Статус: Участник
Группы: Участники
Зарегистрирован: 03.08.2012(UTC) Сообщений: 28
|
Помогите понять, пожалуйста. Читал это тему: Что такое лицензия на встраивание СКЗИ и когда она нужна Осталось несколько вопросов: 1. Лицензия ФСБ России на деятельность по разработке, производству шифровальных (криптографических) средств.. Это еще актульно? 2. Не могу понять, к какой категории отношусь. К тем кто разрабатывает информационную систему в интересах другого лица и тогда мне требуется лицензирование в ФСБ или же к тем кому это лицензирование не нужно. Фирма разработала систему документооборота для предоставления услуг своим клиентам. Через эту систему мы получаем поручения клиентов и отправляем отчет о выполнении. Появилась необходимость подписывать и шифровать документы. Делать это планировал с помощью capicom, cadescom и cryptoapi. Является ли это поизводством шифровальных (криптографических) средств? 3. Нужен ли для встраивания специалист пршедший специальное обучение и имеющий сертификат? Если да, то что это за сертификат?
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 324  Сказал «Спасибо»: 4 раз Поблагодарили: 54 раз в 54 постах
|
Приветствую!
Есть мнение, что руководствоваться в данном вопросе следует информацией из формуляра на соответствующую версию CSP, т.к. данные формуляры входят в состав документации, утверждённой ФСБ при сертификации. Для примера берём формуляр от версии 3.9 (ЖТЯИ.00083-01 30 01) п.1.5. и читаем там следующее:
1.5. При встраивании СКЗИ ЖТЯИ.00083-01 в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях: - если информация конфиденциального характера, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации; - при организации защиты информации конфиденциального характера, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации; - при организации криптографической защиты информации конфиденциального характера, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд. В остальных случаях рекомендуется проводить установленным порядком проверку корректности встраивания СКЗИ ЖТЯИ.00083-01 в прикладные системы с целью оценки обоснованности и достаточности мер, принятых для защиты информации, обрабатываемой СКЗИ. Проведение оценки влияния приложений, входящих в состав операционных систем, не требуется. Проведение оценки влияния на СКЗИ при использовании его исключительно в составе СКЗИ КриптоПро IPsec 1.1 не требуется. ******** Для Вас, как разработчика, правильно было бы указать в системном проекте, что на основании модели нарушителя контроль встраивания не требуется и утвердить проект у Вашего заказчика.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 324  Сказал «Спасибо»: 4 раз Поблагодарили: 54 раз в 54 постах
|
Приветствую!
Интересующимся данным вопросом следует так же ознакомиться с положением ПКЗ-2005 и методическими указаниями ФСБ от 21 февраля 2008 г. N 149/54-144 В последнем документе присутствуют некоторые пояснения, относящиеся к модели угроз и модели нарушителя.
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 22.06.2015(UTC) Сообщений: 1 
|
Добрый день. В продолжении темы хочу задать вопрос.В своей организации хотим поднять интернет портал на базе IIS + КриптоПроTLS и предоставить доступ по сертификатам для медицинских организаций. Информация на портале будет содержать персональные данные. Подскажите, пожалуйста, необходимо ли получать на данный вид деятельности лицензию в соответствии с законом от 4 мая 2011г №99-ФЗ "О лицензировании отдельных видов деятельности"? Организация государственная, деятельность некоммерческая. Разработку и обслуживание портала а также СКЗИ на портале будем осуществлять сотрудниками нашей организации. Установкой и обслуживанием СКЗИ на компьютерах клиентов будут заниматься сотрудники медицинских организаций. С нашей стороны мы будем только выдавать сертификат по запросу клиента.
|
|
|
|
Статус: Сотрудник
Группы: Участники
Зарегистрирован: 22.04.2015(UTC) Сообщений: 324  Сказал «Спасибо»: 4 раз Поблагодарили: 54 раз в 54 постах
|
Доброго дня, alligator.
Если конечно Ваш вопрос ещё актуален. "С нашей стороны мы будем только выдавать сертификат по запросу клиента." означает ли это, что вы являетесь УЦ? И где (самими клиентами или Вами) генерируются ключи, соответствующие выдаваемым клиентам сертификатам? Собственно, если являетесь УЦ, то лицензия нужна. И если ключи пользователям генерируете сами, то лицензия нужна(как минимум) на передачу шифровальных (крипртографических) средств, т.к. ключ - это СКЗИ и он передаётся пользователю.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close