Добрый день!

Ориентироваться здесь стоит на ПКЗ-2005, в особенности на раздел II.

При использовании СКЗИ для защиты информации в случаях, описанных в пункте 3 данного положения, необходимо проводить оценку влияния (по сути - контроль встраивания) системы на СКЗИ (см. пункт 35), при этом проверяется один тезис: весь функционал криптографической защиты информации базируется на сертифицированных средствах, при этом они используются в полном соответствии с эксплуатационной документацией.

Если Ваша сторонняя библиотека использует (через модули CryptoPro Java CSP, на которые отдельный сертификат мы пока не получали) CryptoPro CSP в соответствии с перечнем вызовов, описанных в руководстве по эксплуатации (в случае КриптоПро CSP 4.0 – в "Правилах пользования"), то корректность встраивания обеспечивается, отдельных сертификатов получать больше на что-либо не нужно.

С другой стороны, строго говоря, в случае, если защищаемая информация относится к пункту 3 ПКЗ-2005, то независимо от набора используемых СКЗИ требуется отдельное заключение на всю систему в части корректности встраивания в нее СКЗИ.


Готов ответить на Ваши вопросы и дать уточнения, если потребуется.

Добрый день!

Совершенно уместный вопрос, ситуация тут несколько двоякая – уточняю.

С одной стороны, действительно, у нас запланированы работы по сертификации Java CSP как отдельного исполнения. Это позволит при встраивании в конечную систему пользоваться не только функционалом по подписи (который обращается к CSP через документированный для встраивания интерфейс), но и, например, по TLS - а это уже требует досертификации. Кроме того, при необходимости проведения контроля встраивания (оценки влияния) придется предоставлять все исходные коды ПО, обращающегося к СКЗИ, а исходников Java-машины у Вас, вероятно, не будет (да и исходники своей Java-оболочки мы не даем).

Но с другой стороны при отсутствии необходимости проходить контроль встраивания (оценку влияния) использование Java CSP для подписи/проверки приводит к использованию вызовов CSP CryptoAPI из интерфейса для встраивания (см. Правила пользования на CSP 4.0), что совершенно честно попадает под действие сертификата соответствия ФСБ России (с той оговоркой, что вызовы производятся через неизвестную Вам в исходниках нашу прослойку).

Мне всегда казалось что сертификация нужна всегда

Доброго дня!

Если говорить о том, в каких ситуациях необходимо проведение каких-либо исследований в системе сертификации ФСБ РФ при использовании СКЗИ, то информация об этом содержится в эксплуатационной документации на КриптоПро CSP. В частности, перечень случаев, когда необходимо проведение работ по оценке влияния или по тематическим исследованиям (сертификации как самостоятельного СКЗИ), приведен в пункте 1.5 Формуляра, где сказано:
«1.5 При встраивании СКЗИ в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
 если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
 при организации защиты конфиденциальной информации, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
 при организации криптографической защиты конфиденциальной информации, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд;
 если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
 при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
 при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.»
и
«В случае использования вызовов, не входящих в перечень Приложения 2 документа ЖТЯИ.00087-03 95 01. Правила пользования, необходимо производить разработку отдельного СКЗИ на базе «КриптоПро CSP» версия 4.0 R4 в соответствии с действующей нормативной базой (в частности, с Постановлением Правительства Российской Федерации от 16 апреля 2012 г. №313 и Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)).»




В случае использования КриптоПро SDK для создания/проверки ЭП сертификация разрабатываемого ПО не требуется (в силу того, что для создания/проверки ЭП используются только вызовы входящие в перечень Приложения 2 Правил пользования), однако проведение работ по оценке влияния разрабатываемого ПО на СКЗИ нужно (если ваше ПО подпадает под пункты, перечисленные выше).


По поводу данной утилиты в Правилах пользования на КриптоПро CSP указано:
«Следующие программные компоненты СКЗИ «КриптоПро CSP» версии 4.0 R4 можно использовать без проведения дополнительных тематических исследований:
 приложение командной строки для подписи и шифрования файлов cryptcp;
 приложение командной строки для работы с сертификатами certmgr;
 приложение для создания TLS-туннеля stunnel.»

При этом, в общем случае работы по оценке влияния на СКЗИ так же должны быть проведены (если ваше ПО подпадает под пункты, перечисленные выше).

---

С уважением, Багин Дмитрий
Начальник отдела анализа безопасности систем

Привет,

Я думаю, что требования к сертификации программного обеспечения, использующего криптографические библиотеки, обычно зависят от конкретной нормативной среды, в которой вы работаете. В целом граница сертификации часто лежит в точке реализации криптографических функций. В вашем случае CryptoPro CSP и, возможно, оболочка CryptoPro Java CSP должны быть сертифицированы. Ваше самодельное программное обеспечение может не нуждаться в сертификации, если оно не реализует напрямую криптографические функции, а использует сертифицированные библиотеки.

Нормативные документы, регулирующие этот вопрос, включают стандарты и рекомендации таких организаций, как NIST (в США) или ФСБ (в России). В частности, в России актуальны нормативные акты Федеральной службы безопасности (ФСБ) и Федеральной службы по техническому и экспортному контролю (ФСТЭК). Проверка в этих регулирующих органах или консультация с экспертом по соблюдению требований в вашей юрисдикции позволит определить точные требования.

Спасибо