logo Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline AlexPavlenko  
#1 Оставлено : 29 марта 2016 г. 17:14:59(UTC)
AlexPavlenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.02.2013(UTC)
Сообщений: 6
Российская Федерация

Я написал самодельное ПО,
которое использует стороннюю библиотеку,
которая использует CryptoPro Java CSP,
которая является оберткой над CryptoPro CSP

Какое-то из этого ПО сертифицировано, какое-то нет.

Хотелось бы понять принцип, где в этом стеке проходит граница между тем ПО которое должно быть сертифицированным для удовлетворения требований регуляторов и тем которое можно не сертифицировать (при тех же условиях).

И какие существуют нормативные документы регулирующие данный вопрос?

Отредактировано модератором 30 марта 2016 г. 9:58:29(UTC)  | Причина: Не указана

Offline svs  
#2 Оставлено : 30 марта 2016 г. 9:45:20(UTC)
svs

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 181
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 79 раз в 60 постах
Добрый день!

Ориентироваться здесь стоит на ПКЗ-2005, в особенности на раздел II.

При использовании СКЗИ для защиты информации в случаях, описанных в пункте 3 данного положения, необходимо проводить оценку влияния (по сути - контроль встраивания) системы на СКЗИ (см. пункт 35), при этом проверяется один тезис: весь функционал криптографической защиты информации базируется на сертифицированных средствах, при этом они используются в полном соответствии с эксплуатационной документацией.

Если Ваша сторонняя библиотека использует (через модули CryptoPro Java CSP, на которые отдельный сертификат мы пока не получали) CryptoPro CSP в соответствии с перечнем вызовов, описанных в руководстве по эксплуатации (в случае КриптоПро CSP 4.0 – в "Правилах пользования"), то корректность встраивания обеспечивается, отдельных сертификатов получать больше на что-либо не нужно.

С другой стороны, строго говоря, в случае, если защищаемая информация относится к пункту 3 ПКЗ-2005, то независимо от набора используемых СКЗИ требуется отдельное заключение на всю систему в части корректности встраивания в нее СКЗИ.


Готов ответить на Ваши вопросы и дать уточнения, если потребуется.
С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline ccb  
#3 Оставлено : 14 июля 2016 г. 17:29:15(UTC)
ccb

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.07.2016(UTC)
Сообщений: 2
Российская Федерация

Автор: svs Перейти к цитате
Добрый день!

Ориентироваться здесь стоит на ПКЗ-2005, в особенности на раздел II.

При использовании СКЗИ для защиты информации в случаях, описанных в пункте 3 данного положения, необходимо проводить оценку влияния (по сути - контроль встраивания) системы на СКЗИ (см. пункт 35), при этом проверяется один тезис: весь функционал криптографической защиты информации базируется на сертифицированных средствах, при этом они используются в полном соответствии с эксплуатационной документацией.

Если Ваша сторонняя библиотека использует (через модули CryptoPro Java CSP, на которые отдельный сертификат мы пока не получали) CryptoPro CSP в соответствии с перечнем вызовов, описанных в руководстве по эксплуатации (в случае КриптоПро CSP 4.0 – в "Правилах пользования"), то корректность встраивания обеспечивается, отдельных сертификатов получать больше на что-либо не нужно.

С другой стороны, строго говоря, в случае, если защищаемая информация относится к пункту 3 ПКЗ-2005, то независимо от набора используемых СКЗИ требуется отдельное заключение на всю систему в части корректности встраивания в нее СКЗИ.


Готов ответить на Ваши вопросы и дать уточнения, если потребуется.


Добрый день, Станислав.
Рассматриваем возможность использования CryptoPro Java CSP в нашем ПО.
Т.е. стек практически аналогичен описаному выше:
- Наше разрабатываемое ПО
- CryptoPro Java CSP
- CryptoPro CSP

Хотел бы уточнить один момент в вашем ответе.
Вы пишете
Автор: svs Перейти к цитате
"корректность встраивания обеспечивается, отдельных сертификатов получать больше на что-либо не нужно".

При этом выше:
Автор: svs Перейти к цитате
"через модули CryptoPro Java CSP, на которые отдельный сертификат мы пока не получали".


Т.е. для использования CryptoPro Java CSP все-таки нужно дождаться получения вами сертификата на данный модуль?
Или же сертификат на нее не нужен? Тогда зачем вы планируете получать на нее отдельный сертификат?
И каковы ориентировочные сроки получения сертификата на CryptoPro Java CSP?

Спасибо.
Offline svs  
#4 Оставлено : 14 июля 2016 г. 17:41:02(UTC)
svs

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 181
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 79 раз в 60 постах
Добрый день!

Совершенно уместный вопрос, ситуация тут несколько двоякая – уточняю.

С одной стороны, действительно, у нас запланированы работы по сертификации Java CSP как отдельного исполнения. Это позволит при встраивании в конечную систему пользоваться не только функционалом по подписи (который обращается к CSP через документированный для встраивания интерфейс), но и, например, по TLS - а это уже требует досертификации. Кроме того, при необходимости проведения контроля встраивания (оценки влияния) придется предоставлять все исходные коды ПО, обращающегося к СКЗИ, а исходников Java-машины у Вас, вероятно, не будет (да и исходники своей Java-оболочки мы не даем).

Но с другой стороны при отсутствии необходимости проходить контроль встраивания (оценку влияния) использование Java CSP для подписи/проверки приводит к использованию вызовов CSP CryptoAPI из интерфейса для встраивания (см. Правила пользования на CSP 4.0), что совершенно честно попадает под действие сертификата соответствия ФСБ России (с той оговоркой, что вызовы производятся через неизвестную Вам в исходниках нашу прослойку).
С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline ccb  
#5 Оставлено : 18 июля 2016 г. 13:25:06(UTC)
ccb

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.07.2016(UTC)
Сообщений: 2
Российская Федерация

Добрый день, Станислав!
Понятно, спасибо за ответ.
Offline hot  
#6 Оставлено : 26 января 2018 г. 18:00:07(UTC)
hot

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2018(UTC)
Сообщений: 2
Мужчина

Мне всегда казалось что сертификация нужна всегда
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.