) "Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).". Таким образом, если у Вас есть утверждённая оператором ИСПДн модель угроз и модель нарушите, которая определяет, что Вы используете для защиты ПДн СКЗИ класса КС1 или КС2, то Вы контроль встраивания в ФСБ НЕ ПРОИЗВОДИТЕ! Убедил? :-) |
С уважением, КРИПТО-ПРО |
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 15.12.2010(UTC) Сообщений: 21 Откуда: Архангельск
|
да, по МУ, включающей МН, у нас КС2
теперь меня смущает след пункт :
5.2. Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России.
У нас такой лицензии нет, и получать её очень не хочется Для того, чтоб не получать ее, нужно отойти от термина "встраивание", что я пытаюсь сделать :)
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
А это уже не имеет отношение к встраиванию как таковоу или контролю встраивания. Это относится к статье 171 "незаконное предпринимательство" Уголовного кодекса РФ. Цитирую: Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна. Ибо Вы не встраиваете, а разрабатываете защищенную с использованием шифровальных (криптографических) средств информационную систему. Такая деятельность подлежит обязательному лицензированию в соответствии с частью 1 статьи 12 Федерального закона 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности". Читайте об этой лицензии тут http://www.cryptopro.ru/...sts&m=6712ᨸ Так что если Вам не хочется получать такую лимцензию и Вашему директору не хочется, что бы его стремали по 171 статье, Вам нужно подумать... Вы сами будете эксплуатировать эту информационную систему. Т.е. сами создаёте и сами эксплуатируете? Если да, то Вам лицензия не нужна. Или Вы делаете под заказ? |
С уважением, КРИПТО-ПРО |
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
контроль корректности встраивания
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close