Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

7 Страницы«<567
Опции
К последнему сообщению К первому непрочитанному
Offline Kalinka  
#61 Оставлено : 24 февраля 2012 г. 18:08:34(UTC)
Kalinka

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2010(UTC)
Сообщений: 21
Откуда: Архангельск

создаём ПО для своих нужд
но, к сожалению, в 99-ФЗ деление на собственные нужды и не собственные относится только к техническому обслуживанию ...
Offline Kalinka  
#62 Оставлено : 24 февраля 2012 г. 18:10:55(UTC)
Kalinka

Статус: Участник

Группы: Участники
Зарегистрирован: 15.12.2010(UTC)
Сообщений: 21
Откуда: Архангельск

Про незаконное предпринимательство - вспомнились споры о том, необходимо ли получать лицензию на деятельность по ТЗКИ, когда защита проводится для себя :)
Offline Юрий Маслов  
#63 Оставлено : 24 февраля 2012 г. 19:37:34(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Согласно части 1 статьи 2 Гражданского кодекса, (цитирую) предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке.

Таким образом, налицо противоречие в двух законах: 99-ФЗ и Гражданский кодекс.

Если Вы посмотрите обзор судебной практике, то увидите, что решения принимаются в пользу Кодекса.
Как доктор Вам говорю: не бойтесь! Никто Вас и Вашего руководителя организации не будет привлекать к ответственности за отсутвие лицензии в этом случае. Правда на Вашей стороне. Можете спросить об этом своих юристов и они подтвердят.
С уважением,
КРИПТО-ПРО
Offline johnbull  
#64 Оставлено : 6 апреля 2012 г. 22:06:48(UTC)
johnbull

Статус: Новичок

Группы: Участники
Зарегистрирован: 06.04.2012(UTC)
Сообщений: 2
Мужчина
Российская Федерация

Здравствуйте.

Наша компания выполняет разработку АС с применением Крипто ПРО CSP 3.6 R2, Заказчик - госорганизация, обработка конфиденциальной информации. СКЗИ используется для ЭЦП сообщений и пакетов с конфиденциальной информацией, генерации хэша паролей. Наша компания имеет 3 лицензии ФСБ на разработку, распространение и обслуживание СКЗИ.

Прошу прояснить некоторые моменты:

1. Наша компания имеет указанные лицензии ФСБ, означает ли это то, что проверка встраивания не нужна? (СКЗИ класса КС1 и КС2)
2. "Методика и программа контроля встраивания криптосредства разрабатываются и (или) обосновываются специализированной организацией, проводящей тематические исследования криптосредства, и согласовываются с ФСБ России" Что за организации? Где можно подробнее узнать о порядке выполнения контроля встраивания. Может ли наша компания участвовать в работах по контролю?
3. Куда обращаться в ФСБ для решения вопросов по контролю?
Offline Dim  
#65 Оставлено : 24 апреля 2013 г. 9:12:21(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Прочитал всю ветку. Так и не понял надо проводить "контроль встраивания" или нет.
И так имеем два документа: приказ №66 от 09.02.2005 (ПКЗ-2005) зарегистрированный в Минюсте и методические рекомендации №149/54-144 от 21.02.2008.
В ПКЗ-2005 нет понятия «контроля встраивания», есть понятие «контроль за соблюдением правил пользования СКЗИ». Так вот этот самый контроль строго добровольный «……вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования СКЗИ», пункт 52.
А вот в методических рекомендациях уже есть понятия "контроль встраивания". В пункте 5.1 сказано: «Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России ....». Далее в этом пункте идет текст «Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России», а вот это уже противоречит ПКЗ-2005.
Замете нет ни одного упоминания о том, что если СКЗИ встраивается в программы эксплуатируемые в госструктурах, значит обязательно проходить "контроль встраивания" или «контроль за соблюдением правил пользования СКЗИ».
А вот теперь интересные момент. В формуляре к КриптоПро CSP есть такой текст (весь приводить не буду):
«При встраивании СКЗИ ЖТЯИ.00050-03 в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований:
- для исполнений 1 (уровень защиты КС1) и 2 (уровень защиты КС2) - в следующих случаях:
1) если информация, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;»
Теперь давайте попробуем практически применить эти документы. Есть программа по сдачи отчетности в ФНС, ПФР и т.д. устанавливаемая у налогоплательщиков. В эту программу встроено СКЗИ класса КС1. Информация передаваемая в ФНС и т.д. подписывается ЭЦП и шифруется в соответствии с приказами этих структур. И вот, что получаем, в соответствии с ПКЗ-2005 и методическими рекомендациями «контроль встраивания» проводить не надо, а в соответствии с формуляром надо, но формуляр противоречит законодательству, как быть?
Offline Kirill Sobolev  
#66 Оставлено : 24 апреля 2013 г. 10:09:06(UTC)
Кирилл Соболев

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 25.12.2007(UTC)
Сообщений: 1,732
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 177 раз в 168 постах
Цитата:
информация, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации

Цитата:
Информация передаваемая в ФНС и т.д. подписывается ЭЦП и шифруется в соответствии с приказами этих структур

неравнозначные понятия
Техническую поддержку оказываем тут
Наша база знаний
Offline Dim  
#67 Оставлено : 24 апреля 2013 г. 11:28:40(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Ведь перед тем как отправить отчет я формирую ЭЦП потом шифрую, это разве не обработка?
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
7 Страницы«<567
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.