Оценка влияния среды функционирования СКЗИ - Форум по вопросам информационной безопасности

Всем доброго времени суток!

Коллеги, напишите, пожалуйста, как вы проводите оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований?

Допустим, разрабатывается прикладная система, в которую нужно встроить СКЗИ КриптоПро CSP для работы с электронной подписью. Согласно формуляра на СКЗИ, нужно проводить указанную оценку влияния, но как делается эта оценка не указано. Между тем, есть информационное сообщение ФСБ "О неукоснительном соблюдении операторами персональных данных требований формуляров на СКЗИ" (источник: http://www.fsb.ru/fsb/science/single.htm%21id%3D10437494%40fsbResearchart.html ), в котором написано, что оценка влияния осуществляется разработчиком СКЗИ совместно со специализированной организацией. Последнее непонятно, т.к. разработчик СКЗИ (например, того же КриптоПро CSP) и разработчик прикладной системы, в которую встраивается СКЗИ - это разные сущности и, следовательно, неясно, кто должен делать оценку. Непонятно, может ли организация, разрабатывающая прикладную систему и встраивающая СКЗИ, имея соответствующую лицензию ФСБ, сама проводить оценку, без привлечения разработчика СКЗИ и некой специализированной организацией? Если может, то как это делать, на основании каких методических документов?

Идёте на поклон в КриптоПро, совместно с ними разрабатываете ТЗ на "встраивание", потом ТЗ согласуете с 8 Центром ФСБ - в случае успеха, передаете код в "специализированную организацию" ;)

Для проведения оценки влияния не требуется обращаться к разработчику СКЗИ. Сами тоже сделать не можете. Весь необходимый комлекс работ проводит аккредитованная ФСБ лаборатория. Сначала совместно с Вами подготавливается ТЗ, далее лаборатория готовит Программу и методику испытаний и Отчет. На основании последнего документа ФСБ пишет Заключение. И выписку из Заключения передает Вам. Выписка и является документом, на основании которого вы можете эксплуатировать Вашу систему. Список лабораторий можно посмотреть на официально сайте ФСБ: http://clsz.fsb.ru/accred.htm или обратиться в нашу лабораторию ООО "АНСЕР ПРО": https://answerpro.ru/services/security/fsb-lab/#services

*в сторону*
Понаберут в Дозор слепых, глухих, читать не умеющих... (с)

to Vlad
Причем тут <т.к. разработчик СКЗИ ... и разработчик прикладной системы ... - это разные сущности>? Вам регулятор явно говорит: разработчик СКЗИ и спец.организация занимаются проведением оценки влияния СФ. Разработчик прикладной системы должен ориентироваться только на параметры, указанные в формуляре, который формируется по результатам проведения оценки влияния (и получения положительного заключения 8 Центра, ага)...
Сиречь, если в формуляре на СКЗИ имеется указание "применять только с ОС XXXX совместно с СЗИ YYYY" (например), то так разработчик прикладной системы и должен поступать. В противном случае (с другой ОС, с другими или без СЗИ, например), применение СКЗИ будет некорректным и, следовательно, регулятор имеет право за это вкатать Акт нарушений...
Для наглядности, посмотрите сайт МагПро. Там разработчики СКЗИ четко указывают, для каких СФ их продукт сохраняет действительность выданного сертификата соответствия. Если разработчики "вашего" СКЗИ в формуляре или иных документах такого не указывали - юзайте СКЗИ (встраивайте его в свою систему) при любых условиях. Но, справедливости ради, такого (отсутствия ограничений) не бывает - советую для начала хорошенько попинать-таки разработчиков СКЗИ. Дабы не наколоться в будущем, ага...

Подскажите как проводятся исследования оценки влияния на СКЗИ совместно функционирующего с СКЗИ ПО по документированным возможностям?
И если клиент прикладного ПО после подключения к серверу дополнительно скачивает необходимые для работы данные, это нарушает исходные данные для исследования?

Подскажите, пожалуйста,У нас есть программа(web). Пользователь работает через браузер, в котором установлен КриптоПро ЭЦП Browser plug-in. Пользователь открывает программу и там есть кнопка для подписи файла. Программа через КриптоПро ЭЦП Browser plug-in отравляет запрос на подпись файла и файл подписывается у клиента использую крипто про csp.
Вопрос - надо ли проводить оценку влияния или нет, поскольку программа напрямую не взаимодействует с СКЗИ крипто про, только через сертифицированный КриптоПро ЭЦП Browser plug-in, коотрый не является СКЗИ. Если да - то почему?

Подскажите, пожалуйста, в какой раздел ТЗ на систему защиты информации ГИС необходимо включать работы по оценке влияния? Может кто-то это уже делал для своего ТЗ ?