Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline motogarri  
#1 Оставлено : 24 апреля 2015 г. 15:40:11(UTC)
motogarri

Статус: Участник

Группы: Участники
Зарегистрирован: 03.08.2012(UTC)
Сообщений: 28

Помогите понять, пожалуйста.
Читал это тему:
Что такое лицензия на встраивание СКЗИ и когда она нужна

Осталось несколько вопросов:
1. Лицензия ФСБ России на деятельность по разработке, производству шифровальных (криптографических) средств.. Это еще актульно?
2. Не могу понять, к какой категории отношусь. К тем кто разрабатывает информационную систему в интересах другого лица и тогда мне требуется лицензирование в ФСБ или же к тем кому это лицензирование не нужно.

Фирма разработала систему документооборота для предоставления услуг своим клиентам. Через эту систему мы получаем поручения клиентов и отправляем отчет о выполнении. Появилась необходимость подписывать и шифровать документы. Делать это планировал с помощью capicom, cadescom и cryptoapi.
Является ли это поизводством шифровальных (криптографических) средств?

3. Нужен ли для встраивания специалист пршедший специальное обучение и имеющий сертификат? Если да, то что это за сертификат?
Offline Alexander A. Nikitkov  
#2 Оставлено : 24 апреля 2015 г. 16:04:59(UTC)
Alexander A. Nikitkov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 22.04.2015(UTC)
Сообщений: 324
Мужчина

Сказал «Спасибо»: 4 раз
Поблагодарили: 54 раз в 54 постах
Приветствую!

Есть мнение, что руководствоваться в данном вопросе следует информацией из
формуляра на соответствующую версию CSP, т.к. данные формуляры входят в
состав документации, утверждённой ФСБ при сертификации.
Для примера берём формуляр от версии 3.9 (ЖТЯИ.00083-01 30 01) п.1.5.
и читаем там следующее:

1.5. При встраивании СКЗИ ЖТЯИ.00083-01 в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
- если информация конфиденциального характера, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;
- при организации защиты информации конфиденциального характера, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
- при организации криптографической защиты информации конфиденциального характера, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд.
В остальных случаях рекомендуется проводить установленным порядком проверку корректности встраивания СКЗИ ЖТЯИ.00083-01 в прикладные системы с целью оценки обоснованности и достаточности мер, принятых для защиты информации, обрабатываемой СКЗИ.
Проведение оценки влияния приложений, входящих в состав операционных систем, не требуется.
Проведение оценки влияния на СКЗИ при использовании его исключительно в составе СКЗИ КриптоПро IPsec 1.1 не требуется.
********
Для Вас, как разработчика, правильно было бы указать в системном проекте, что на основании модели нарушителя контроль встраивания не требуется и утвердить проект у Вашего заказчика.
Offline Alexander A. Nikitkov  
#3 Оставлено : 10 июня 2015 г. 14:58:21(UTC)
Alexander A. Nikitkov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 22.04.2015(UTC)
Сообщений: 324
Мужчина

Сказал «Спасибо»: 4 раз
Поблагодарили: 54 раз в 54 постах
Приветствую!

Интересующимся данным вопросом следует так же ознакомиться с
положением ПКЗ-2005 и методическими указаниями ФСБ от 21 февраля 2008 г. N 149/54-144
В последнем документе присутствуют некоторые пояснения, относящиеся к модели угроз и модели нарушителя.


Offline alligator  
#4 Оставлено : 22 июня 2015 г. 8:49:28(UTC)
alligator

Статус: Новичок

Группы: Участники
Зарегистрирован: 22.06.2015(UTC)
Сообщений: 1
Российская Федерация

Добрый день.
В продолжении темы хочу задать вопрос.В своей организации хотим поднять интернет портал на базе IIS + КриптоПроTLS и предоставить доступ по сертификатам для медицинских организаций. Информация на портале будет содержать персональные данные. Подскажите, пожалуйста, необходимо ли получать на данный вид деятельности лицензию в соответствии с законом от 4 мая 2011г №99-ФЗ "О лицензировании отдельных видов деятельности"? Организация государственная, деятельность некоммерческая. Разработку и обслуживание портала а также СКЗИ на портале будем осуществлять сотрудниками нашей организации. Установкой и обслуживанием СКЗИ на компьютерах клиентов будут заниматься сотрудники медицинских организаций. С нашей стороны мы будем только выдавать сертификат по запросу клиента.
Offline Alexander A. Nikitkov  
#5 Оставлено : 9 сентября 2015 г. 16:56:53(UTC)
Alexander A. Nikitkov

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 22.04.2015(UTC)
Сообщений: 324
Мужчина

Сказал «Спасибо»: 4 раз
Поблагодарили: 54 раз в 54 постах
Доброго дня, alligator.

Если конечно Ваш вопрос ещё актуален.
"С нашей стороны мы будем только выдавать сертификат по запросу клиента." означает ли это, что вы являетесь УЦ? И где (самими клиентами или Вами) генерируются ключи, соответствующие выдаваемым клиентам сертификатам?
Собственно, если являетесь УЦ, то лицензия нужна. И если ключи пользователям генерируете сами, то лицензия нужна(как минимум) на передачу шифровальных (крипртографических) средств, т.к. ключ - это СКЗИ и он передаётся пользователю.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.