Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error
Проведения контроля встраивания СКЗИ КриптоПро CSP
Опции
К последнему сообщению К первому непрочитанному
Предыдущая тема Следующая тема
Offline bankovded  
#1 Оставлено : 10 февраля 2020 г. 14:00:52(UTC)
bankovded

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.02.2020(UTC)
Сообщений: 2
Здравствуйте.
Прошу проконсультировать по вопросу встраивания СКЗИ в разрабатываемое ПО.
В формуляре на СКЗИ п. 1.5. предусмотрена необходимость проведения контроля встраивания СКЗИ в разрабатываемое ПО если планируется обрабатывать информацию защищаемую в соответствии с законодательством (и не важно являемся мы гос. компанией или иной организацией). К такой информации относится Персональные данные, банковская тайна, платежная информация.
При этом на сегодняшний день практически никто из разработчиков систем дистанционного банковского обслуживания такую проверку не проводит.
Отсюда вопрос, правильно ли мы понимаем норму о необходимости контроля встраивания? Или же есть какие-то нюансы.

Если идет взаимодействие разрабатываемого ПО с СКЗИ через MS CryptoAPI, это все равно встраивание и нужно проводить "контроль встраивания" или нет? Если проводить не нужно, то есть ли какие то документы это подтверждающее.
Спасибо.
Вверх
Offline Михаил Селезнёв  
#2 Оставлено : 11 февраля 2020 г. 14:46:38(UTC)
Михаил Селезнёв

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 05.04.2017(UTC)
Сообщений: 363
Мужчина
Российская Федерация

Сказал «Спасибо»: 3 раз
Поблагодарили: 54 раз в 53 постах
Добрый день!
В целом положения формуляра правильно понимаете.
Но требования к защите информации, которую мы обязаны защищать в силу закона, могут быть разные.
Например, ИСПДн – тут в ФЗ явно написано, что должны использоваться средства защиты информации, прошедшие оценку соответствия (т.е. сертифицированные – и стало быть надо делать так, как указано в документации на используемое средство). Это же есть и в подзаконных Постановлении Правительства РФ и Приказе ФСБ…
Либо закон может просто возложить ответственность за сохранность в тайне данных на Оператора ИС (например, как это сделано в статье Банковская тайна из ФЗ «О банках и банковской деятельности»).
В силу закона кредитная организация обязана обеспечить сохранность в тайне данных, но вот как она это сделает - это уже её дело.
Надо, конечно, хорошо знать и подзаконные акты (например, отраслевые Центробанка), может в них что-то есть об обязательности использовать сертифицированное, но так глубоко мы уже не в курсе …

Через CryptoApi – это встраивание. Оценку влияния (контроль встраивания) – нужно делать, если подпадает под п. 1.5 Формуляра. Более того, сейчас для СКЗИ определяются так называемые белые функции, которые можно использовать для встраивания. Если используете функции не из этого списка – то программное обеспечение ИС уже нужно сертифицировать, как отдельное СКЗИ (а это на порядок серьёзнее чем оценка влияния).
Вверх
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Privacy Policy | Форум YAF.NET | YAF.NET © 2003-2025, Yet Another Forum.NET