Добрый день!

В связи с появлением на сайте ФСБ информационного сообщения о необходимости организации проведения тематических исследований (контроля встраивания) систем, защищенных СКЗИ -
http://www.fsb.ru/fsb/sc...94%40fsbResearchart.html , а так же из-за того, что ответственность в данном случае возлагается на операторов ПДн,
хотел бы получить информацию по следующим вопросам:
1. Что (какой документ) будет является подтверждением проведения контроля встраивания? "Выписка из заключения ФСБ..."?
2. Как должен/может быть организован процесс, что бы при "накатывании" обновлений (патчей) на ПО, подтверждение прохождения контроля встраивания оставалось актуальным(действующим)?
3. Т.к. работаю в банке, хотел бы получить информацию (если это возможно) - проводили ли (или проводят в настоящий момент) какие-либо разработчики банковского ПО контроль встраивания для систем своей разработки? Прежде всего интересуют системы ДБО.

Заранее спасибо!

Отредактировано пользователем 25 августа 2017 г. 12:34:29(UTC)  | Причина: Не указана

Интересный подход!
Насколько я представляю, при "контроле встраивания" как раз и проводится "оценка влияния".Смотрим формуляры:

I. Формуляр на изделие «СКЗИ «КриптоПро CSP» v 4.0».

1.5 При встраивании СКЗИ в прикладные системы необходимо по Техническому заданию, согласованному с 8 Центром ФСБ России, проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в случаях:
- если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
.......

II. СРЕДСТВО КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ "МагПро КриптоПакет" версия 2.1. ФОРМУЛЯР.
2.5. При встраивании СКЗИ «МагПро КриптоПакет» версии 2.1 в прикладные системы необходимо проводить проверку корректности встраивания СКЗИ в указанные системы в следующих случаях:
- если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
…
Указанную проверку необходимо проводить по ТЗ, согласованному с в/ч 43753.
....

III. Формуляр на СКАД СИГНАТУРА версии 5 (взято с сайта ЦБ)
2.14.6 Требования к встраиванию библиотек
а) При встраивании в прикладные системы входящей в состав АПК «Сигнатура-клиент» библиотеки ППИ дополнительных исследований в части оценки влияния.....
.....

Т.е. в контексте встраивания СКЗИ в прикладное ПО, словосочетания "оценка влияния", "тематическое исследования", "контроль встраивания" используются, сплошь и рядом, как синонимы. В т.ч. в рамках учебных программ и курсов по ИБ. Собственно, в своем первоначальном сообщении, я и имел это в виду.
Хотя, вполне возможно, что Ваша точка зрения вполне жизнеспособна, но меня (повторюсь) интересуют совсем другие моменты, касающиеся контроля встраивания.


Очень похоже, что у Вас туманные представления о разработчиках ДБО. Конкретно разработчика моего ДБО, эта тема не волнует. А можете назвать хотя бы одного разработчика ДБО/АБС, который озаботился контролем встраивания СКЗИ?
Если ссылаетесь на какие-то существующие документы, просьба указывать конкретные пункты этих документов, что бы было понятно, что конкретно Вы имеете в виду.
И, к сожалению, не увидел в Вашем сообщении ответов на свои вопросы.

Отредактировано пользователем 27 августа 2017 г. 15:30:44(UTC)  | Причина: Не указана

Вот тут, абсолютно с Вами согласен.
По моему опыту, разработчики ППО обычно слабо ориентируются в требованиях регуляторов, в данном случае ФСБ, и, к тому же, забивают на требования контроля встраивания.
Тем более, в данном случае, регулятор перекладывает ответственность на операторов ПДн.
В части информации, подлежащей защите в соответствии с действующим законодательством, требования контроля встраивания обязательны.
А для банков, это практически вся обрабатываемая ими информация, на вскидку - ФЗ-395-1, ФЗ-98, ФЗ-161 о НПС, ФЗ-152 и т.д.
И получается, требования регулятора есть, разработчики прикладного ПО просто забивают болт, т.к. вроде бы не их ответственность, а начинаешь задавать вопросы на форуме компании-разработчика СКЗИ, тишина полная.
Как будто вообще никто не в теме. Ну что тут будешь делать?!

Отредактировано пользователем 28 августа 2017 г. 10:47:54(UTC)  | Причина: Не указана

Т.е. становится понятно, что для проведения контроля встраивания нужен доступ к исходникам.
Далее, мною был озвучен (наряду с другими) и вот такой вопрос -
2. Как должен/может быть организован процесс, что бы при "накатывании" обновлений (патчей) на ПО, подтверждение прохождения контроля встраивания оставалось актуальным(действующим)?

Вот Вы как считаете, после разработки новой версии прикладного ПО и просто после накатывания патчей, нужно опять проводить контроль встраивания? Или как?

К сожалению, ни юристы ни руководство, в этой теме ничего не понимают, а для принятия какого-либо решения им нужна дополнительная информация, которую я и пытаюсь получить в т.ч. и на этом форуме. Но пока всё как-то без просветно....

Большое спасибо за оперативные ответы!
Вы уж извините, но у Вас, наверное, очень хорошо получается писать ответы на официальные запросы, просто приводя цитаты из нормативки и документации.
Именно поэтому, я и не люблю писать официальные запросы, т.к., как правило, нчего, кроме очередной цитаты из нормативки, или её переложения своими словами, в ответ не получишь.
По Вашим ответам - ну ежу же понятно, что режим обновления любого ПО определяет разработчик этого ПО, но я же не об этом спрашиваю. И при чем тут "ОС", "список сертифицированных ОС" и, вообще, что такое ОС в нашем контексте? И при чем здесь действие сертификата СКЗИ? Или Вы просто трОлите? (это все риторические вопросы)))

Давайте по порядку.
1. Существует некое ПО, например некий клиент-банк/банк-клиент или автоматизированная банковская система, в просторечии ДБО или АБС соответственно.
2. Для получения в этом ПО возможности формирования ЭП и шифрования электронных сообщений (ЭС), в это ПО встраивают сертифицированное СКЗИ.
3. Т.к. СКЗИ используется в т.ч. для защиты конфиденциальной по действующему законодательству информации, необходимо проведения контроля встраивания.
О чем и напоминает ФСБ в своем очередном информационном сообщении (см в моём 1-ом посте).
4. В этом же информационном сообщении сказано, что для проведения контроля встраивания необходимо обращаться к разработчику СКЗИ.
Что я, фактически, и делаю, задавая вопросы, которые меня интересуют вроде как, в тематической ветке форума одного из отечественных разработчиков СКЗИ.

Далее. Вроде как уже понятно, что для проведения контроля встраивания нужны исходники, время и деньги.
Допустим, прошел год, мы получили желаемую выписку из заключения ФСБ, но (так обычно бывает), к этому моменту, разработчик выпустил обновленную версию своего ПО.
Я снова прихожу к разработчику СКЗИ и спрашиваю его:
А). Как можно минимизировать сроки и затраты и нужно ли, вообще, снова проводить тематические исследования/контроль встраивания?
Т.е. меня интересует компетенции разработчика СКЗИ в части возможности минимизации затрат на проведения контроля встраивания в прикладное ПО в рамках жизненного цикла этого ПО.
Б). Легко предположить, что если затраты и весь геморрой на решение вопросов по контролю встраивания возьмет на себя разработчик прикладного ПО, то это может быть определенным конкурентным преимуществом при выборе этого разработчика в качестве поставщика необходимого прикладного ПО. Именно об этом был мой последний вопрос.

Что собственно не понятно в моих вопросах? Зачем Вы постоянно подсовываете мне какие формальные фразы из формуляра и документации?
Я Вас уверяю, что там нет ответов на мои вопросы.

Отредактировано пользователем 28 августа 2017 г. 17:47:40(UTC)  | Причина: Не указана