Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
контроль корректности встраивания
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9
|
В документе "Описание реализации" для CSP 3.6 есть пункт 7. "Использование СКЗИ в стандартном программном обеспечении" перечислено программное обеспечение Microsoft, с которым, как я понял, можно использовать СКЗИ без контроля встраивания. При использовании СКЗИ с любым другим ПО, не входящим в пункт 7, необходимо проводить встраивание. В частности и для протокола SSTP. Правильно ли? Если так, то стоит ли ожидать в перечне "стандартного программного обеспечения" появления пункта с протоколом SSTP?)
Спасибо
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 715 раз в 620 постах
|
На последний вопрос - боюсь, что нет. |
|
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 21.05.2010(UTC)
Сообщений: 1
Откуда: moscow
|
andr написал:В документе "Описание реализации" для CSP 3.6 есть пункт 7. "Использование СКЗИ в стандартном программном обеспечении" перечислено программное обеспечение Microsoft, с которым, как я понял, можно использовать СКЗИ без контроля встраивания. При использовании СКЗИ с любым другим ПО, не входящим в пункт 7, необходимо проводить встраивание. В частности и для протокола SSTP. Правильно ли? Если так, то стоит ли ожидать в перечне "стандартного программного обеспечения" появления пункта с протоколом SSTP?)
Спасибо выдержка из этого описания реализации: 8.Использование КриптоПро CSP в стандартном программном обеспечении Программное обеспечение КриптоПро CSP позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей X.509 с различным программным обеспечением Microsoft: • Центр Сертификации - Microsoft Certification Authority, входящий в состав OS Windows 2000 Server, Advanced Server. • Электронная почта - Microsoft Outlook 98, 2000, XP. • Microsoft Word, Excel, Info Path. • Электронная почта - Microsoft Outlook Express, входящая в состав Internet Explorer версии 5.0 или выше. • Средства контроля целостности ПО, распространяемого по сети - Microsoft Authenticode. • Защита TCP/IP соединений в сети Интернет - протокол TLS/SSL при взаимодействии Internet Explorer - Web сервер IIS (4.0 и выше). То есть и вправду получается, что я (госучереждение) могу использовать (для защиты персональных данных) весь перечисленный софт без проведения контроля встраивания? Но ведь ворд и эксель это не стандартное ПО, оно ставится отдельно от операционной системы. И еще выходит, что данный абзац предлагает доверять корректности встраивания даже еще не вышедшим версиям интернет эксплорера. Не логично это, объясните пожалуйста.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Юрий Маслов написал:Именно он и эксплуатационная документация на СКЗИ (в ней прописана необходимость контроля встраивания) трактуются как основание для контроля встраивания. Эксплутационная документация на СКЗИ утверждена ФСБ при сертификации продукта. Соответственно, невыполнение трактуется как нарушение правил эксплуатации СКЗИ. Помогите найти, где именно прописана необходимость контроля встраивания в документации на СКЗИ КриптоПРО CSP?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
В составе эксплуатационная документация на СКЗИ "КриптоПро CSP" есть документ, назывемый Формуляр. В нем есть раздел 1 "Общие указания". Вот там и прописано. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
В "Методических рекомендациях по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных" с использованием средств автоматизации есть такой пункт:
5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).
Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.
правильно ли я понимаю, что если создается ПО, в котором CSP используется для защиты ПД, то проверка корректности встраивания не нужна, а если в том же ПО существует возможность подписи документов, то такая проверка становится необходимостью?
Еще один вопрос, есть ли прецеденты негативных последствий по игнорированию требований по проведению проверки корректности встраивания?
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Rams написал:В "Методических рекомендациях по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных" с использованием средств автоматизации есть такой пункт:
5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).
Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.
правильно ли я понимаю, что если создается ПО, в котором CSP используется для защиты ПД, то проверка корректности встраивания не нужна, а если в том же ПО существует возможность подписи документов, то такая проверка становится необходимостью?
Еще один вопрос, есть ли прецеденты негативных последствий по игнорированию требований по проведению проверки корректности встраивания?
Нет, немного неправильно поняли. Правильно так: если создается ПО, в котором CSP используется для защиты ПД путём подписи и/или шифрования и/или имитозащиты и/или хеширования данных, то проверка корректности встраивания в ФСБ России не нужна. Если это же ПО используется так же для обсепечения юридическизначимого электронного документооборта с использованием ЭЦП, то проверка корректности встраивания в ФСБ России так же не нужна. Если это же ПО используется в органах госвласти, оборонзаказе и т.д. согласно ПКЗ-2005, то проверка корректности встраивания в ФСБ России нужна, вне зависимости от того для чего используется CSP (для защиты ПДн любыми способами или шифрования конфиденциальной информации и т.д.). Исключеним является, если ПО используется для ЭЦП к документам, не содержащим конфиденциальную информацию. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 27.01.2011(UTC) Сообщений: 95 Откуда: Санкт-Петербург
|
Цитата:Если это же ПО используется в органах госвласти, оборонзаказе и т.д. согласно ПКЗ-2005, то проверка корректности встраивания в ФСБ России нужна, вне зависимости от того для чего используется CSP (для защиты ПДн любыми способами или шифрования конфиденциальной информации и т.д.). Почему же вне зависимости? Если "методические рекомендации..." прямо говорят об отсутствии необходимости такой проверки? P.S. Юрий Геннадьевич, я направлял вам письмо, с более детальным описанием нашей ситуации. Очень хочется узнать ваш взгляд на эту проблему. Отредактировано пользователем 18 августа 2011 г. 15:33:18(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Rams написал:Почему же вне зависимости? Если "методические рекомендации..." прямо говорят об отсутствии необходимости такой проверки? Статус документа ПКЗ-2005 (приказ ФСБ России + зарегистрирован в минюсте) выше, чем статус документа "методические рекомендации..." (приказ 8 Центра ФСБ России ну и, как следствие, без регистрации в минюсте) Rams написал:P.S. Юрий Геннадьевич, я направлял вам письмо, с более детальным описанием нашей ситуации. Очень хочется узнать ваш взгляд на эту проблему. Не читал почту :-( А от какого числа почту смотреть? |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 11.12.2011(UTC)
Сообщений: 17
|
Итак, что в конце концов имеем? Контроль встраивания в ФСБ обязателен: 1. Если стороннему разработчику требуется обеспечить "встраивание криптосредств класса КС3, КВ1, КВ2 и КА1". 2. Заказчик прямо указал необходимость контроля встраивания в техническом задании на разработку (модернизацию) информационной системы В противном случае, контроль встраивания не обязателен. КриптоПро является криптосредстом класса KC1 (я имею ввиду КриптоПро CSP, именно так у меня написано: версия криптографического ядра (СКЗИ): КС1 3.6.5359), поправьте меня, если я ошибаюсь. Учитывая это п.1. отпадает сам по себе, т.к. СКЗИ физически не может обеспечить необходимый для обязательного контроля встраивания класс криптосредств. Т.е. если заказчик не указал в ТЗ необходимость контроля корректности встраивания, и мы используем КриптоПро CSP КС1, то мы можем спокойно обойтись без этого контроля? Так? Отредактировано пользователем 13 декабря 2011 г. 4:00:45(UTC)
| Причина: Не указана
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
контроль корректности встраивания
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
