Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

GDPR: Новые правила обработки персональных данных в EU

15/06/2018

Все слышали о General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679), который вступил в силу 25 мая 2018 года. Штрафы большие и придётся соответствовать. Как и любой официальный документ, он написан сухо и может трактоваться по-разному.

Реклама

Партнеры

Лаборатория кибербезопасности







Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2
RSS
[ Закрыто ] VPN для Linux
Цитата
Михаил пишет:
А вот кстати Вам и всем остальным пример того как должен быть осуществлен контроль встраивания СКЗИ в ПО

www.security.ru

Вам, организация, осуществившая установку и настройку Open-VPN выдала подобный документ? Пусть без согласования ФСБ, но документ, подтверждающий отсутствие влияния ПО на СКЗИ должен быть.

Михаил, а можно по-подробнее про "пусть без согласования ФСБ"? Раньше Вы писали, что моего честного слова Вам недостаточно. Я Вас правильно понял, что теперь Вы готовы удовлетвориться документом за моей подписью и не будете требовать одобрительного кивка ФСБ? Если так, то в чем проблема, я с удовольствием напишу и Вам, и всем желающим письмо о том, что мы провели встраивание сертифицированного СКЗИ "МагПро КриптоПакет" в ПО OpenVPN в полном соответствии с документацией на СКЗИ и что указанное ПО не оказывает негативного влиния на СКЗИ.
Здравствуйте, Игорь. Моя позиция не изменилась, технически Ваши объяснения лично меня удовлетворили (о чем я кстати сразу писал), но на запрос регулятор ничего не ответил. Из-за специфики своих проектов я не могу себе позволить находиться в ситуации, когда не знаю, что от меня может потребовать регулятор. Другие, как я уже писал, пусть решают сами и могут попробовать, если Вы готовы выдавать такой документ на официальном уровне.

Ей богу, получили бы Вы сертификат или прошли оценку влияния под контролем ФСБ - это просто сняло бы все вопросы. Понимаю, что это труднореализуемо, но ведь возможно.
Изменено: Михаил - 06.11.2012 22:59:44
Здравствуйте, Михаил!

Цитата
Михаил пишет:
Здравствуйте, Игорь. Моя позиция не изменилась, технически Ваши объяснения лично меня удовлетворили (о чем я кстати сразу писал), но на запрос регулятор ничего не ответил. Из-за специфики своих проектов я не могу себе позволить находиться в ситуации, когда не знаю, что от меня может потребовать регулятор. Другие, как я уже писал, пусть решают сами и могут попробовать, если Вы готовы выдавать такой документ на официальном уровне.

Ей богу, получили бы Вы сертификат или прошли оценку влияния под контролем ФСБ - это просто сняло бы все вопросы. Понимаю, что это труднореализуемо, но ведь возможно.
Одно я не могу понять: почему Вы считаете, что бумажка на OpenVPN снимет какие-то вопросы, тем более все. Вы ведь сами совершенно справедливо пишете, что заранее неизвестно, что от вас потребует регулятор, почему же Вы сосредоточились именно на встраивании СКЗИ в OpenVPN?
Вот представим, приходит к Вам проверяющий и начинает задавать вопросы по списку:
Он: А какое у Вас СКЗИ используется для защиты данных?
Вы: МагПро КриптоПакет, вот формуляр, вот сертификат.
Он: А встраивание?
Вы: проводилось без контроля со тороны ФСБ на основании "Методических рекомендаций".
Дальше два варианта. Если проверяющий настроен благожелательно, он ответит: "Угу, ставим плюсик, переходим к следующему вопросу". Если же у него недовыполнен план по штрафам, он начнет убеждать Вас, что в Ваш ответ неправильный. Не знаю, какие аргументы он будет приводить, но если Вы не сумеете отбиться, что Вам понадобится оценка влияния на СКЗИ... внимание, вопрос: чего? Ответ: вовсе не OpenVPN, а, согласно ПКЗ-2005, аппаратных, программно-аппаратных и программных средств, совместно с которыми предполагается штатное функционирование СКЗИ. То есть всей Вашей информационной системы. И чем Вам бумажка на OpenVPN в это случае поможет?
Подождите, Игорь, давайте определимся с хронологией событий.
Я с самого начала говорил, что OpenVPN ГОСТ необходимо иметь именно сертификат ФСБ. Вы и Ваши представители меня убеждали, что никаких криптографических операций данное ПО не выполняет, а только передает запросы на создание SSL-соединений и закидывает данные в них. Технически я это понимаю и соглашаюсь, хотя вопрос с туннелированием произвольного трафика остается открытым (является ли это признаком сложности системы и определяет ли необходимость сертификации как в случае с IPSEC), но мне нужно было знать как к этой позиции относится регулятор. Поэтому я написал запрос в ФСБ с описанием проблемы. Ответа не получил. Для меня неполучение ответа равнозначно отрицательному, поэтому лично для себя я принял решение этот продукт в своих проектах не использовать пока не будет сертификата ФСБ.
Другим я написал, хотите на свой страх и риск попробовать пожалуйста и описал какой позиции, если уж решатся, следует придерживаться - давить на достаточность оценки влияния без контроля со стороны ФСБ. Я просто описал защитную стратегию для этого варианта событий.

По поводу


Цитата
Игорь Устинов пишет:
Ответ: вовсе не OpenVPN, а, согласно ПКЗ-2005, аппаратных, программно-аппаратных и программных средств, совместно с которыми предполагается штатное функционирование СКЗИ. То есть всей Вашей информационной системы.

Давайте разберем общий случай. Для защиты ПД я руководствуюсь Методическими рекомендациями ФСБ (кстати с опубликованием ПП1119 они вроде как потеряли силу, но пока не берем этот момент в расчет). Там сказано, что контроль встраивания для КС1, КС2 может осуществлять организация с соответствующей лицензией ФСБ без контроля ФСБ. И именно эта организация определяет с каким ПО совместно функционирует мое СКЗИ и дает мне в итоге положительное заключение, что СКЗИ с этим ПО взаимодействует без потери защитных свойств - на основании чего у ФСБ могут быть ко мне претензии? Организация с соответствующим правом официальных заключений и с правом делать это без контроля ФСБ дало мне официальную бумагу, мне её достаточно, и регулятор не вправе требовать от меня большего. Если ФСБ считает иначе, то пусть судится. Оператор все требования выполнил.
Для случая с Open VPN ГОСТ критическим является следующий момент - достаточно ли для такого типа ПО оценки влияния или нужна сертификация. Запрос об этом я и писал в ФСБ (см. выше). Пока ответа нет, лично я считаю, что оценки влияния недостаточно. Другие могут считать иначе.
Изменено: Михаил - 10.11.2012 22:07:53
Цитата
Михаил пишет:
Подождите, Игорь, давайте определимся с хронологией событий.
Я с самого начала говорил, что OpenVPN ГОСТ необходимо иметь именно сертификат ФСБ. Вы и Ваши представители меня убеждали, что никаких криптографических операций данное ПО не выполняет, а только передает запросы на создание SSL-соединений и закидывает данные в них. Технически я это понимаю и соглашаюсь, хотя вопрос с туннелированием произвольного трафика остается открытым (является ли это признаком сложности системы и определяет ли необходимость сертификации как в случае с IPSEC), но мне нужно было знать как к этой позиции относится регулятор. Поэтому я написал запрос в ФСБ с описанием проблемы. Ответа не получил. Для меня неполучение ответа равнозначно отрицательному, поэтому лично для себя я принял решение этот продукт в своих проектах не использовать пока не будет сертификата ФСБ.
Другим я написал, хотите на свой страх и риск попробовать пожалуйста и описал какой позиции, если уж решатся, следует придерживаться - давить на достаточность оценки влияния без контроля со стороны ФСБ. Я просто описал защитную стратегию для этого варианта событий.

Как я уже писал, что использовать, а что не использовать, Вы вольны решать на основании чего угодно - положения звезд на небе, количества букв в моей фамилии, погоды в Австралии - никто Вам в ваших решения не указ. В данном случае, насколько я смог понять из всех Ваших сообщений, Вы не хотите использовать OpenVPN, потому что в его названии есть буквы VPN. Ну что ж, не хотите, так не хотите, насильно мил не будешь. Мне кажется, эту тему мы закрыли еще летом, зачем к ней возвращаться?

А если пойти дальше по хронологии, то Вы написали, что если бы мы "получили сертификат или прошли оценку влияния под контролем ФСБ - это просто сняло бы все вопросы". Я попросил Вас (и сейчас еще раз повторяю эту просьбу) объяснить, почему наличие бумаги именно на этот компонент Вашей информационной системы, с вашей точки зрения, снимет все вопросы.


Цитата
По поводу
Цитата
Игорь Устинов пишет:
Ответ: вовсе не OpenVPN, а, согласно ПКЗ-2005, аппаратных, программно-аппаратных и программных средств, совместно с которыми предполагается штатное функционирование СКЗИ. То есть всей Вашей информационной системы.

Давайте разберем общий случай. Для защиты ПД я руководствуюсь Методическими рекомендациями ФСБ (кстати с опубликованием ПП1119 они вроде как потеряли силу, но пока не берем этот момент в расчет).

ПП1119 признает утратившим силу только ПП 781, никаких других нормативных документов оно не отменяет. Положение о использовании средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, осталось, то есть предмет "Методических рекомендаций" не утратил актуальности. Так что не вижу никаких основания полагать, что "Методические рекомендации" потеряли силу.

Цитата
Там сказано, что контроль встраивания для КС1, КС2 может осуществлять организация с соответствующей лицензией ФСБ без контроля ФСБ. И именно эта организация определяет с каким ПО совместно функционирует мое СКЗИ и дает мне в итоге положительное заключение, что СКЗИ с этим ПО взаимодействует без потери защитных свойств - на основании чего у ФСБ могут быть ко мне претензии? Организация с соответствующим правом официальных заключений и с правом делать это без контроля ФСБ дало мне официальную бумагу, мне её достаточно, и регулятор не вправе требовать от меня большего. Если ФСБ считает иначе, то пусть судится. Оператор все требования выполнил.

Михаил, Вы как-то очень странно читаете нормативные документы. В "Методических рекомендациях" не сказано, что "контроль встраивания для КС1, КС2 может осуществлять организация с соответствующей лицензией ФСБ без контроля ФСБ". Там написано, что "встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России". А контроль без контроля - это, знаете ли, оксюморон какой-то. И, кстати, организаций "с соответствующим правом официальных заключений и с правом делать это без контроля ФСБ" не существует в природе.

Цитата

Для случая с Open VPN ГОСТ критическим является следующий момент - достаточно ли для такого типа ПО оценки влияния или нужна сертификация. Запрос об этом я и писал в ФСБ (см. выше). Пока ответа нет, лично я считаю, что оценки влияния недостаточно. Другие могут считать иначе.

И еще раз спрошу, почему Вы задаете этот вопрос только для OpenVPN? Я не знаю ничего про информационные системы, которые Вы создаете, но вряд ли это VPN ради VPN, у создаваемых Вами систем есть какие-то целевые функции, ради которых эти системы и создаются, и для выполнения этих функций используются какие-то программы. Почему Вы не тербуете сертификации этих программ? Чем они формально отличаются от OpenVPN? Почему именно к OpenVPN Вы столь неравнодушны? Только из-за трёх волшебных букв?
сбой
Изменено: Игорь Устинов - 12.11.2012 11:22:51
Цитата
Игорь Устинов пишет:
Как я уже писал, что использовать, а что не использовать, Вы вольны решать на основании чего угодно - положения звезд на небе, количества букв в моей фамилии, погоды в Австралии - никто Вам в ваших решения не указ. В данном случае, насколько я смог понять из всех Ваших сообщений, Вы не хотите использовать OpenVPN, потому что в его названии есть буквы VPN. Ну что ж, не хотите, так не хотите, насильно мил не будешь. Мне кажется, эту тему мы закрыли еще летом, зачем к ней возвращаться?
Так Вы сами меня спросили, почему я настаиваю на оценке влияния если раньше говорил о сертификации, я вам пояснил, что я имел ввиду. С этим моментом считаю закончили.



Цитата
Игорь Устинов пишет:
А если пойти дальше по хронологии, то Вы написали, что если бы мы "получили сертификат или прошли оценку влияния под контролем ФСБ - это просто сняло бы все вопросы". Я попросил Вас (и сейчас еще раз повторяю эту просьбу) объяснить, почему наличие бумаги именно на этот компонент Вашей информационной системы, с вашей точки зрения, снимет все вопросы.
Отвечаю - наличие сертификата ФСБ снимает все вопросы, поскольку это является неопровержимой формой подтверждения соответствия для регулятора. Наличие положительного заключения об оценке соответствия может снять вопросы для тех, кто рискнет использовать Ваш продукт без сертифката (если, регулятор не начнет на известным только ему основаниях требовать именно сертификат).


Цитата
Игорь Устинов пишет:
ПП1119 признает утратившим силу только ПП 781, никаких других нормативных документов оно не отменяет.
Читаем первый абзац Методических рекомендаций ФСБ -
Настоящие Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (далее – Методические рекомендации) разработаны в соответствии с п. 2 постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Здесь на мой взгляд все ясно. Документ не может иметь силу, если он разработан в соответствии с пунктом документа, который отменен.





Цитата
Игорь Устинов пишет:
Михаил, Вы как-то очень странно читаете нормативные документы. В "Методических рекомендациях" не сказано, что " контроль встраивания для КС1, КС2 может осуществлять организация с соответствующей лицензией ФСБ без контроля ФСБ". Там написано, что " встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России". А контроль без контроля - это, знаете ли, оксюморон какой-то. И, кстати, организаций "с соответствующим правом официальных заключений и с правом делать это без контроля ФСБ" не существует в природе.
Ну давайте не будем заниматься софистикой и цепляться за слова. Все, кто читают прекрасно поняли, что я имел ввиду. Как я понимаю, разница в наших позициях по встраиванию СКЗИ для ПДн заключается в том, что я предполагаю, что организация, имеющая лицензию ФСБ (на разработку информационных систем) и осуществившая встраивание должна дать документ - положительное заключение о том, что защитные функции СКЗИ при встраивании не уменьшились, а Вы считаете, что никакого документа в этом случае выдавать не надо, а достаточно того, что встраивание выполнила организация с соответствующей лицензией ФСБ, я правильно понял наши разночтения?
Цитата
Игорь Устинов пишет:
И еще раз спрошу, почему Вы задаете этот вопрос только для OpenVPN? Я не знаю ничего про информационные системы, которые Вы создаете, но вряд ли это VPN ради VPN, у создаваемых Вами систем есть какие-то целевые функции, ради которых эти системы и создаются, и для выполнения этих функций используются какие-то программы. Почему Вы не тербуете сертификации этих программ? Чем они формально отличаются от OpenVPN? Почему именно к OpenVPN Вы столь неравнодушны? Только из-за трёх волшебных букв?
Объясняю, я в своих проектах использую только средства защиты, имеющие сертификат ФСБ (имею ввиду СКЗИ) или положительное заключение об успешном встраивании (выполненное под контролем ФСБ), если речь идет о ПО обработки информации с применением СКЗИ (типа ПО Верба-Клиент). И вопросы в случае отсутствия этих документов задаю всем вендорам, у которых ПО взаимодействует с СКЗИ. Т.к. в данном случае речь шла о Вашем продукте и Вы открыто заявляете, что Ваш продукт OpenVPN-ГОСТ взаимодействует с СКЗИ, то эти вопросы я адресовал Вам.
К ПО, которое с СКЗИ не взаимодействует я таких вопросов не предъявляю.
Здравствуйте, Михаил!
Прошу прощения, что долго не отвечал - совсем дела заели.

Цитата
Михаил пишет:
Цитата
Игорь Устинов пишет:
А если пойти дальше по хронологии, то Вы написали, что если бы мы "получили сертификат или прошли оценку влияния под контролем ФСБ - это просто сняло бы все вопросы". Я попросил Вас (и сейчас еще раз повторяю эту просьбу) объяснить, почему наличие бумаги именно на этот компонент Вашей информационной системы, с вашей точки зрения, снимет все вопросы.
Отвечаю - наличие сертификата ФСБ снимает все вопросы, поскольку это является неопровержимой формой подтверждения соответствия для регулятора. Наличие положительного заключения об оценке соответствия может снять вопросы для тех, кто рискнет использовать Ваш продукт без сертифката (если, регулятор не начнет на известным только ему основаниях требовать именно сертификат).
Вы отвечаете не на тот вопрос, который я задаю, а на тот, на который у Вас есть хороший ответ. Но я ведь тоже , я спрошу еще раз.
Итак, Вы создаете информационную систему, состоящую из программ А, В и С и средства криптозащиты S. Вы утверждаете, что если бы для программы A имелось заключение ФСБ об оценке негативного её влияния на криптосредство S, это сняло бы все вопросы. Для программ В и С Вы такого заключения не требуете, Вы утверждаете, что заключения на программу А достаточно.
Мой вопрос: чем программа А качественно отличается от программ В и С, почему заключение нужно только для неё?

Цитата
Михаил пишет:
Цитата
Игорь Устинов пишет:
ПП1119 признает утратившим силу только ПП 781, никаких других нормативных документов оно не отменяет.
Читаем первый абзац Методических рекомендаций ФСБ - Настоящие Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (далее – Методические рекомендации) разработаны в соответствии с п. 2 постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
Здесь на мой взгляд все ясно. Документ не может иметь силу, если он разработан в соответствии с пунктом документа, который отменен.
Тут Вы что-то ну уж совсем странное написали. Пункт 2 Постановления 871 гласит: "Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением". Что может означать отмена этого пункта? Что Правительство будет теперь отрицать сам факт того, что давало ФСБ соответствующее поручение? Ну это же полная нелепица! Но даже если принять такую точку зрения, все равно "Методические рекомендации" - это нормативный документ, выпущенный ФСБ в пределах её компетенции. Даже если мы теперь считаем, что поручения Правительства не было, разве ФСБ не имела права разработать "Методические рекомендации" в инициативном порядке? Имела. То есть сам факт отсутствия поручения не делает "Методические рекомендации" нелегитимными, так что они продолжают действовать, пока их явным образом не отменят.

Цитата
Михаил пишет:
Цитата
Игорь Устинов пишет:
Михаил, Вы как-то очень странно читаете нормативные документы. В "Методических рекомендациях" не сказано, что " контроль встраивания для КС1, КС2 может осуществлять организация с соответствующей лицензией ФСБ без контроля ФСБ". Там написано, что " встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России". А контроль без контроля - это, знаете ли, оксюморон какой-то. И, кстати, организаций "с соответствующим правом официальных заключений и с правом делать это без контроля ФСБ" не существует в природе.
Ну давайте не будем заниматься софистикой и цепляться за слова. Все, кто читают прекрасно поняли, что я имел ввиду. Как я понимаю, разница в наших позициях по встраиванию СКЗИ для ПДн заключается в том, что я предполагаю, что организация, имеющая лицензию ФСБ (на разработку информационных систем) и осуществившая встраивание должна дать документ - положительное заключение о том, что защитные функции СКЗИ при встраивании не уменьшились, а Вы считаете, что никакого документа в этом случае выдавать не надо, а достаточно того, что встраивание выполнила организация с соответствующей лицензией ФСБ, я правильно понял наши разночтения?
Михаил, в своем предыдущем посте Вы написали неправду. Вы написали нечто, что не соответствует действительности. Я Вам указал, что Ваше утверждение не соответствует действительности. Вы мое высказывание назвали софистикой и цеплянием к словам. Подскажите, пожалуйста, как я должен на это реагировать?

Что касается заключений, ФСБ никого и никогда не наделяет правом официальных заключения без контроля ФСБ. Заключение об отсутствии негативного влияния СФК на СКЗИ может выдавать только сама ФСБ. Точнее, выдавать то их, конечно, может кто угодно, я, Вы, Вася Пупкин, но для ФСБ все эти заключения будут иметь не больший вес, чем ксерокопия двух страниц из Льва Толстого.
Впрочем, как я уже писал, если от этого кому-то жить станет легче, я готов написать такое заключение от своего имени, вреда от этого никакого не будет, пользы, впрочем, тоже.

Цитата
Михаил пишет:
Цитата
Игорь Устинов пишет:
И еще раз спрошу, почему Вы задаете этот вопрос только для OpenVPN? Я не знаю ничего про информационные системы, которые Вы создаете, но вряд ли это VPN ради VPN, у создаваемых Вами систем есть какие-то целевые функции, ради которых эти системы и создаются, и для выполнения этих функций используются какие-то программы. Почему Вы не требуете сертификации этих программ? Чем они формально отличаются от OpenVPN? Почему именно к OpenVPN Вы столь неравнодушны? Только из-за трёх волшебных букв?
Объясняю, я в своих проектах использую только средства защиты, имеющие сертификат ФСБ (имею ввиду СКЗИ) или положительное заключение об успешном встраивании (выполненное под контролем ФСБ), если речь идет о ПО обработки информации с применением СКЗИ (типа ПО Верба-Клиент). И вопросы в случае отсутствия этих документов задаю всем вендорам, у которых ПО взаимодействует с СКЗИ. Т.к. в данном случае речь шла о Вашем продукте и Вы открыто заявляете, что Ваш продукт OpenVPN-ГОСТ взаимодействует с СКЗИ, то эти вопросы я адресовал Вам.
К ПО, которое с СКЗИ не взаимодействует я таких вопросов не предъявляю.
Если ПО, обрабатывающее персональные данные, не взаимодействует с СКЗИ, то обрабатываемые этим ПО персональные данные не защищаются, по крайней мере криптографическими методами. Логично? Нет, конечно, никто не настаивает на обязательности применения криптографических методов защиты, но если Вы их не применяете, то зачем в Вашей системе СКЗИ? А если данные криптографическими методами таки защищаются, то ПО, их обрабатывающее, со средствами криптозащиты как-то все-таки взаимодействует. Вы будете утверждать, что это взаимодействие сводится к отправке данных через виртуальный сетевой интерфейс и негативного влияния на СКЗИ оказывать не может? А откуда Вы это знаете? Вы что, оценку влияния Вашего ПО на СКЗИ проводили? Не проводили? Ну так проведите, тогда и утверждайте.
Что, опять скажете, что я занимаюсь софистикой. Да, на этот раз таки именно ею родимой и занимаюсь. Но, как я уже писал ранее, если проверяющий настроен благожелательно, он и к встраиванию в OpenVPN цепляться не будет, а если у него план по штрафам горит, то он Вам эту песню споёт не хуже меня, а вот его обвинять в софистике будет значительно сложнее.
Здравствуйте Игорь

Чувствую, дискуссия накаляется )).


Цитата
Игорь Устинов пишет:
Выотвечаете не на тот вопрос, который я задаю, а на тот, на который у Вас есть хороший ответ. Но я ведь тоже , я спрошу еще раз.
Итак, Вы создаете информационную систему, состоящую из программ А, В и С и средства криптозащиты S. Вы утверждаете, что если бы для программы A имелось заключение ФСБ об оценке негативного её влияния на криптосредство S, это сняло бы все вопросы. Для программ В и С Вы такого заключения не требуете, Вы утверждаете, что заключения на программу А достаточно.
Мой вопрос: чем программа А качественно отличается от программ В и С, почему заключение нужно только для неё?
Программа А в данном случае качественно отличается от программ B и C тем, что декларирует свое взаимодействие с СКЗИ. И именно оценка влияния позволит определить корректно ли она взаимодействует, не снижает ли защищенность СКЗИ. Если программы B и C подобного взаимодействия не декларируют, то проходить оценку влияния для них не нужно. Надеюсь я ответил на Ваш вопрос.



Цитата
Игорь Устинов пишет:
Тут Вы что-то ну уж совсем странное написали. Пункт 2 Постановления 871 гласит: "Федеральной службе безопасности Российской Федерации и Федеральной службе по техническому и экспортному контролю утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим постановлением". Что может означать отмена этого пункта? Что Правительство будет теперь отрицать сам факт того, что давало ФСБ соответствующее поручение? Ну это же полная нелепица! Но даже если принять такую точку зрения, все равно"Методические рекомендации" - это нормативный документ, выпущенный ФСБ в пределах её компетенции. Даже если мы теперь считаем, что поручения Правительства не было, разве ФСБ не имела права разработать "Методические рекомендации" в инициативном порядке? Имела. То есть сам факт отсутствия поручения не делает "Методические рекомендации" нелегитимными, так что они продолжают действовать, пока их явным образом не отменят.
Если бы методические рекомендации ФСБ были бы разработаны самостоятельно, вопросов бы не возникало, но они разработаны по поручению правительства, на основании его постановления, которое теперь потеряло силу. В новом ПП №1119 нет ни слова о том, что уже разработанные документы регуляторов, описывающие технические требования по защите остаются в силе. Если отменено требование по разработке регуляторами технических требований, то почему эти технические требования остаются в силе? Для меня это логический парадокс. Но зная практику нормативного творчества, думаю,что никто ничего хотя бы просто в оформлении рекомендаций (чтобы закрыть этот парадокс) менять не будет, поэтому они будут продолжать действовать. Здесь я спорить не буду, для нашей беседы, я думаю это неглавная линия.

Цитата
Игорь Устинов пишет:
Михаил, в своем предыдущем посте Вы написали неправду. Вы написали нечто, что не соответствует действительности. Я Вам указал, что Ваше утверждение не соответствует действительности. Вы мое высказывание назвали софистикой и цеплянием к словам. Подскажите, пожалуйста, как я должен на это реагировать?
Я написал не неправду, а некорректно выразился и софистика в данном случае заключается в том, как к этому относиться. Суть моего высказывания от этого не изменилась, а Вы уводите разговор в сторону, цепляясь за дынный аргумент.

Цитата
Игорь Устинов пишет:
Что касается заключений, ФСБ никого и никогда не наделяет правом официальных заключения без контроля ФСБ. Заключение об отсутствии негативного влияния СФК на СКЗИ может выдавать только сама ФСБ. Точнее, выдавать то их, конечно, может кто угодно, я, Вы, Вася Пупкин, но для ФСБ все эти заключения будут иметь не больший вес, чем ксерокопия двух страниц из Льва Толстого.
Впрочем, как я уже писал, если от этого кому-то жить станет легче, я готов написать такое заключение от своего имени, вреда от этого никакого не будет, пользы, впрочем, тоже.
Вы ответьте пожалуйста на мой вопрос, выполняя встраивание СКЗИ в ПО, обрабатывающее персональные данные, при условии что класс не выше КС2, организация с соответствующей лицензией ФСБ по Вашему мнению должна выдавать какой-либо документ (аналог заключения) или нет? Я считаю, что такой документ должен быть, и тогда оператор сможет доказать, что условия выполнения встраивания методических рекомендаций были соблюдены. Покажет бумагу от организации, имеющей лицензию, и договор, по которому видно, что эта организация выполняла данные работы.

Последний Ваш абзац я цитировать не буду, потому что не понял о чем там ведется речь (у оператора вообще не должна болеть голова о понимании каких-либо виртуальных сетевых интерфейсах ). Повторяю ещё раз, акцентируя Ваше внимание на ключевом положении, об оценке влияния я говорю только применительно к тем приложениям, в которых задекларировано использование СКЗИ. И не моё дело, как оператора, оценивать что там и как. Я вижу ПО, в его документации написано - взаимодействует с СКЗИ и при этом сертификата ФСБ или положительного заключения ФСБ об успешном встраивании на само ПО нет. Всё, у меня должна сразу на уровне рефлекса в голове загореться ссылка на методические рекомендации и дальше действовать, исходя из положений этого документа - нанимать организацию с лицензией ФСБ на разработку защищенных информационных систем и требовать по результатам работы от неё бумагу, что встраивание они выполнили корректно. И ничего в общем случае со мной тогда регулятор не сделает, вне зависимости от его плана штрафов.

P.S. Чтобы случайные читатели не забыли хода обсуждения, напоминаю что это обобщенный алгоритм (подходит ли он к продукту OpenVPN ГОСТ в свете того, что регулятор может потребовать именно сертификации данного продукта, неизвестно)
Изменено: Михаил - 21.11.2012 17:12:39
Здравствуйте, Михаил!

Цитата
Михаил пишет:
Здравствуйте Игорь

Чувствую, дискуссия накаляется )).
Цитата
Игорь Устинов пишет:
Вы отвечаете не на тот вопрос, который я задаю, а на тот, на который у Вас есть хороший ответ. Но я ведь тоже , я спрошу еще раз.
Итак, Вы создаете информационную систему, состоящую из программ А, В и С и средства криптозащиты S. Вы утверждаете, что если бы для программы A имелось заключение ФСБ об оценке негативного её влияния на криптосредство S, это сняло бы все вопросы. Для программ В и С Вы такого заключения не требуете, Вы утверждаете, что заключения на программу А достаточно.
Мой вопрос: чем программа А качественно отличается от программ В и С, почему заключение нужно только для неё?
Программа А в данном случае качественно отличается от программ B и C тем, что декларирует свое взаимодействие с СКЗИ. И именно оценка влияния позволит определить корректно ли она взаимодействует, не снижает ли защищенность СКЗИ. Если программы B и C подобного взаимодействия не декларируют, то проходить оценку влияния для них не нужно. Надеюсь я ответил на Ваш вопрос.
Да, Вашу позицию я понял. Мне она кажется странной и нелогичной, но об этом ниже.

Цитата
Михаил пишет:
Цитата
Игорь Устинов пишет:
Михаил, в своем предыдущем посте Вы написали неправду. Вы написали нечто, что не соответствует действительности. Я Вам указал, что Ваше утверждение не соответствует действительности. Вы мое высказывание назвали софистикой и цеплянием к словам. Подскажите, пожалуйста, как я должен на это реагировать?
Я написал не неправду, а некорректно выразился и софистика в данном случае заключается в том, как к этому относиться. Суть моего высказывания от этого не изменилась, а Вы уводите разговор в сторону, цепляясь за дынный аргумент.
Утверждение, которое я называю несоответствующим действительности, Вы в разных формулировках повторили несколько раз в нескольких письмах, что не позволяет мне списать его на "некорректно выразился". Это утверждение, как я его понял, следующее:
Существуют организации, наделенные правом проводить экспертизу корректности встраивания СКЗИ в ПО и оценку отсутствия негативного влияния ПО на СКЗИ без контроля со стороны ФСБ, и заключения, выдаваемые этими организациями, должны признаваться ФСБ при проведении проверок.
Чтобы расставить точки над ё, прошу Вас односложно ответить, правильно ли я понял Вашу мысль. Да или нет?

Цитата
Михаил пишет:
Вы ответьте пожалуйста на мой вопрос, выполняя встраивание СКЗИ в ПО, обрабатывающее персональные данные, при условии что класс не выше КС2, организация с соответствующей лицензией ФСБ по Вашему мнению должна выдавать какой-либо документ (аналог заключения) или нет? Я считаю, что такой документ должен быть, и тогда оператор сможет доказать, что условия выполнения встраивания методических рекомендаций были соблюдены. Покажет бумагу от организации, имеющей лицензию, и договор, по которому видно, что эта организация выполняла данные работы.
  1. Я не знаю нормативных документов, требующих появления такой бумаги.
  2. Я готов выдать такое заключения, если меня попросят.
  3. Ценность такого заключения, если оно выдано кем-то, помимо ФСБ, равна нулю.
Вообще у меня складывается ощущение, что Вы невнимательно прочли документ о проведении экспертизы, с которого началась эта ветка дискуссии. Это был документ на бланке МО ПНИЭИ, но это была выписка из заключения ФСБ, о чем в тексте четко написано.

Цитата
Михаил пишет:
Последний Ваш абзац я цитировать не буду, потому что не понял о чем там ведется речь (у оператора вообще не должна болеть голова о понимании каких-либо виртуальных сетевых интерфейсах ). Повторяю ещё раз, акцентируя Ваше внимание на ключевом положении, об оценке влияния я говорю только применительно к тем приложениям, в которых задекларировано использование СКЗИ.
Как я написал выше, мне эта позиция представляется странной и нелогичной. Мало ли что там производитель не декларирует, почему мы должны ему верить? А вдруг он просто забыл об этом написать? Впрочем, нет ничего страшного в том, что она кажется странной и нелогичной мне, но вот если она покажется странной и нелогичной проверяющему...
Понятие "ПО взаимодействует с СКЗИ" нигде формально, насколько я знаю, не определено, и трактоваться может в весьма широких пределах. Вы стоите на одном краю этого поля трактовок: взаимодействие есть только там, где производитель сказал, что оно есть. Проверяющий может встать с другой стороны этого поля: если взаимодействия нет, значит данные не защищены, если данные защищаются, то взаимодействие есть, и предложить Вам на выбор, какое замечание вписывать, что данные не защищаются или что оценка невлияния не проведена.

Мысль, с которой я начал, и которую считаю полезным напомнить, ровно в том и состоит, что если у Вас будет заключение о корректности встраивания СКЗИ в OpenVPN или даже сертификат на этот самый OpenVPN, это не даст Вам, как Вы надеетесь, стопроцентной защиты при проверке, так как проверяющий может (и, скорее всего, будет) трактовать термин "взаимодействие" шире, чем это делаете Вы.

Цитата
Михаил пишет:
И не моё дело, как оператора, оценивать что там и как. Я вижу ПО, в его документации написано - взаимодействует с СКЗИ и при этом сертификата ФСБ или положительного заключения ФСБ об успешном встраивании на само ПО нет. Всё, у меня должна сразу на уровне рефлекса в голове загореться ссылка на методические рекомендации и дальше действовать, исходя из положений этого документа - нанимать организацию с лицензией ФСБ на разработку защищенных информационных систем и требовать по результатам работы от неё бумагу, что встраивание они выполнили корректно. И ничего в общем случае со мной тогда регулятор не сделает, вне зависимости от его плана штрафов.
Организацию с лицензией Вы нанимать должны, потому что встраивание - это лицензируемый вид деятельности. Мы именно для того и продаем OpenVPN со встроенным КриптоПакетом, а не просто КриптоПакет (хотя все патчи опубликованы и OpenVPN Вы можете собрать и сами), чтобы на вопрос, кто произвел встраивание, Вы могли честно ответить "Криптоком" и закрыть тем самым вопрос с лицензией.
Далее, по "Методическим рекомендациям", ссылка на которые у Вас в голове загорается на уровне рефлекса, встраивание может производиться без контроля со стороны ФСБ. Значит бумагу от ФСБ требовать не нужно. Бумага от организации, осуществляющей встраивание, "Методическими рекомендациями" не предусмотрена. Впрочем, как я уже неоднократно писал, если Вам так уж хочется, я готов Вам эту бумагу выдать.
Цитата
Игорь Устинов пишет:
Это утверждение, как я его понял, следующее:
Существуют организации, наделенные правом проводить экспертизу корректности встраивания СКЗИ в ПО и оценку отсутствия негативного влияния ПО на СКЗИ без контроля со стороны ФСБ, и заключения, выдаваемые этими организациями, должны признаваться ФСБ при проведении проверок.
Чтобы расставить точки над ё, прошу Вас односложно ответить, правильно ли я понял Вашу мысль. Да или нет?
Да. Я считаю, что организация с лицензией ФСБ на разработку информационных систем при встраивании СКЗИ в ПО должна проводить оценку влияния самостоятельно без контроля со стороны ФСБ и выдавать соответствующее заключение. Без этой бумаги оператор не сможет обосновать выполнение установленного по модели угроз класса криптографической защиты. И раз уж ФСБ разрешил выполнять встраивание СКЗИ в ПО без своего контроля, то не вижу причин, почему такая бумага не будет приниматься регулятором.

По поводу примера заключения. Почему Вы считаете, что я прочитал его невнимательно?. Да это был пример оценки влияния под контролем со стороны ФСБ и будь такая бумажка по Вашему продукту она сняла бы все вопросы. Его я привел как документ, альтернативный сертификату ФСБ. И дальше написал, что при встраивании СКЗИ в ПО при защите ПДн лицензиат должен сгенерить аналог такой бумаги (если сертификата или положительного заключения ФСБ нет).

Цитата
Игорь Устинов пишет:

Цитата
Михаил пишет:
Последний Ваш абзац я цитировать не буду, потому что не понял о чем там ведется речь (у оператора вообще не должна болеть голова о понимании каких-либо виртуальных сетевых интерфейсах ). Повторяю ещё раз, акцентируя Ваше внимание на ключевом положении, об оценке влияния я говорю только применительно к тем приложениям, в которых задекларировано использование СКЗИ.
Как я написал выше, мне эта позиция представляется странной и нелогичной. Мало ли что там производитель не декларирует, почему мы должны ему верить? А вдруг он просто забыл об этом написать? Впрочем, нет ничего страшного в том, что она кажется странной и нелогичной мне, но вот если она покажется странной и нелогичной проверяющему...
Понятие "ПО взаимодействует с СКЗИ" нигде формально, насколько я знаю, не определено, и трактоваться может в весьма широких пределах. Вы стоите на одном краю этого поля трактовок: взаимодействие есть только там, где производитель сказал, что оно есть. Проверяющий может встать с другой стороны этого поля: если взаимодействия нет, значит данные не защищены, если данные защищаются, то взаимодействие есть, и предложить Вам на выбор, какое замечание вписывать, что данные не защищаются или что оценка невлияния не проведена.

Мысль, с которой я начал, и которую считаю полезным напомнить, ровно в том и состоит, что если у Вас будет заключение о корректности встраивания СКЗИ в OpenVPN или даже сертификат на этот самый OpenVPN, это не даст Вам, как Вы надеетесь, стопроцентной защиты при проверке, так как проверяющий может (и, скорее всего, будет) трактовать термин "взаимодействие" шире, чем это делаете Вы.
На основании чего ФСБ может требовать с оператора оценки влияния всего комплекса ПО на СКЗИ? Насколько я помню для классов криптографической защиты уровня С не установлено выполнение требований ФСБ к шифровальным средствам с учетом их программного окружения, наличия защищенной (без недокументированных возможностей) программной среды, данные требования возникают только для классов уровней А и В. А значит оценке влияния ПО на СКЗИ оператор должен подвергнуть только то ПО, которое у него задекларировано как взаимодействующее с СКЗИ (кстати в том числе например в документации на ИСПДн, уж там-то это должно быть указано).
По поводу же возможных злоупотреблений регулятора за счет попыток расширить сам термин взаимодействие, думаю следующее. Как Вы точно заметили формулировок на этот счет нет, а значит, следуя основным принципам юриспруденции, что не запрещено, то разрешено и трактовок всех возможных двусмысленностей в пользу налогоплательщика (клиента) можно смело не соглашаться с регулятором и идти в суд.
Изменено: Михаил - 26.11.2012 01:55:09
Страницы: Пред. 1 2
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)