Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

2 Страницы<12
Опции
К последнему сообщению К первому непрочитанному
Offline basid  
#11 Оставлено : 29 августа 2017 г. 5:04:30(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Автор: Saches Перейти к цитате
2. Для получения в этом ПО возможности формирования ЭП и шифрования электронных сообщений (ЭС), в это ПО встраивают сертифицированное СКЗИ.
3. Т.к. СКЗИ используется в т.ч. для защиты конфиденциальной по действующему законодательству информации, необходимо проведения контроля встраивания.
О чем и напоминает ФСБ в своем очередном информационном сообщении (см в моём 1-ом посте).
Может я как-то по другому читаю, но ФСБ напоминает о необходимости эксплуатировать СКЗИ в строгом соответствии с формуляром.
В формуляре я читаю разные требования и, в частности, вижу "тематические исследования СКЗИ уже проведено в процессе разработки и сертификации", а ещё - отсылку на руководство программиста, где сказано, что "... дополнительного контроля встраивания не требуется". Из всего этого, как и положено технарю, я делаю вывод: "Если разработчик ДБО/АБС соблюл требования формуляра СКЗИ, то дополнительного контроля встраивания - не требуется". С моей кочки зрения - всё предельно логично.
Что по этому поводу думают юристы и руководство - надо спрашивать у них.
Цитата:
4. В этом же информационном сообщении сказано, что для проведения контроля встраивания необходимо обращаться к разработчику СКЗИ.
Что я, фактически, и делаю, задавая вопросы, которые меня интересуют вроде как, в тематической ветке форума одного из отечественных разработчиков СКЗИ.
Вы же не рабочий (технический) вопрос решаете, а хотите получить вполне официальный ответ для беседы с юристами/руководством. Такие вещи на форуме не решаются и не важно - официальный это форум или нет.
Создаёте запрос в техподдержку разработчика и получаете (какой-то) ответ. Устроит вас этот ответ или "не очень" - это уже другое дело. Лично меня уже утомили ситуации, когда нужен не просто ответ, но "ответ, который понравится вопрошающему". И это - уже безотносительно (данного) форума.
Цитата:
Вы постоянно подсовываете мне какие формальные фразы из формуляра и документации?
Затем, что именно эти формальные фразы должны лечь в основу ваших рассуждений и телодвижений. Закон не только суров, но и формален.

Отредактировано пользователем 29 августа 2017 г. 5:06:19(UTC)  | Причина: Поправил цитирование

Offline Saches  
#12 Оставлено : 29 августа 2017 г. 11:24:34(UTC)
Saches

Статус: Участник

Группы: Участники
Зарегистрирован: 27.07.2017(UTC)
Сообщений: 14
Российская Федерация

Автор: basid Перейти к цитате
Может я как-то по другому читаю, но ФСБ напоминает о необходимости эксплуатировать СКЗИ в строгом соответствии с формуляром.
В формуляре я читаю разные требования и, в частности, вижу "тематические исследования СКЗИ уже проведено в процессе разработки и сертификации", а ещё - отсылку на руководство программиста, где сказано, что "... дополнительного контроля встраивания не требуется". Из всего этого, как и положено технарю, я делаю вывод: "Если разработчик ДБО/АБС соблюл требования формуляра СКЗИ, то дополнительного контроля встраивания - не требуется". С моей кочки зрения - всё предельно логично.
Что по этому поводу думают юристы и руководство - надо спрашивать у них.......


А юристы по этому поводу думают примерно следующее, что Вы абсолютно не правы и сами себе противоречите ссылаясь на формуляр не в тех местах в каких надо и совершенно не по поводу.
Если со мной не согласны, то, например, почитайте ответы Ю. Маслова на форуме, в темах, касающиеся необходимости контроля встраивания.
Вот например - http://www.cryptopro.ru/....aspx?g=posts&m=7857 (почитайте всю эту тему, может что-то проясните для себя)
Отвечая на очередной вопрос, он говорит следующее - "......... в соответствии с ПКЗ-2005, если СКЗИ используется в гос органах или для защиты персональных данных, то требуется осуществлять контроль встраивания. Контроль встраивания осуществляет ФСБ России. Порядок определен в ПКЗ-2005."
И, именно об этом же, говорит информационное сообщение ФСБ, на которое я ссылался ранее.
А теперь, просто для себя, найдите где об этом говорится в формуляре.
Хотя, очень похоже, что Вам не стоит так много читать и цитировать формуляр, т.к. по каким-то причинам, выводы Вы всё равно делаете не те.

И давайте закончим дискуссию. Спасибо за компанию и за совет обратится в тех поддержку. Возможно, но как-нибудь в другой раз.
Очень похоже, что в общем, уже всем всё ясно.

Отредактировано пользователем 29 августа 2017 г. 14:09:34(UTC)  | Причина: Не указана

Offline Saches  
#13 Оставлено : 29 августа 2017 г. 11:34:22(UTC)
Saches

Статус: Участник

Группы: Участники
Зарегистрирован: 27.07.2017(UTC)
Сообщений: 14
Российская Федерация

Сообщения дублируются при правке. Просьба удалить.

Отредактировано пользователем 29 августа 2017 г. 11:42:41(UTC)  | Причина: Не указана

Offline Saches  
#14 Оставлено : 29 августа 2017 г. 11:37:30(UTC)
Saches

Статус: Участник

Группы: Участники
Зарегистрирован: 27.07.2017(UTC)
Сообщений: 14
Российская Федерация

Сообщения дублируются при правке. Просьба удалить.

Отредактировано пользователем 29 августа 2017 г. 11:42:55(UTC)  | Причина: Сообщения дублируются при правке. Просьба удалить.

Offline basid  
#15 Оставлено : 29 августа 2017 г. 16:58:59(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Я-то читал.
А вот вы попробуйте ответить на простейший вопрос - какую конкретно конфиденциальную информацию и как именно защищает СКЗИ в ДБО/АБС. В каком месте у вас возникает предмет контроля встраивания?
Offline Saches  
#16 Оставлено : 29 августа 2017 г. 17:26:19(UTC)
Saches

Статус: Участник

Группы: Участники
Зарегистрирован: 27.07.2017(UTC)
Сообщений: 14
Российская Федерация

Автор: basid Перейти к цитате
Я-то читал.А вот вы попробуйте ответить на простейший вопрос - какую конкретно конфиденциальную информацию и как именно защищает СКЗИ в ДБО/АБС. В каком месте у вас возникает предмет контроля встраивания?

Вообще-то, выше. я уже писал про это -
"В части информации, подлежащей защите в соответствии с действующим законодательством, требования контроля встраивания обязательны.
А для банков, это практически вся обрабатываемая ими информация, на вскидку - ФЗ-395-1, ФЗ-98, ФЗ-161 о НПС, ФЗ-152 и т.д."
Я бы добавил еще 382-П, 552-П, это от ЦБ РФ, ну и вся нормативка ФСБ по защите ПДн, хотя бы. Это если Вам так хочется продолжить разговор.

Отредактировано пользователем 29 августа 2017 г. 17:44:51(UTC)  | Причина: Не указана

Offline basid  
#17 Оставлено : 30 августа 2017 г. 11:47:37(UTC)
basid

Статус: Активный участник

Группы: Участники
Зарегистрирован: 21.11.2010(UTC)
Сообщений: 1,037

Сказал(а) «Спасибо»: 7 раз
Поблагодарили: 140 раз в 126 постах
Добавить можно всё, что угодно, но где в 552-П ЦБ РФ требования к контролю встраивания - я в упор не вижу.
"Ключевая информация" и прочие "СКЗИ", упомянутые в приказе - чистой воды функции самого сертифицированного СКЗИ.
Но воля ваше - вы умнее, больше знаете и всё такое.
Offline Saches  
#18 Оставлено : 30 августа 2017 г. 15:08:51(UTC)
Saches

Статус: Участник

Группы: Участники
Зарегистрирован: 27.07.2017(UTC)
Сообщений: 14
Российская Федерация

Автор: basid Перейти к цитате
Добавить можно всё, что угодно, но где в 552-П ЦБ РФ требования к контролю встраивания - я в упор не вижу.
"Ключевая информация" и прочие "СКЗИ", упомянутые в приказе - чистой воды функции самого сертифицированного СКЗИ.
Но воля ваше - вы умнее, больше знаете и всё такое.

Да нет же, все не так. Не бывает, что бы все требования были в одном документе.
1.Смотрим 552-П, п. 1.2. (это перечень защищаемой по законодательству информации) и п.5.1. (это то, чем заняты сейчас все разработчики АБС и сотрудники автоматизации банков, а именно реализации функционала ЭП в своих АБС или в неких иных своих поделках);
2. Смотрим формуляр на СКЗИ, где необходимость контроля встраивания для защищаемой по законодательству информации.
Вот собственно и все история.
Ну можно еще для полноты дополнить Методическими рекомендациями ФСБ по защите ПДн с помощью СКЗИ -
"Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:
- если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;
...."
Т.е. 552-П, это нормативный документ ЦБ попадающий в перечень документов, формирующих "Законодательство РФ".
Указание, что там есть ПДн (как и иная информация) имеется, защищать мы её должны с помощью СКЗИ (хотя бы целостность).
Вот все банки и приплыли на контроль встраивания. А Информационное сообщение ФСБ, просто еще слегка "намекает" об этом.
А с ДБО для юр лиц(ЮЛ) примерно такая же фигня, только там 382-П, и необходимость использования ЭП следует из 63-ФЗ.
И нечего обзываться)))

Отредактировано пользователем 30 августа 2017 г. 15:13:10(UTC)  | Причина: Не указана

RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.