logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

4 Страницы123>»
Опции
К последнему сообщению К первому непрочитанному
Offline andr  
#1 Оставлено : 6 июля 2009 г. 19:15:40(UTC)
andr

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9

Корректно ли использование КриптоПро CSP 3.6 применительно к протоколу SSTP (Windows Server 2008), работающего по протоколу TLS, с точки зрения российских регулирующих органов (ФСБ, ФСТЭК)? Мне подсказали, что при некоторых условиях может потребоваться контроль корректности встраивания.
Как это сделать? Хотелось бы получить какую-нибудь информацию на эту тему.
Спасибо
Offline Юрий Маслов  
#2 Оставлено : 6 июля 2009 г. 19:34:35(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 30 раз в 22 постах
Использование - корректно. Но, в соответствии с ПКЗ-2005, если СКЗИ используется в гос органах или для защиты персональных данных, то требуется осуществлять контроль встраивания. Контроль встраивания осуществляет ФСБ России. Порядок определен в ПКЗ-2005.
С уважением,
КРИПТО-ПРО
Offline andr  
#3 Оставлено : 21 июля 2009 г. 14:50:30(UTC)
andr

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9

Правильно ли я понял, что, исходя из пункта 5.1 "Методических материалов ФСБ от 21 февраля 2008 г.", возможно проводить встраивание СКЗИ КриптоПро 3.6 (КС1, КС2) без контроля со стороны ФСБ?
Offline andr  
#4 Оставлено : 21 июля 2009 г. 17:48:11(UTC)
andr

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9

И еще, поясните пожалуйста. Скажем, обычная установка дистрибутива КриптоПро CSP в ОС Windows (или другую ОС) добавляет к списку установленных в этой ОС криптопровайдеров КриптоПро CSP. Так как устанавливаемый дистрибутив сделан специально под конкретную ОС, то не требуется дополнительный контроль установки. Т.е автоматически есть доверие к добавленному криптопровайдеру КриптоПро. Правильно ли? Контроль встраивания может быть необходим при работе CSP с конретным приложением (ПО). Нужен ли контроль встраивания для приложений Windows, таких как IIS, SSTP? Будет ли такое же автоматическое доверие к работе, скажем, протокола SSTP (встроенная служба Windows) с добавленной криптобиблиотекой КриптоПро? Можно ли говорить о том, что для работы приложений Windows с криптопровайдером КриптоПро не требуется дополнительный контроль встраивания?
Offline Sergey M. Murugov  
#5 Оставлено : 21 июля 2009 г. 18:19:50(UTC)
Sergey M. Murugov

Статус: Активный участник

Группы: Участники
Зарегистрирован: 18.06.2008(UTC)
Сообщений: 230
Откуда: Москва

Сказал(а) «Спасибо»: 2 раз
Поблагодарили: 40 раз в 28 постах
Добрый день, возможно будет интересно.
Недавно был в конторе и в неформальной общении тоже касался вопроса встраивания. Так вот как я понял, контору более интересует Модель угроз которая нарисована к проектированной системе, класс её защищенности и как следствие класс выбранного СКЗИ. Оценить это можно через "контроль встраивания ..." хотя технически слова совершенно неправильные, поскольку для стандартного АПИ что контролировать при встраивании не очень понятно, либо АПИ есть либо его нет, другое дело на сколько оно соответствует стандарту и в каком объеме.
Offline Юрий Маслов  
#6 Оставлено : 21 июля 2009 г. 18:29:54(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 30 раз в 22 постах
Sergey M. Murugov написал:
Добрый день, возможно будет интересно.
Недавно был в конторе и в неформальной общении тоже касался вопроса встраивания. Так вот как я понял, контору более интересует Модель угроз которая нарисована к проектированной системе, класс её защищенности и как следствие класс выбранного СКЗИ. Оценить это можно через "контроль встраивания ..." хотя технически слова совершенно неправильные, поскольку для стандартного АПИ что контролировать при встраивании не очень понятно, либо АПИ есть либо его нет, другое дело на сколько оно соответствует стандарту и в каком объеме.


ТЗ на встраивание не согласуют со стороны ФСБ, если в ТЗ или в ином утвержденном документе нет Модели. Так было всегда. И 7 лет назад :-) Это я насчет "открытия" :-)
Модель - это необходимое, но недостаточное условие. На соответствие этой Модели и смотрится (контролируется) потом применение СКЗИ.
Насчет АПИ... Не это контролируют т.к. нет стандартов на АПИ (утвержденных в РФ в соответствующем порядке). Даже самое хорошее АПИ можно вызвать неправильно или вообще не вызвать :-) Вот это и контролируется в части встраивания!
С уважением,
КРИПТО-ПРО
Offline andr  
#7 Оставлено : 21 июля 2009 г. 20:14:27(UTC)
andr

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9

Т.е. при встраивании криптосредств класса КС1 и КС2 при отсутствии в ТЗ Модели угроз контроль не требуется?
Offline Юрий Маслов  
#8 Оставлено : 22 июля 2009 г. 12:30:10(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 30 раз в 22 постах
andr написал:
Т.е. при встраивании криптосредств класса КС1 и КС2 при отсутствии в ТЗ Модели угроз контроль не требуется?

Вы неправильно поняли.
Если контроль встраивания требеутся, то при отсутствии в ТЗ Модели угроз и нарушителя (или Модели в виде отдельного утвержденного документа) ТЗ со стороны ФСБ вообще не согласуют!
Когда контроль встраивания обязателен - об этом читайте ПКЗ-2005.
С уважением,
КРИПТО-ПРО
Offline andr  
#9 Оставлено : 22 июля 2009 г. 17:54:01(UTC)
andr

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9

Смотрю ПКЗ-2005. Меня вроде как не интересует ни разработка, ни производство, ни реализация.) Смотрю "V. Порядок эксплуатации СКЗИ". В пункте 46. написано "СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России ". Где посмотреть правила пользования СКЗИ КриптоПро? Не нашел. Можно ли взять за правила использования, например КриптоПро CSP, информацию с сайта: Продукты > КриптоПро CSP > Использование?

Далее пункт 47. "СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям..". Что под этим подразумевается?

Учет пока пропускаю.
Спасибо.
Offline Юрий Маслов  
#10 Оставлено : 23 июля 2009 г. 13:13:52(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 30 раз в 22 постах
andr написал:
Смотрю ПКЗ-2005. Меня вроде как не интересует ни разработка, ни производство, ни реализация.) Смотрю "V. Порядок эксплуатации СКЗИ". В пункте 46. написано "СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с ФСБ России ". Где посмотреть правила пользования СКЗИ КриптоПро? Не нашел. Можно ли взять за правила использования, например КриптоПро CSP, информацию с сайта: Продукты > КриптоПро CSP > Использование?

Далее пункт 47. "СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям..". Что под этим подразумевается?

Учет пока пропускаю.
Спасибо.


Правила использования "КриптоПро CSP" определены в эксплуатационной документации, входящей в состав дистрибутива. Документация доступна на странице скачивания дистрибутива. Информация на странице информацию сайта: "Продукты > КриптоПро CSP > Использование" не является правилами использования.
Что подразумевается в отдельных пунктах ПКЗ-2055 и иные толкования лучше получать у первоисточника, разработчика этого документа. Обратитесь в ФСБ :-)
Но в пункт 47 Вы ткнули правильно. Именно он и эксплуатационная документация на СКЗИ (в ней прописана необходимость контроля встраивания) трактуются как основание для контроля встраивания. Эксплутационная документация на СКЗИ утверждена ФСБ при сертификации продукта. Соответственно, невыполнение трактуется как нарушение правил эксплуатации СКЗИ.

Отредактировано пользователем 28 июля 2009 г. 6:02:27(UTC)  | Причина: Не указана

С уважением,
КРИПТО-ПРО
Offline andr  
#11 Оставлено : 23 июля 2009 г. 14:24:45(UTC)
andr

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.04.2009(UTC)
Сообщений: 9

В документе "Описание реализации" для CSP 3.6 есть пункт 7. "Использование СКЗИ в стандартном программном обеспечении" перечислено программное обеспечение Microsoft, с которым, как я понял, можно использовать СКЗИ без контроля встраивания. При использовании СКЗИ с любым другим ПО, не входящим в пункт 7, необходимо проводить встраивание. В частности и для протокола SSTP. Правильно ли? Если так, то стоит ли ожидать в перечне "стандартного программного обеспечения" появления пункта с протоколом SSTP?)
Спасибо
Offline Максим Коллегин  
#12 Оставлено : 28 июля 2009 г. 6:00:57(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,555
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 533 раз в 483 постах
На последний вопрос - боюсь, что нет.
Знания в базе знаний, поддержка в техподдержке
Offline kirill428  
#13 Оставлено : 21 мая 2010 г. 18:35:04(UTC)
kirill428

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.05.2010(UTC)
Сообщений: 1
Откуда: moscow

andr написал:
В документе "Описание реализации" для CSP 3.6 есть пункт 7. "Использование СКЗИ в стандартном программном обеспечении" перечислено программное обеспечение Microsoft, с которым, как я понял, можно использовать СКЗИ без контроля встраивания. При использовании СКЗИ с любым другим ПО, не входящим в пункт 7, необходимо проводить встраивание. В частности и для протокола SSTP. Правильно ли? Если так, то стоит ли ожидать в перечне "стандартного программного обеспечения" появления пункта с протоколом SSTP?)
Спасибо


выдержка из этого описания реализации:
8.Использование КриптоПро CSP в стандартном программном обеспечении
Программное обеспечение КриптоПро CSP позволяет использовать российские криптографические алгоритмы и сертификаты открытых ключей X.509 с различным программным обеспечением Microsoft:
• Центр Сертификации - Microsoft Certification Authority, входящий в состав OS Windows 2000 Server, Advanced Server.
• Электронная почта - Microsoft Outlook 98, 2000, XP.
• Microsoft Word, Excel, Info Path.
• Электронная почта - Microsoft Outlook Express, входящая в состав Internet Explorer версии 5.0 или выше.
• Средства контроля целостности ПО, распространяемого по сети - Microsoft Authenticode.
• Защита TCP/IP соединений в сети Интернет - протокол TLS/SSL при взаимодействии Internet Explorer - Web сервер IIS (4.0 и выше).

То есть и вправду получается, что я (госучереждение) могу использовать (для защиты персональных данных) весь перечисленный софт без проведения контроля встраивания? Но ведь ворд и эксель это не стандартное ПО, оно ставится отдельно от операционной системы. И еще выходит, что данный абзац предлагает доверять корректности встраивания даже еще не вышедшим версиям интернет эксплорера. Не логично это, объясните пожалуйста.
Offline Rams  
#14 Оставлено : 27 января 2011 г. 8:18:30(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

Юрий Маслов написал:
Именно он и эксплуатационная документация на СКЗИ (в ней прописана необходимость контроля встраивания) трактуются как основание для контроля встраивания. Эксплутационная документация на СКЗИ утверждена ФСБ при сертификации продукта. Соответственно, невыполнение трактуется как нарушение правил эксплуатации СКЗИ.


Помогите найти, где именно прописана необходимость контроля встраивания в документации на СКЗИ КриптоПРО CSP?
Offline Юрий Маслов  
#15 Оставлено : 27 января 2011 г. 14:21:13(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 30 раз в 22 постах
В составе эксплуатационная документация на СКЗИ "КриптоПро CSP" есть документ, назывемый Формуляр. В нем есть раздел 1 "Общие указания". Вот там и прописано.
С уважением,
КРИПТО-ПРО
Offline Rams  
#16 Оставлено : 17 августа 2011 г. 6:59:42(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

В "Методических рекомендациях по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных" с использованием средств автоматизации есть такой пункт:
5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).
Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.


правильно ли я понимаю, что если создается ПО, в котором CSP используется для защиты ПД, то проверка корректности встраивания не нужна, а если в том же ПО существует возможность подписи документов, то такая проверка становится необходимостью?

Еще один вопрос, есть ли прецеденты негативных последствий по игнорированию требований по проведению проверки корректности встраивания?
Offline Юрий Маслов  
#17 Оставлено : 18 августа 2011 г. 12:49:49(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 30 раз в 22 постах
Rams написал:
В "Методических рекомендациях по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных" с использованием средств автоматизации есть такой пункт:
5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).
Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.


правильно ли я понимаю, что если создается ПО, в котором CSP используется для защиты ПД, то проверка корректности встраивания не нужна, а если в том же ПО существует возможность подписи документов, то такая проверка становится необходимостью?

Еще один вопрос, есть ли прецеденты негативных последствий по игнорированию требований по проведению проверки корректности встраивания?


Нет, немного неправильно поняли.

Правильно так: если создается ПО, в котором CSP используется для защиты ПД путём подписи и/или шифрования и/или имитозащиты и/или хеширования данных, то проверка корректности встраивания в ФСБ России не нужна. Если это же ПО используется так же для обсепечения юридическизначимого электронного документооборта с использованием ЭЦП, то проверка корректности встраивания в ФСБ России так же не нужна. Если это же ПО используется в органах госвласти, оборонзаказе и т.д. согласно ПКЗ-2005, то проверка корректности встраивания в ФСБ России нужна, вне зависимости от того для чего используется CSP (для защиты ПДн любыми способами или шифрования конфиденциальной информации и т.д.). Исключеним является, если ПО используется для ЭЦП к документам, не содержащим конфиденциальную информацию.
С уважением,
КРИПТО-ПРО
Offline Rams  
#18 Оставлено : 18 августа 2011 г. 13:29:53(UTC)
Rams

Статус: Активный участник

Группы: Участники
Зарегистрирован: 27.01.2011(UTC)
Сообщений: 95
Мужчина
Откуда: Санкт-Петербург

Цитата:
Если это же ПО используется в органах госвласти, оборонзаказе и т.д. согласно ПКЗ-2005, то проверка корректности встраивания в ФСБ России нужна, вне зависимости от того для чего используется CSP (для защиты ПДн любыми способами или шифрования конфиденциальной информации и т.д.).

Почему же вне зависимости? Если "методические рекомендации..." прямо говорят об отсутствии необходимости такой проверки?

P.S. Юрий Геннадьевич, я направлял вам письмо, с более детальным описанием нашей ситуации. Очень хочется узнать ваш взгляд на эту проблему.

Отредактировано пользователем 18 августа 2011 г. 15:33:18(UTC)  | Причина: Не указана

Offline Юрий Маслов  
#19 Оставлено : 18 августа 2011 г. 18:45:17(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 30 раз в 22 постах
Rams написал:
Почему же вне зависимости? Если "методические рекомендации..." прямо говорят об отсутствии необходимости такой проверки?


Статус документа ПКЗ-2005 (приказ ФСБ России + зарегистрирован в минюсте) выше, чем статус документа "методические рекомендации..." (приказ 8 Центра ФСБ России ну и, как следствие, без регистрации в минюсте)

Rams написал:
P.S. Юрий Геннадьевич, я направлял вам письмо, с более детальным описанием нашей ситуации. Очень хочется узнать ваш взгляд на эту проблему.


Не читал почту :-( А от какого числа почту смотреть?
С уважением,
КРИПТО-ПРО
Offline BrainStorm  
#20 Оставлено : 13 декабря 2011 г. 3:52:13(UTC)
BrainStorm

Статус: Участник

Группы: Участники
Зарегистрирован: 11.12.2011(UTC)
Сообщений: 17

Итак, что в конце концов имеем?

Контроль встраивания в ФСБ обязателен:
1. Если стороннему разработчику требуется обеспечить "встраивание криптосредств класса КС3, КВ1, КВ2 и КА1".
2. Заказчик прямо указал необходимость контроля встраивания в техническом задании на разработку (модернизацию) информационной системы

В противном случае, контроль встраивания не обязателен.

КриптоПро является криптосредстом класса KC1 (я имею ввиду КриптоПро CSP, именно так у меня написано: версия криптографического ядра (СКЗИ): КС1 3.6.5359), поправьте меня, если я ошибаюсь. Учитывая это п.1. отпадает сам по себе, т.к. СКЗИ физически не может обеспечить необходимый для обязательного контроля встраивания класс криптосредств.

Т.е. если заказчик не указал в ТЗ необходимость контроля корректности встраивания, и мы используем КриптоПро CSP КС1, то мы можем спокойно обойтись без этого контроля? Так?

Отредактировано пользователем 13 декабря 2011 г. 4:00:45(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
4 Страницы123>»
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.