Автор: Vlad | 102397 | 27.09.2018 10:55 |
Всем доброго времени суток!
Коллеги, напишите, пожалуйста, как вы проводите оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований? Допустим, разрабатывается прикладная система, в которую нужно встроить СКЗИ КриптоПро CSP для работы с электронной подписью. Согласно формуляра на СКЗИ, нужно проводить указанную оценку влияния, но как делается эта оценка не указано. Между тем, есть информационное сообщение ФСБ "О неукоснительном соблюдении операторами персональных данных требований формуляров на СКЗИ" (источник: |
Автор: ustav | 102403 | 27.09.2018 13:17 |
Идёте на поклон в КриптоПро, совместно с ними разрабатываете ТЗ на "встраивание", потом ТЗ согласуете с 8 Центром ФСБ - в случае успеха, передаете код в "специализированную организацию" ;)
|
Автор: Андрей, ООО "АНСЕР ПРО" | 105518 | 09.01.2019 17:42 |
Для проведения оценки влияния не требуется обращаться к разработчику СКЗИ. Сами тоже сделать не можете. Весь необходимый комлекс работ проводит аккредитованная ФСБ лаборатория. Сначала совместно с Вами подготавливается ТЗ, далее лаборатория готовит Программу и методику испытаний и Отчет. На основании последнего документа ФСБ пишет Заключение. И выписку из Заключения передает Вам. Выписка и является документом, на основании которого вы можете эксплуатировать Вашу систему. Список лабораторий можно посмотреть на официально сайте ФСБ:
|
Автор: oko | 105539 | 11.01.2019 13:08 |
*в сторону*
Понаберут в Дозор слепых, глухих, читать не умеющих... (с) to Vlad Причем тут <т.к. разработчик СКЗИ ... и разработчик прикладной системы ... - это разные сущности>? Вам регулятор явно говорит: разработчик СКЗИ и спец.организация занимаются проведением оценки влияния СФ. Разработчик прикладной системы должен ориентироваться только на параметры, указанные в формуляре, который формируется по результатам проведения оценки влияния (и получения положительного заключения 8 Центра, ага)... Сиречь, если в формуляре на СКЗИ имеется указание "применять только с ОС XXXX совместно с СЗИ YYYY" (например), то так разработчик прикладной системы и должен поступать. В противном случае (с другой ОС, с другими или без СЗИ, например), применение СКЗИ будет некорректным и, следовательно, регулятор имеет право за это вкатать Акт нарушений... Для наглядности, посмотрите сайт МагПро. Там разработчики СКЗИ четко указывают, для каких СФ их продукт сохраняет действительность выданного сертификата соответствия. Если разработчики "вашего" СКЗИ в формуляре или иных документах такого не указывали - юзайте СКЗИ (встраивайте его в свою систему) при любых условиях. Но, справедливости ради, такого (отсутствия ограничений) не бывает - советую для начала хорошенько попинать-таки разработчиков СКЗИ. Дабы не наколоться в будущем, ага... |
Автор: Георгий, РТК | 108422 | 20.08.2020 15:53 |
Подскажите как проводятся исследования оценки влияния на СКЗИ совместно функционирующего с СКЗИ ПО по документированным возможностям?
И если клиент прикладного ПО после подключения к серверу дополнительно скачивает необходимые для работы данные, это нарушает исходные данные для исследования? |
Автор: Ирина Р | 109389 | 22.07.2021 15:30 |
Подскажите, пожалуйста,У нас есть программа(web). Пользователь работает через браузер, в котором установлен КриптоПро ЭЦП Browser plug-in. Пользователь открывает программу и там есть кнопка для подписи файла. Программа через КриптоПро ЭЦП Browser plug-in отравляет запрос на подпись файла и файл подписывается у клиента использую крипто про csp.
Вопрос - надо ли проводить оценку влияния или нет, поскольку программа напрямую не взаимодействует с СКЗИ крипто про, только через сертифицированный КриптоПро ЭЦП Browser plug-in, коотрый не является СКЗИ. Если да - то почему? |
Автор: Петр | 110482 | 20.10.2022 12:47 |
Подскажите, пожалуйста, в какой раздел ТЗ на систему защиты информации ГИС необходимо включать работы по оценке влияния? Может кто-то это уже делал для своего ТЗ ?
|
Просмотров темы: 5402