Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Наши способы организации безопасного удалённого доступа к рабочим местам и корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline AlexPavlenko  
#1 Оставлено : 29 марта 2016 г. 17:14:59(UTC)
AlexPavlenko

Статус: Новичок

Группы: Участники
Зарегистрирован: 21.02.2013(UTC)
Сообщений: 6
Российская Федерация

Я написал самодельное ПО,
которое использует стороннюю библиотеку,
которая использует CryptoPro Java CSP,
которая является оберткой над CryptoPro CSP

Какое-то из этого ПО сертифицировано, какое-то нет.

Хотелось бы понять принцип, где в этом стеке проходит граница между тем ПО которое должно быть сертифицированным для удовлетворения требований регуляторов и тем которое можно не сертифицировать (при тех же условиях).

И какие существуют нормативные документы регулирующие данный вопрос?

Отредактировано модератором 30 марта 2016 г. 9:58:29(UTC)  | Причина: Не указана

Offline svs  
#2 Оставлено : 30 марта 2016 г. 9:45:20(UTC)
svs

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 182
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 79 раз в 60 постах
Добрый день!

Ориентироваться здесь стоит на ПКЗ-2005, в особенности на раздел II.

При использовании СКЗИ для защиты информации в случаях, описанных в пункте 3 данного положения, необходимо проводить оценку влияния (по сути - контроль встраивания) системы на СКЗИ (см. пункт 35), при этом проверяется один тезис: весь функционал криптографической защиты информации базируется на сертифицированных средствах, при этом они используются в полном соответствии с эксплуатационной документацией.

Если Ваша сторонняя библиотека использует (через модули CryptoPro Java CSP, на которые отдельный сертификат мы пока не получали) CryptoPro CSP в соответствии с перечнем вызовов, описанных в руководстве по эксплуатации (в случае КриптоПро CSP 4.0 – в "Правилах пользования"), то корректность встраивания обеспечивается, отдельных сертификатов получать больше на что-либо не нужно.

С другой стороны, строго говоря, в случае, если защищаемая информация относится к пункту 3 ПКЗ-2005, то независимо от набора используемых СКЗИ требуется отдельное заключение на всю систему в части корректности встраивания в нее СКЗИ.


Готов ответить на Ваши вопросы и дать уточнения, если потребуется.
С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline ccb  
#3 Оставлено : 14 июля 2016 г. 17:29:15(UTC)
ccb

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.07.2016(UTC)
Сообщений: 2
Российская Федерация

Автор: svs Перейти к цитате
Добрый день!

Ориентироваться здесь стоит на ПКЗ-2005, в особенности на раздел II.

При использовании СКЗИ для защиты информации в случаях, описанных в пункте 3 данного положения, необходимо проводить оценку влияния (по сути - контроль встраивания) системы на СКЗИ (см. пункт 35), при этом проверяется один тезис: весь функционал криптографической защиты информации базируется на сертифицированных средствах, при этом они используются в полном соответствии с эксплуатационной документацией.

Если Ваша сторонняя библиотека использует (через модули CryptoPro Java CSP, на которые отдельный сертификат мы пока не получали) CryptoPro CSP в соответствии с перечнем вызовов, описанных в руководстве по эксплуатации (в случае КриптоПро CSP 4.0 – в "Правилах пользования"), то корректность встраивания обеспечивается, отдельных сертификатов получать больше на что-либо не нужно.

С другой стороны, строго говоря, в случае, если защищаемая информация относится к пункту 3 ПКЗ-2005, то независимо от набора используемых СКЗИ требуется отдельное заключение на всю систему в части корректности встраивания в нее СКЗИ.


Готов ответить на Ваши вопросы и дать уточнения, если потребуется.


Добрый день, Станислав.
Рассматриваем возможность использования CryptoPro Java CSP в нашем ПО.
Т.е. стек практически аналогичен описаному выше:
- Наше разрабатываемое ПО
- CryptoPro Java CSP
- CryptoPro CSP

Хотел бы уточнить один момент в вашем ответе.
Вы пишете
Автор: svs Перейти к цитате
"корректность встраивания обеспечивается, отдельных сертификатов получать больше на что-либо не нужно".

При этом выше:
Автор: svs Перейти к цитате
"через модули CryptoPro Java CSP, на которые отдельный сертификат мы пока не получали".


Т.е. для использования CryptoPro Java CSP все-таки нужно дождаться получения вами сертификата на данный модуль?
Или же сертификат на нее не нужен? Тогда зачем вы планируете получать на нее отдельный сертификат?
И каковы ориентировочные сроки получения сертификата на CryptoPro Java CSP?

Спасибо.
Offline svs  
#4 Оставлено : 14 июля 2016 г. 17:41:02(UTC)
svs

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 10.04.2013(UTC)
Сообщений: 182
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 79 раз в 60 постах
Добрый день!

Совершенно уместный вопрос, ситуация тут несколько двоякая – уточняю.

С одной стороны, действительно, у нас запланированы работы по сертификации Java CSP как отдельного исполнения. Это позволит при встраивании в конечную систему пользоваться не только функционалом по подписи (который обращается к CSP через документированный для встраивания интерфейс), но и, например, по TLS - а это уже требует досертификации. Кроме того, при необходимости проведения контроля встраивания (оценки влияния) придется предоставлять все исходные коды ПО, обращающегося к СКЗИ, а исходников Java-машины у Вас, вероятно, не будет (да и исходники своей Java-оболочки мы не даем).

Но с другой стороны при отсутствии необходимости проходить контроль встраивания (оценку влияния) использование Java CSP для подписи/проверки приводит к использованию вызовов CSP CryptoAPI из интерфейса для встраивания (см. Правила пользования на CSP 4.0), что совершенно честно попадает под действие сертификата соответствия ФСБ России (с той оговоркой, что вызовы производятся через неизвестную Вам в исходниках нашу прослойку).
С уважением,
Станислав Смышляев, к.ф.-м.н.,
Заместитель генерального директора ООО "КРИПТО-ПРО"
Техническую поддержку оказываем здесь.
Наша база знаний.
Offline ccb  
#5 Оставлено : 18 июля 2016 г. 13:25:06(UTC)
ccb

Статус: Новичок

Группы: Участники
Зарегистрирован: 14.07.2016(UTC)
Сообщений: 2
Российская Федерация

Добрый день, Станислав!
Понятно, спасибо за ответ.
Offline hot  
#6 Оставлено : 26 января 2018 г. 18:00:07(UTC)
hot

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2018(UTC)
Сообщений: 2
Мужчина

Мне всегда казалось что сертификация нужна всегда
Offline sterid  
#7 Оставлено : 13 августа 2020 г. 12:40:27(UTC)
sterid

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.08.2020(UTC)
Сообщений: 1

Добрый день, прошу подсказать какая сертификация (ФСБ\ФСТЭК) необходима.

Разрабается программное обеспечение, которое будет подписывать и проверять КЭП\УКЭП для файлов при взаимодействии с внешними контрагентами.
Вся логика приложения реализована на собственой кодовой базе C#.

Для работы с ГОСТ 34.10-2012 планируется использование КриптоПро.
Приобретены лицензии на следующие продукты:
-КриптоПро CSP
-КриптоПро OCSP
-КриптоПро TSP
-Cryptcp утилиту

Если мы используем КриптоПро SDK для интеграции нужна ли сертификация разрабатываемоего ПО?
Если мы используем Cryptcp.exe для проверки\создания подписей нужна ли сертификация данного ПО?
Offline DmitryBagin  
#8 Оставлено : 13 августа 2020 г. 18:02:21(UTC)
DmitryBagin

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.08.2020(UTC)
Сообщений: 1

Доброго дня!

Если говорить о том, в каких ситуациях необходимо проведение каких-либо исследований в системе сертификации ФСБ РФ при использовании СКЗИ, то информация об этом содержится в эксплуатационной документации на КриптоПро CSP. В частности, перечень случаев, когда необходимо проведение работ по оценке влияния или по тематическим исследованиям (сертификации как самостоятельного СКЗИ), приведен в пункте 1.5 Формуляра, где сказано:
«1.5 При встраивании СКЗИ в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
 если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
 при организации защиты конфиденциальной информации, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
 при организации криптографической защиты конфиденциальной информации, обрабатываемой СКЗИ, в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд;
 если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
 при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
 при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.»
и
«В случае использования вызовов, не входящих в перечень Приложения 2 документа ЖТЯИ.00087-03 95 01. Правила пользования, необходимо производить разработку отдельного СКЗИ на базе «КриптоПро CSP» версия 4.0 R4 в соответствии с действующей нормативной базой (в частности, с Постановлением Правительства Российской Федерации от 16 апреля 2012 г. №313 и Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)).»



Цитата:
Если мы используем КриптоПро SDK для интеграции нужна ли сертификация разрабатываемоего ПО?

В случае использования КриптоПро SDK для создания/проверки ЭП сертификация разрабатываемого ПО не требуется (в силу того, что для создания/проверки ЭП используются только вызовы входящие в перечень Приложения 2 Правил пользования), однако проведение работ по оценке влияния разрабатываемого ПО на СКЗИ нужно (если ваше ПО подпадает под пункты, перечисленные выше).

Цитата:
Если мы используем Cryptcp.exe для проверки\создания подписей нужна ли сертификация данного ПО?

По поводу данной утилиты в Правилах пользования на КриптоПро CSP указано:
«Следующие программные компоненты СКЗИ «КриптоПро CSP» версии 4.0 R4 можно использовать без проведения дополнительных тематических исследований:
 приложение командной строки для подписи и шифрования файлов cryptcp;
 приложение командной строки для работы с сертификатами certmgr;
 приложение для создания TLS-туннеля stunnel.»

При этом, в общем случае работы по оценке влияния на СКЗИ так же должны быть проведены (если ваше ПО подпадает под пункты, перечисленные выше).


С уважением, Багин Дмитрий
Начальник отдела анализа безопасности систем
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.