Контакты
Подписка
МЕНЮ
Контакты
Подписка

Сертифицированные СКЗИ для ГИС - Форум по вопросам информационной безопасности

Сертифицированные СКЗИ для ГИС - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Валерий | 109823 24.02.2022 18:13
Добрый день, коллеги!
Подскажите, а чем регламентировано использование сертифицированных СКЗИ при использовании ГИС ? Именно сертифицированных.
Нужно ли вообще сертифицированные использовать ?

Автор: Денис | 109825 25.02.2022 15:42
1. Мера ЗИС.3 приказа № 17 ФСТЭК России. Там это говорится.
2. Приказ ФСБ России № 378. Пункт 5-г.

Это из того, что вспомнило с ходов.
А вообще запомните - в ГИС только сертифицированные ФСТЭК (ФСБ - криптография) СрЗИ. Иначе никак.

Автор: oko | 109826 26.02.2022 00:41
*в сторону*
А у нас разве нечто, не имеющее сертификата соответствия, вообще может называться СКЗИ? Не шифровальным средством, не криптографическим средством, не водой на киселе, а именно "средством криптографической защиты информации"? Но это так, именно что в сторону...

Так-то, насколько помню, прямого требования использования криптухи с сертификатом ФСБ России именно в ГИС нет. Приказы ФСТЭК вообще мимо (именно там явно про сертификацию), поскольку они криптографии не касаются. Однако... если ГИС попадает под 676 Постановление Правительства, то без сертифицированных СКЗИ будет, мягко говоря, крайне сложно что-либо согласовать. При условии, что вообще необходимо использовать криптографию, конечно...
А так, с 2020 г. ждем Приказ ФСБ России в части ГИС (аля 378 Приказ для ИСПДн). Там и про сертификацию имеется, и про классы, и про все остальное... Жаль, правда, что обещанного три года ждут, ага...

Автор: СМ | 109827 26.02.2022 18:10
to Валерий

Нормативными документами ФСБ России СКЗИ разделяются по виду защищаемой ими информации - гостайна или "не гостайна" (информация, не содержащая сведений, составляющей государственную тайну). И не зависят от вида информационной системы: ГИС или не ГИС. Общее ведомственное требование для СКЗИ это проведение процедуры оценки соответствия в единственной форме - сертификации.
Основными документами здесь являются для гостайны - приказ от 13 ноября 1999 года № 564, а для сведений, относящимся к "не гостайне", это приказ от 9 февраля 2005 года № 66. В этих же документах прописаны виды средств, которые ведомством отнесены к СКЗИ и на которые, соответственно, распространяется сертификация.

Для ГИСов куда более интересен вопрос выбора и обоснования класса применяемого СКЗИ, а не его сертификация. Например, если в ГИС есть персональные данные, то "Составом и содержанием мер...", утвержденным приказом от 10 июля 2014 года № 378, выбор класса СКЗИ уже "сделан за вас". А в отношении других защищаемых "не гостайновских" сведений - обосновывается самостоятельно. Как правило, это делают в Модели угроз на создаваемую систему или определяют в соглашении информационного взаимодействия между Вашей ГИС и иной ИС.

Просмотров темы: 830

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*