Atom Лента - Форум КриптоПро - Тема:контроль корректности встраивания - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:kontrol'korrektnostivstraivanija-10:1Copyright 2024 Форум КриптоПро2024-03-29T10:42:09Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.ruDimhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=405&name=DimDimhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=405&name=DimКирилл Соболевhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=35&name=Кирилл СоболевDimhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=405&name=Dimjohnbullhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=21966&name=johnbullЮрий Масловhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57&name=Юрий МасловKalinkahttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=8645&name=KalinkaKalinkahttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=8645&name=KalinkaЮрий Масловhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57&name=Юрий МасловKalinkahttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=8645&name=KalinkaЮрий Масловhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57&name=Юрий МасловYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid38245:1контроль корректности встраивания<table class="content postContainer_Alt" width="100%"><tr><td>Ведь перед тем как отправить отчет я формирую ЭЦП потом шифрую, это разве не обработка?</td></tr></table>2013-04-24T11:28:40+03:002013-04-24T11:28:40+03:00Dim<table class="content postContainer_Alt" width="100%"><tr><td>Ведь перед тем как отправить отчет я формирую ЭЦП потом шифрую, это разве не обработка?</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid38241:1контроль корректности встраивания<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>информация, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации</div></div><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Информация передаваемая в ФНС и т.д. подписывается ЭЦП и шифруется в соответствии с приказами этих структур</div></div><br />неравнозначные понятия</td></tr></table>2013-04-24T10:09:06+03:002013-04-24T10:09:06+03:00Кирилл Соболев<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>информация, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации</div></div><br /><div class="quote"><span class="quotetitle">Цитата:</span><blockquote>Информация передаваемая в ФНС и т.д. подписывается ЭЦП и шифруется в соответствии с приказами этих структур</div></div><br />неравнозначные понятия</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid38240:1контроль корректности встраивания<table class="content postContainer_Alt" width="100%"><tr><td>Прочитал всю ветку. Так и не понял надо проводить "контроль встраивания" или нет.<br />И так имеем два документа: приказ №66 от 09.02.2005 (ПКЗ-2005) зарегистрированный в Минюсте и методические рекомендации №149/54-144 от 21.02.2008.<br />В ПКЗ-2005 нет понятия «контроля встраивания», есть понятие «контроль за соблюдением правил пользования СКЗИ». Так вот этот самый контроль строго добровольный «……вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования СКЗИ», пункт 52.<br />А вот в методических рекомендациях уже есть понятия "контроль встраивания". В пункте 5.1 сказано: «Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России ....». Далее в этом пункте идет текст «Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России», а вот это уже противоречит ПКЗ-2005.<br />Замете нет ни одного упоминания о том, что если СКЗИ встраивается в программы эксплуатируемые в госструктурах, значит обязательно проходить "контроль встраивания" или «контроль за соблюдением правил пользования СКЗИ».<br />А вот теперь интересные момент. В формуляре к КриптоПро CSP есть такой текст (весь приводить не буду): <br />«При встраивании СКЗИ ЖТЯИ.00050-03 в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований: <br />- для исполнений 1 (уровень защиты КС1) и 2 (уровень защиты КС2) - в следующих случаях: <br />1) если информация, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;»<br />Теперь давайте попробуем практически применить эти документы. Есть программа по сдачи отчетности в ФНС, ПФР и т.д. устанавливаемая у налогоплательщиков. В эту программу встроено СКЗИ класса КС1. Информация передаваемая в ФНС и т.д. подписывается ЭЦП и шифруется в соответствии с приказами этих структур. И вот, что получаем, в соответствии с ПКЗ-2005 и методическими рекомендациями «контроль встраивания» проводить не надо, а в соответствии с формуляром надо, но формуляр противоречит законодательству, как быть?<br /></td></tr></table>2013-04-24T09:12:21+03:002013-04-24T09:12:21+03:00Dim<table class="content postContainer_Alt" width="100%"><tr><td>Прочитал всю ветку. Так и не понял надо проводить "контроль встраивания" или нет.<br />И так имеем два документа: приказ №66 от 09.02.2005 (ПКЗ-2005) зарегистрированный в Минюсте и методические рекомендации №149/54-144 от 21.02.2008.<br />В ПКЗ-2005 нет понятия «контроля встраивания», есть понятие «контроль за соблюдением правил пользования СКЗИ». Так вот этот самый контроль строго добровольный «……вправе обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования СКЗИ», пункт 52.<br />А вот в методических рекомендациях уже есть понятия "контроль встраивания". В пункте 5.1 сказано: «Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России ....». Далее в этом пункте идет текст «Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России», а вот это уже противоречит ПКЗ-2005.<br />Замете нет ни одного упоминания о том, что если СКЗИ встраивается в программы эксплуатируемые в госструктурах, значит обязательно проходить "контроль встраивания" или «контроль за соблюдением правил пользования СКЗИ».<br />А вот теперь интересные момент. В формуляре к КриптоПро CSP есть такой текст (весь приводить не буду): <br />«При встраивании СКЗИ ЖТЯИ.00050-03 в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований: <br />- для исполнений 1 (уровень защиты КС1) и 2 (уровень защиты КС2) - в следующих случаях: <br />1) если информация, обрабатываемая СКЗИ, подлежит защите в соответствии с законодательством Российской Федерации;»<br />Теперь давайте попробуем практически применить эти документы. Есть программа по сдачи отчетности в ФНС, ПФР и т.д. устанавливаемая у налогоплательщиков. В эту программу встроено СКЗИ класса КС1. Информация передаваемая в ФНС и т.д. подписывается ЭЦП и шифруется в соответствии с приказами этих структур. И вот, что получаем, в соответствии с ПКЗ-2005 и методическими рекомендациями «контроль встраивания» проводить не надо, а в соответствии с формуляром надо, но формуляр противоречит законодательству, как быть?<br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid25645:1контроль корректности встраивания<table class="content postContainer" width="100%"><tr><td>Здравствуйте.<br /><br />Наша компания выполняет разработку АС с применением Крипто ПРО CSP 3.6 R2, Заказчик - госорганизация, обработка конфиденциальной информации. СКЗИ используется для ЭЦП сообщений и пакетов с конфиденциальной информацией, генерации хэша паролей. Наша компания имеет 3 лицензии ФСБ на разработку, распространение и обслуживание СКЗИ.<br /><br />Прошу прояснить некоторые моменты:<br /><br />1. Наша компания имеет указанные лицензии ФСБ, означает ли это то, что проверка встраивания не нужна? (СКЗИ класса КС1 и КС2)<br />2. "Методика и программа контроля встраивания криптосредства разрабатываются и (или) обосновываются специализированной организацией, проводящей тематические исследования криптосредства, и согласовываются с ФСБ России" Что за организации? Где можно подробнее узнать о порядке выполнения контроля встраивания. Может ли наша компания участвовать в работах по контролю?<br />3. Куда обращаться в ФСБ для решения вопросов по контролю?<br /></td></tr></table>2012-04-06T22:06:48+03:002012-04-06T22:06:48+03:00johnbull<table class="content postContainer" width="100%"><tr><td>Здравствуйте.<br /><br />Наша компания выполняет разработку АС с применением Крипто ПРО CSP 3.6 R2, Заказчик - госорганизация, обработка конфиденциальной информации. СКЗИ используется для ЭЦП сообщений и пакетов с конфиденциальной информацией, генерации хэша паролей. Наша компания имеет 3 лицензии ФСБ на разработку, распространение и обслуживание СКЗИ.<br /><br />Прошу прояснить некоторые моменты:<br /><br />1. Наша компания имеет указанные лицензии ФСБ, означает ли это то, что проверка встраивания не нужна? (СКЗИ класса КС1 и КС2)<br />2. "Методика и программа контроля встраивания криптосредства разрабатываются и (или) обосновываются специализированной организацией, проводящей тематические исследования криптосредства, и согласовываются с ФСБ России" Что за организации? Где можно подробнее узнать о порядке выполнения контроля встраивания. Может ли наша компания участвовать в работах по контролю?<br />3. Куда обращаться в ФСБ для решения вопросов по контролю?<br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid24147:1контроль корректности встраивания<table class="content postContainer_Alt" width="100%"><tr><td>Согласно части 1 статьи 2 Гражданского кодекса, (цитирую) предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке.<br /><br />Таким образом, налицо противоречие в двух законах: 99-ФЗ и Гражданский кодекс. <br /><br />Если Вы посмотрите обзор судебной практике, то увидите, что решения принимаются в пользу Кодекса.<br />Как доктор Вам говорю: не бойтесь! Никто Вас и Вашего руководителя организации не будет привлекать к ответственности за отсутвие лицензии в этом случае. Правда на Вашей стороне. Можете спросить об этом своих юристов и они подтвердят.</td></tr></table>2012-02-24T19:37:34+03:002012-02-24T19:37:34+03:00Юрий Маслов<table class="content postContainer_Alt" width="100%"><tr><td>Согласно части 1 статьи 2 Гражданского кодекса, (цитирую) предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке.<br /><br />Таким образом, налицо противоречие в двух законах: 99-ФЗ и Гражданский кодекс. <br /><br />Если Вы посмотрите обзор судебной практике, то увидите, что решения принимаются в пользу Кодекса.<br />Как доктор Вам говорю: не бойтесь! Никто Вас и Вашего руководителя организации не будет привлекать к ответственности за отсутвие лицензии в этом случае. Правда на Вашей стороне. Можете спросить об этом своих юристов и они подтвердят.</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid24143:1контроль корректности встраивания<table class="content postContainer" width="100%"><tr><td>Про незаконное предпринимательство - вспомнились споры о том, необходимо ли получать лицензию на деятельность по ТЗКИ, когда защита проводится для себя :)</td></tr></table>2012-02-24T18:10:55+03:002012-02-24T18:10:55+03:00Kalinka<table class="content postContainer" width="100%"><tr><td>Про незаконное предпринимательство - вспомнились споры о том, необходимо ли получать лицензию на деятельность по ТЗКИ, когда защита проводится для себя :)</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid24142:1контроль корректности встраивания<table class="content postContainer_Alt" width="100%"><tr><td>создаём ПО для своих нужд<br />но, к сожалению, в 99-ФЗ деление на собственные нужды и не собственные относится только к техническому обслуживанию ...</td></tr></table>2012-02-24T18:08:34+03:002012-02-24T18:08:34+03:00Kalinka<table class="content postContainer_Alt" width="100%"><tr><td>создаём ПО для своих нужд<br />но, к сожалению, в 99-ФЗ деление на собственные нужды и не собственные относится только к техническому обслуживанию ...</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid24141:1контроль корректности встраивания<table class="content postContainer" width="100%"><tr><td>А это уже не имеет отношение к встраиванию как таковоу или контролю встраивания. Это относится к статье 171 "незаконное предпринимательство" Уголовного кодекса РФ. Цитирую: Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна. Ибо Вы не встраиваете, а разрабатываете защищенную с использованием шифровальных (криптографических) средств информационную систему. Такая деятельность подлежит обязательному лицензированию в соответствии с частью 1 статьи 12 Федерального закона 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности". Читайте об этой лицензии тут <a rel="nofollow" href="http://www.cryptopro.ru/forum2/Default.aspx?g=posts&m=6712&#6712" title="http://www.cryptopro.ru/forum2/Default.aspx?g=posts&m=6712&#6712">http://www.cryptopro.ru/...sts&m=6712&#6712</a> <br /><br />Так что если Вам не хочется получать такую лимцензию и Вашему директору не хочется, что бы его стремали по 171 статье, Вам нужно подумать... Вы сами будете эксплуатировать эту информационную систему. Т.е. сами создаёте и сами эксплуатируете? Если да, то Вам лицензия не нужна. Или Вы делаете под заказ?<br /><br /></td></tr></table>2012-02-24T18:02:19+03:002012-02-24T18:02:19+03:00Юрий Маслов<table class="content postContainer" width="100%"><tr><td>А это уже не имеет отношение к встраиванию как таковоу или контролю встраивания. Это относится к статье 171 "незаконное предпринимательство" Уголовного кодекса РФ. Цитирую: Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна. Ибо Вы не встраиваете, а разрабатываете защищенную с использованием шифровальных (криптографических) средств информационную систему. Такая деятельность подлежит обязательному лицензированию в соответствии с частью 1 статьи 12 Федерального закона 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности". Читайте об этой лицензии тут <a rel="nofollow" href="http://www.cryptopro.ru/forum2/Default.aspx?g=posts&m=6712&#6712" title="http://www.cryptopro.ru/forum2/Default.aspx?g=posts&m=6712&#6712">http://www.cryptopro.ru/...sts&m=6712&#6712</a> <br /><br />Так что если Вам не хочется получать такую лимцензию и Вашему директору не хочется, что бы его стремали по 171 статье, Вам нужно подумать... Вы сами будете эксплуатировать эту информационную систему. Т.е. сами создаёте и сами эксплуатируете? Если да, то Вам лицензия не нужна. Или Вы делаете под заказ?<br /><br /></td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid24140:1контроль корректности встраивания<table class="content postContainer_Alt" width="100%"><tr><td>да, по МУ, включающей МН, у нас КС2<br /><br />теперь меня смущает след пункт :<br /><br />5.2. Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо<br />самим пользователем криптосредства при наличии соответствующей лицензии ФСБ<br />России, либо организацией, имеющей соответствующую лицензию ФСБ России.<br /><br />У нас такой лицензии нет, и получать её очень не хочется<br />Для того, чтоб не получать ее, нужно отойти от термина "встраивание", что я пытаюсь сделать :)</td></tr></table>2012-02-24T17:42:52+03:002012-02-24T17:42:52+03:00Kalinka<table class="content postContainer_Alt" width="100%"><tr><td>да, по МУ, включающей МН, у нас КС2<br /><br />теперь меня смущает след пункт :<br /><br />5.2. Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо<br />самим пользователем криптосредства при наличии соответствующей лицензии ФСБ<br />России, либо организацией, имеющей соответствующую лицензию ФСБ России.<br /><br />У нас такой лицензии нет, и получать её очень не хочется<br />Для того, чтоб не получать ее, нужно отойти от термина "встраивание", что я пытаюсь сделать :)</td></tr></table>urn:https:--www-cryptopro-ru:ftPosts:st1:meid24139:1контроль корректности встраивания<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Kalinka написал:</span><blockquote>ПКЗ 2005<br />3. Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:<br />- если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;<br /><br />Мы не гос орган и не ГИС, но мы защищаем ПДн<br />Получается с этой стороны тоже не зайти ....<br /></div></div><br /><br />Всё нормально!<br /><br />Согласно части 4 статьи 19 Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных", состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.<br /><br />В соответствии со статьёй 2 Федерального закона от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности» федеральным органом исполнительной власти в области обеспечения безопасности определена ФСБ России.<br /><br />Во исполнение Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных" подготовлены "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждённые руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144.<br /><br />В соответствии с пунктом 5.1 указанных выше "Методических рекомендаций..." (цитирую) "Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).".<br /><br />Таким образом, если у Вас есть утверждённая оператором ИСПДн модель угроз и модель нарушите, которая определяет, что Вы используете для защиты ПДн СКЗИ класса КС1 или КС2, то Вы контроль встраивания в ФСБ НЕ ПРОИЗВОДИТЕ!<br /><br />Убедил? :-)<br /><br /> <br /><br /></td></tr></table>2012-02-24T17:34:18+03:002012-02-24T17:34:18+03:00Юрий Маслов<table class="content postContainer" width="100%"><tr><td><div class="quote"><span class="quotetitle">Kalinka написал:</span><blockquote>ПКЗ 2005<br />3. Настоящим Положением необходимо руководствоваться при разработке, производстве, реализации и эксплуатации средств криптографической защиты информации конфиденциального характера в следующих случаях:<br />- если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;<br /><br />Мы не гос орган и не ГИС, но мы защищаем ПДн<br />Получается с этой стороны тоже не зайти ....<br /></div></div><br /><br />Всё нормально!<br /><br />Согласно части 4 статьи 19 Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных", состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.<br /><br />В соответствии со статьёй 2 Федерального закона от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности» федеральным органом исполнительной власти в области обеспечения безопасности определена ФСБ России.<br /><br />Во исполнение Федерального закона 27 июля 2006 года N 152-ФЗ "О персональных данных" подготовлены "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", утверждённые руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144.<br /><br />В соответствии с пунктом 5.1 указанных выше "Методических рекомендаций..." (цитирую) "Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).".<br /><br />Таким образом, если у Вас есть утверждённая оператором ИСПДн модель угроз и модель нарушите, которая определяет, что Вы используете для защиты ПДн СКЗИ класса КС1 или КС2, то Вы контроль встраивания в ФСБ НЕ ПРОИЗВОДИТЕ!<br /><br />Убедил? :-)<br /><br /> <br /><br /></td></tr></table>