Контакты
Подписка
МЕНЮ
Контакты
Подписка

Оценка влияния среды функционирования СКЗИ - Форум по вопросам информационной безопасности

Оценка влияния среды функционирования СКЗИ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Vlad | 102397 27.09.2018 10:55
Всем доброго времени суток!

Коллеги, напишите, пожалуйста, как вы проводите оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований?

Допустим, разрабатывается прикладная система, в которую нужно встроить СКЗИ КриптоПро CSP для работы с электронной подписью. Согласно формуляра на СКЗИ, нужно проводить указанную оценку влияния, но как делается эта оценка не указано. Между тем, есть информационное сообщение ФСБ "О неукоснительном соблюдении операторами персональных данных требований формуляров на СКЗИ" (источник: http://www.fsb.ru/fsb/science/single.htm%21id%3D10437494%40fsbResearchart.html ), в котором написано, что оценка влияния осуществляется разработчиком СКЗИ совместно со специализированной организацией. Последнее непонятно, т.к. разработчик СКЗИ (например, того же КриптоПро CSP) и разработчик прикладной системы, в которую встраивается СКЗИ - это разные сущности и, следовательно, неясно, кто должен делать оценку. Непонятно, может ли организация, разрабатывающая прикладную систему и встраивающая СКЗИ, имея соответствующую лицензию ФСБ, сама проводить оценку, без привлечения разработчика СКЗИ и некой специализированной организацией? Если может, то как это делать, на основании каких методических документов?

Автор: ustav | 102403 27.09.2018 13:17
Идёте на поклон в КриптоПро, совместно с ними разрабатываете ТЗ на "встраивание", потом ТЗ согласуете с 8 Центром ФСБ - в случае успеха, передаете код в "специализированную организацию" ;)
Прошло несколько месяцев

Автор: Андрей, ООО "АНСЕР ПРО" | 105518 09.01.2019 17:42
Для проведения оценки влияния не требуется обращаться к разработчику СКЗИ. Сами тоже сделать не можете. Весь необходимый комлекс работ проводит аккредитованная ФСБ лаборатория. Сначала совместно с Вами подготавливается ТЗ, далее лаборатория готовит Программу и методику испытаний и Отчет. На основании последнего документа ФСБ пишет Заключение. И выписку из Заключения передает Вам. Выписка и является документом, на основании которого вы можете эксплуатировать Вашу систему. Список лабораторий можно посмотреть на официально сайте ФСБ: http://clsz.fsb.ru/accred.htm или обратиться в нашу лабораторию ООО "АНСЕР ПРО": https://answerpro.ru/services/security/fsb-lab/#services

Автор: oko | 105539 11.01.2019 13:08
*в сторону*
Понаберут в Дозор слепых, глухих, читать не умеющих... (с)

to Vlad
Причем тут <т.к. разработчик СКЗИ ... и разработчик прикладной системы ... - это разные сущности>? Вам регулятор явно говорит: разработчик СКЗИ и спец.организация занимаются проведением оценки влияния СФ. Разработчик прикладной системы должен ориентироваться только на параметры, указанные в формуляре, который формируется по результатам проведения оценки влияния (и получения положительного заключения 8 Центра, ага)...
Сиречь, если в формуляре на СКЗИ имеется указание "применять только с ОС XXXX совместно с СЗИ YYYY" (например), то так разработчик прикладной системы и должен поступать. В противном случае (с другой ОС, с другими или без СЗИ, например), применение СКЗИ будет некорректным и, следовательно, регулятор имеет право за это вкатать Акт нарушений...
Для наглядности, посмотрите сайт МагПро. Там разработчики СКЗИ четко указывают, для каких СФ их продукт сохраняет действительность выданного сертификата соответствия. Если разработчики "вашего" СКЗИ в формуляре или иных документах такого не указывали - юзайте СКЗИ (встраивайте его в свою систему) при любых условиях. Но, справедливости ради, такого (отсутствия ограничений) не бывает - советую для начала хорошенько попинать-таки разработчиков СКЗИ. Дабы не наколоться в будущем, ага...

Просмотров темы: 747

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код: