Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Заключение о корректности встраивания СКЗИ
Статус: Новичок
Группы: Участники
Зарегистрирован: 25.08.2008(UTC)
Сообщений: 4
|
Ситтуация такая:
есть ПО использующее КриптоПро CSP для организации защещенного электронного документооборота и требуется предоставить заключение о корректности встраивания СКЗИ - каким образом можно получить данное заключение и нужно ли оно вообще если к примеру разработчик ПО имеет лицензию ФСБ на разработку и сопровождение СКЗИ.
Зараннее благодарен.
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036  Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Если Ваш Заказчик является органом государственной власти и/или он потребовал проведение тематических исследований и получение заключения о корректности встраивания СКЗИ (в соответствии с ПКЗ-2005), то обращайтесь в ООО "Центр Сертификационных Исследований" (127106, г. Москва, ул. Ботаническая, д.25, +7 (495) 619-3117).
Наш совет: проведение таких работ требует временных (порядка 1 года) и финансовых затрат (узнаете в ЦСИ). Поэтому постарайтесь оформить это как работу у Заказчика и пусть Заказчик оплатит эту работу.
Наличие у Вас лицензии ФСБ на разработку СКЗИ (полной лицензии или на создание защищенных информационных систем с использованием шифровальных (криптографических) систем) не может отменить требование Заказчика на контроль встраивания СКЗИ. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Есть. Например, ФГУП НТЦ Атлас, РНТ и т.д. За этими сведениями обращайтесь в ЛСЦ ФСБ России. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 43 Откуда: Казань
|
Доброго времени суток. Помогите, пожалуйста, разобраться со следующей ситуацией: 1. В ПКЗ-2005 в п.46 сказано, что «СКЗИ эксплуатируются в соответствии с правилами пользования ими» и в п. 47 «СКЗИ, находящиеся в эксплуатации, должны подвергаться контрольным тематическим исследованиям», 2. В Формуляре СКЗИ CSP 3.0 написано «п. 3.11 Должна проводиться проверка корректности встраивания СКЗИ «КриптоПро CSP» версии 3.0 в прикладные системы СКЗИ.... Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ России». Вопросы: 1) Являются ли перечисленные выше вырезки из документов основанием для проведения проверки корректности встраивания СКЗИ CSP 3.0 в прикладную систему электронного документооборота, когда речь идет о территориальном государственном органе? 2) После того, как СКЗИ CSP 3.0 встроили в эту систему электронного документооборота - является ли она уже тоже СКЗИ? (в п. 3.11 Формуляра написано «в прикладные системы СКЗИ»). Если это не так, то что такое «прикладные системы СКЗИ» или в Формуляре не правильно написано или я не правильно читаю? Отредактировано пользователем 21 марта 2010 г. 23:56:33(UTC)
| Причина: Не указана
|
|
|
|
|
|
Статус: Активный участник
Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC) Сообщений: 1,036 Откуда: КРИПТО-ПРО Поблагодарили: 36 раз в 25 постах
|
Здравствуйте!
В формуляре сказано следующее:
3.11 Должна проводиться проверка корректности встраивания СКЗИ «КриптоПро CSP» версии 3.0 в прикладные системы СКЗИ в случаях:
• если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
• при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
• при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд.
Указанная проверка проводится по ТЗ, согласованному с 8 Центром ФСБ России.
В остальных случаях рекомендуется проводить установленным порядком проверку корректности встраивания СКЗИ «КриптоПро CSP» версии 3.0 в прикладные системы с целью оценки обоснованности и достаточности мер, принятых для защиты информации конфиденциального характера.
Понятие "территориальный орган власти" нам не известен. Что это?! Если это орган исполнительной власти субъекта Российской Федерации - то контроль встраивания осуществляет ФСБ России, и ТЗ должно быть согласовано с 8 Центром.
Если это муниципальный орган власти - то не обязательно.
После того, как СКЗИ CSP 3.0 встроили в эту систему электронного документооборота она (система) НЕ является СКЗИ. Она является защищенной с использованием СКЗИ информационной системой. |
С уважением,
КРИПТО-ПРО |
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 43 Откуда: Казань
|
Территориальный орган власти - исполнительный орган исполнительной власти субъекта РФ.
Так все же: являются ли перечисленные выше вырезки из документов основаниями для проведения проверки корректности встраивания СКЗИ (тематические исследования) в прикладную системы электронного документооборота?
Нам нужна фраза из документов, в которых явно сказана необходимость подобных проверков.
|
|
|
|
|
|
Статус: Администратор
Группы: Администраторы, Участники
Зарегистрирован: 13.12.2007(UTC)
Сообщений: 111
Откуда: Крипто-Про
Поблагодарили: 33 раз в 10 постах
|
Основание
Зарегистрировано в Минюсте РФ 3 марта 2005 г. N 6382
ФЕДЕРАЛЬНАЯ СЛУЖБА БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 9 февраля 2005 г. N 66
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ
О РАЗРАБОТКЕ, ПРОИЗВОДСТВЕ, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ
ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ ЗАЩИТЫ
ИНФОРМАЦИИ (ПОЛОЖЕНИЕ ПКЗ-2005)
3. Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:
если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации (далее - государственные органы);
при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее - организации, выполняющие государственные заказы);
если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.
52. С целью оценки обоснованности и достаточности мер, принятых для защиты информации конфиденциального характера, обладатель, пользователь (потребитель) данной информации, установивший режим ее защиты с применением СКЗИ, а также собственник (владелец) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ, вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования СКЗИ.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.06.2008(UTC)
Сообщений: 49
|
Извиняюсь за то, что вмешиваюсь в дискуссию, но меня этот вопрос тоже интересует. Цитата:52. С целью оценки обоснованности и достаточности мер, принятых для защиты информации конфиденциального характера, обладатель,пользователь (потребитель) данной информации, установивший режим ее защиты с применением СКЗИ, а также собственник (владелец) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ, вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования СКЗИ. Получается, что инициировать проведения проверки корректности встраивания СКЗИ - это право пользователя или владельца системы. Но все-таки об обязательной необходимости проведения такой проверки речь не идет. Данное требование прописано только в формуляре на СКЗИ КриптоПро CSP и появилось относительно недавно. Получается, что если владелец системы требует заключения о корректности встраивания СКЗИ, то его необходимо получать, если не требует, то и получать необходимости нет? В свое время от нас требовал экспертизу о корректности встраивания ПФР, мы сделали, но это очень долго и очень дорого. А вот ФНС не требует подобного заключения.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 23.04.2008(UTC) Сообщений: 43 Откуда: Казань
|
Спасибо большое за ответы!
|
|
|
|
|
|
Форум КриптоПро
»
Общие вопросы
»
Общие вопросы
»
Заключение о корректности встраивания СКЗИ
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
