Контакты
Подписка
МЕНЮ
Контакты
Подписка

Оценка влияния среды функционирования СКЗИ - Форум по вопросам информационной безопасности

Оценка влияния среды функционирования СКЗИ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Vlad | 102397 27.09.2018 10:55
Всем доброго времени суток!

Коллеги, напишите, пожалуйста, как вы проводите оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований?

Допустим, разрабатывается прикладная система, в которую нужно встроить СКЗИ КриптоПро CSP для работы с электронной подписью. Согласно формуляра на СКЗИ, нужно проводить указанную оценку влияния, но как делается эта оценка не указано. Между тем, есть информационное сообщение ФСБ "О неукоснительном соблюдении операторами персональных данных требований формуляров на СКЗИ" (источник: http://www.fsb.ru/fsb/science/single.htm%21id%3D10437494%40fsbResearchart.html ), в котором написано, что оценка влияния осуществляется разработчиком СКЗИ совместно со специализированной организацией. Последнее непонятно, т.к. разработчик СКЗИ (например, того же КриптоПро CSP) и разработчик прикладной системы, в которую встраивается СКЗИ - это разные сущности и, следовательно, неясно, кто должен делать оценку. Непонятно, может ли организация, разрабатывающая прикладную систему и встраивающая СКЗИ, имея соответствующую лицензию ФСБ, сама проводить оценку, без привлечения разработчика СКЗИ и некой специализированной организацией? Если может, то как это делать, на основании каких методических документов?

Автор: ustav | 102403 27.09.2018 13:17
Идёте на поклон в КриптоПро, совместно с ними разрабатываете ТЗ на "встраивание", потом ТЗ согласуете с 8 Центром ФСБ - в случае успеха, передаете код в "специализированную организацию" ;)
Прошло несколько месяцев

Автор: Андрей, ООО "АНСЕР ПРО" | 105518 09.01.2019 17:42
Для проведения оценки влияния не требуется обращаться к разработчику СКЗИ. Сами тоже сделать не можете. Весь необходимый комлекс работ проводит аккредитованная ФСБ лаборатория. Сначала совместно с Вами подготавливается ТЗ, далее лаборатория готовит Программу и методику испытаний и Отчет. На основании последнего документа ФСБ пишет Заключение. И выписку из Заключения передает Вам. Выписка и является документом, на основании которого вы можете эксплуатировать Вашу систему. Список лабораторий можно посмотреть на официально сайте ФСБ: http://clsz.fsb.ru/accred.htm или обратиться в нашу лабораторию ООО "АНСЕР ПРО": https://answerpro.ru/services/security/fsb-lab/#services

Автор: oko | 105539 11.01.2019 13:08
*в сторону*
Понаберут в Дозор слепых, глухих, читать не умеющих... (с)

to Vlad
Причем тут <т.к. разработчик СКЗИ ... и разработчик прикладной системы ... - это разные сущности>? Вам регулятор явно говорит: разработчик СКЗИ и спец.организация занимаются проведением оценки влияния СФ. Разработчик прикладной системы должен ориентироваться только на параметры, указанные в формуляре, который формируется по результатам проведения оценки влияния (и получения положительного заключения 8 Центра, ага)...
Сиречь, если в формуляре на СКЗИ имеется указание "применять только с ОС XXXX совместно с СЗИ YYYY" (например), то так разработчик прикладной системы и должен поступать. В противном случае (с другой ОС, с другими или без СЗИ, например), применение СКЗИ будет некорректным и, следовательно, регулятор имеет право за это вкатать Акт нарушений...
Для наглядности, посмотрите сайт МагПро. Там разработчики СКЗИ четко указывают, для каких СФ их продукт сохраняет действительность выданного сертификата соответствия. Если разработчики "вашего" СКЗИ в формуляре или иных документах такого не указывали - юзайте СКЗИ (встраивайте его в свою систему) при любых условиях. Но, справедливости ради, такого (отсутствия ограничений) не бывает - советую для начала хорошенько попинать-таки разработчиков СКЗИ. Дабы не наколоться в будущем, ага...
Прошла пара лет

Автор: Георгий, РТК | 108422 20.08.2020 15:53
Подскажите как проводятся исследования оценки влияния на СКЗИ совместно функционирующего с СКЗИ ПО по документированным возможностям?
И если клиент прикладного ПО после подключения к серверу дополнительно скачивает необходимые для работы данные, это нарушает исходные данные для исследования?
Прошло несколько месяцев

Автор: Ирина Р | 109389 22.07.2021 15:30
Подскажите, пожалуйста,У нас есть программа(web). Пользователь работает через браузер, в котором установлен КриптоПро ЭЦП Browser plug-in. Пользователь открывает программу и там есть кнопка для подписи файла. Программа через КриптоПро ЭЦП Browser plug-in отравляет запрос на подпись файла и файл подписывается у клиента использую крипто про csp.
Вопрос - надо ли проводить оценку влияния или нет, поскольку программа напрямую не взаимодействует с СКЗИ крипто про, только через сертифицированный КриптоПро ЭЦП Browser plug-in, коотрый не является СКЗИ. Если да - то почему?
Прошла пара лет

Автор: Петр | 110482 20.10.2022 12:47
Подскажите, пожалуйста, в какой раздел ТЗ на систему защиты информации ГИС необходимо включать работы по оценке влияния? Может кто-то это уже делал для своего ТЗ ?

Просмотров темы: 6200

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*