Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
Ответить
RSS
Проверка корректности встраивания
Обещал в одном из обсуждений опубликовать официальный ответ ФСБ на вопрос необходимости проверки корректности встраивания при использовании СКЗИ криптобиблиотек (типа ViPNet CSP, КриптоПро CSP и других криптобиблиотек различных вендоров) с различным ПО.

И вот какой ответ я получил.

Необходимость вообще проведения оценки корректности встраивания определяется в ПКЗ-2005, там данная процедура называется по-другому - оценка влияния (см. п.35). Т.е. условия необходимость проведения данной процедуры четко определены - они прописаны в самом формуляре на СКЗИ и в п.3 и п.4 ПКЗ-2005. И теперь самое интересное - в формуляре и в другой документации на СКЗИ прописывается ПО, с которым данное СКЗИ работает, в частности указываются ОС. Так вот - оценку корректности встраивания для ПО, которое входит в состав прописанных ОС делать не нужно.
Т.е. если это ОС Windows и в доке на СКЗИ указано, что она работает под этой ОС, то работа с веб-сервером IIS и браузером IE без оценки влияния считается разрешенной. Если это Linux (указанной в доке СКЗИ версии) и в его состав входит какой-нибудь Apache и браузер, то с ними тоже это СКЗИ может работать без оценки влияния.

Таким образом - если вы хотите использовать стороннее ПО (не входящее в состав поддерживаемых СКЗИ ОС по умолчанию), то:
1) смотрите сначала документацию на СКЗИ (не прописана ли там отдельно возможность работы с ним);
2) смотрите ПКЗ-2005 (может быть вы не попадаете под его действие);
3) если ссылки на ваше ПО в доке СКЗИ нет и под положения ПКЗ-2005 вы попадаете, то проходить через процедуру оценки влияния (проверки корректности встраивания) надо.
Михаил, а как происходит проверка корректности встраивания и что для этого нужно?
Настя, я что-то под впечатлением от всех обсуждений начал вести блог - почитайте, я как раз создал на эту тему сообщение, там очень подробно расписано когда и что надо по этому направлению делать

http://novokreshenov.blogspot.com/
Сегодня специально запросил формуляр на МагПро КриптоПакет, это обычное СКЗИ типа криптобиблиотека и порядок действий с ним такой же как я описывал выше с другими СКЗИ (см. п.2.5 формуляра)
Интересует следующий вопрос:
Необходимо обеспечить защищенный доступ к Web-серверу (с использованием криптографии).
Планируется использовать связку КриптоПро и Trusted TLS на сервере и Крипто Про на клиенте.
Вопрос: надо ли проходить процедуру проверки корректности встраивания?
Насколько я понял если web-сервер на Microsoft, то проверку проводить не надо, так как есть сертификаты.
Если используется Linux (пусть даже сертифицированный) и Крипто Про, то взаимодействие происходит через дополнительный модуль (Trusted TLS) и необходима процедура проверки корректности встраивания (так как Trusted TLS не имеет сертификатов).
Нашел сертифицированное решение СКЗИ ЛИРССЛ (как я понял это также отдельная библиотека, но с сертификатом). Вроде бы даже есть совместимость с Крипто Про, однако хотелось бы услышать применял ли кто такое решение и нет ли каких то проблем.
Антон,
Наличие или отсутствие сертификатов на ОС Windows или Linux вообще никаким образом не влияет на вопрос о прохождение оценки влияния, поскольку это сертификаты ФСТЭК и они подтверждают совершенно другие вещи, здесь же вопрос решается в рамках нормативной базы ФСБ и на соответсвие требованиям к средствам криптографической защиты.
Вы видимо не читали тему в блоге, там подробно все расписывал. Вот что нужно делать:
1) Берете формуляр, читаете раздел 3.3, смотрите входит ли ваша ОС в список тех, под которыми КриптоПро функционирует (а значит проходило проверку работы). Если входит, то можете смело использовать встроенный в эту ОС веб-сервер, у вас это будет Apache.
2) Дальше берете документ Описание реализации, раздел 8. Смотрите список ПО, с которыми КриптоПро CSP проходил сертификацию. Среди них помимо стандартного ПО из ОС указан Trusted TLS, т.е. использование этого продукта тоже не требует прохождения оценки влияния.
Так что юзайте себе наздоровье КриптоПро и Trusted TLS без оценки влияния.
Цитата
Михаил пишет:
Антон,
Наличие или отсутствие сертификатов на ОС Windows или Linux вообще никаким образом не влияет на вопрос о прохождение оценки влияния, поскольку это сертификаты ФСТЭК и они подтверждают совершенно другие вещи, здесь же вопрос решается в рамках нормативной базы ФСБ и на соответсвие требованиям к средствам криптографической защиты.
Вы видимо не читали тему в блоге, там подробно все расписывал. Вот что нужно делать:
1) Берете формуляр, читаете раздел 3.3, смотрите входит ли ваша ОС в список тех, под которыми КриптоПро функционирует (а значит проходило проверку работы). Если входит, то можете смело использовать встроенный в эту ОС веб-сервер, у вас это будет Apache.
2) Дальше берете документ Описание реализации, раздел 8. Смотрите список ПО, с которыми КриптоПро CSP проходил сертификацию. Среди них помимо стандартного ПО из ОС указан Trusted TLS, т.е. использование этого продукта тоже не требует прохождения оценки влияния.
Так что юзайте себе наздоровье КриптоПро и Trusted TLS без оценки влияния.
Большое спасибо.
Изменено: Антон - 27.09.2012 10:46:58 (орфография)
Страницы: 1
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
 
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку