Вот это да.
В документе с требованиями к средствам ЭП приведено описание классов KC, KB и KA. В кои-то веки.
Но это единственная хорошая новость, а плохая — это то, что документ таки распространяется на все средства ЭП — не только квалифицированные.
А в требованиях:
— соответствие ПКЗ
— использование ГОСТовых криптоалгоритмов (либо прошедших экспертизу в ФСБ — интересно, есть такие?)
и т.п.
Ну и никаких галочек в качестве простой ЭП не предвидится.
Ответить
Анонимный
Лучше не торопить события и не читать эти проекты, поскольку их Минкомсвязи не утвердила, на сейчас готовят согласительную комиссию и видимо ещё будут править эти документы.
Также хочу напомнить что в соответствии с распоряжением 1214-р эти бумажки + требования к УЦ (которой пока нет на сайте даже в виде проекта — наверное как и раньше на него гриф повесят) должны были родится к 31 августа 2011 года.
Ответить
Анонимный
Виноват, просмотрел — требования к УЦ и требования с средству подписи уложили в один проект приказа.
Ответить
Алексей Лукацкий
msm59: Минкомсвязи продавят, как это уже было не раз 😉
Ответить
Алексей Лукацкий
Особенно учитывая, кто темой ИБ в Минкомсвязи рулит
Ответить
СВП
Алексей, приходится там в МКСе бывать, но я так и не понял, кто там ИБ руководит:-)
Поведайте, если знаете…
Ответить
Алексей Лукацкий
Александр Петрович
Ответить
СВП
ГАП, внятный.
Но он пасет только "информационное общество" и то в части ААА
Ответить
Алексей Лукацкий
Видя как Минкомсвязь "сдает" позиции почти по всем вопросам ИБ, я не удивлюсь, если после долгой и плодотворной работы данные постановления пройдут (как бы мне не хотелось).
Ответить
Анонимный
А у них был другой вариант развития событий? В части ЭП/ЭЦП/криптографии шансы были небольшие, зря только копья ломали — надо было делать это году так в 2004-2006, когда не было осознания необходимости добровольного использования сертифицированных средств, потом уже было поздно. Занимались глупостью. ИМХО.
свои замечания уже отправили?
Ответить
Алексей Лукацкий
Я свои замечания высказывал еще пару месяцев назад, на этапе разработки этого документа. Не вняли ;-(
Ответить
Анонимный
в рабочем порядке? официальное письмо?
с интересом бы посмотрел
Ответить
Алексей Лукацкий
Два месяца назад? В официальном порядке? Тогда про эти требования мало кто знал.
Ответить
Анонимный
было что-то прнципиальное, что сейчас уже поздно высказывать?
Ответить
Алексей Лукацкий
Высказывать кому? Разработчикам или Минкомсвязи? Если разработчики раньше не учли предложения, то каковы шансы, что сейчас учтут?
Ответить
Анонимный
Проекты выложены на сайте, адрес там есть. Почему не учли тогда? Причин может быть масса, а не только радикальное несовпадение мнений. Может и сейчас найдутся причины не учитывать мнение, но на данном этапе запущен механизм сбора мнений по этим проектам. Поэтому просто не учесть не смогут, отказ должен быть обоснован.
Как вариант можете выложить в блоге и все вместе обсудим какими должны быть требования.
Ответить
Алексей Лукацкий
Да, про выложить в блог я уже подумал. Сейчас сравню нумерацию пунктов и выложу
Ответить
Алексей Лукацкий
А вообще я погорячился, когда написал, что не вняли. Сейчас перечитал приказ и мои замечания. Почти все учли 😉 Кроме одного. В явной форме не прописано, что приказ говорит о квалифицированной ЭП. Это как бы вытекает из определений, которое говорит только о криптографии, но хотелось бы явного указания. В остальном у меня серьезных замечаний нет.
ЗЫ. Но надо учитывать, что я не большой знаток темы ЭП. Я смотрел на этот документ с позиции VPN 😉 Поэтому поверхностный взгляд.
Ответить
Анонимный
так здорово же 😉
"не прописано, что приказ говорит о квалифицированной ЭП", я так понял сделано это сознательно. Сейчас получается, что требования распространяются на средства квалифицированной, неквалифицированной и простой ЭП (использующие криптографию), но только для средств квалифицированной ЭП (в соответствии с законом) выполнение данных требований обязательно.
Ответить
Алексей Лукацкий
А на пароли эти требования как распространить? На одноразовые коды? Либо никак, потому что там нет криптографии. Либо изголяться…
Ответить
Анонимный
на средства простой ЭП, не использующие криптографию, данные требования не распространяются
а зачем изголяться?
Думаю минкомсвязь требования к средствам ЭП без криптографии не пропустит мимо, иначе странно все это.
Хотя пароли должны создаваться на основе псевдослучайных последовательностей и распределяться безопасным способом 😉
Ответить
kpahan
Что-то запутался совсем. В Методических рекомендациях по защите ПД указывается что "Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нару-шитель типа Нi (2<=i<=6)."
А в проекте документа по требованиям к средствам ЭП п 13.1 указывает что средство класса КС1 должно противостоять нарушителю имеющему возможность самостоятельно осуществлять создание способов атак
В чем Фокус? Или я какую-то мелось в Методических рекомендациях не уловил?
Ответить
Почему бы вам не посмотреть заметки схожей тематики
А я снова про судебное решение, которое достаточно
143.7к.
Этот сайт использует cookies для улучшения взаимодействия с пользователями. Но так как Роскомнадзор считает cookie персональными данными, то продолжая находиться на этот сайте, вы даете свое согласие и на работу с cookie, и на обработку персональных данных.
Вот это да.
В документе с требованиями к средствам ЭП приведено описание классов KC, KB и KA. В кои-то веки.
Но это единственная хорошая новость, а плохая — это то, что документ таки распространяется на все средства ЭП — не только квалифицированные.
А в требованиях:
— соответствие ПКЗ
— использование ГОСТовых криптоалгоритмов (либо прошедших экспертизу в ФСБ — интересно, есть такие?)
и т.п.
Ну и никаких галочек в качестве простой ЭП не предвидится.
Лучше не торопить события и не читать эти проекты, поскольку их Минкомсвязи не утвердила, на сейчас готовят согласительную комиссию и видимо ещё будут править эти документы.
Также хочу напомнить что в соответствии с распоряжением 1214-р эти бумажки + требования к УЦ (которой пока нет на сайте даже в виде проекта — наверное как и раньше на него гриф повесят) должны были родится к 31 августа 2011 года.
Виноват, просмотрел — требования к УЦ и требования с средству подписи уложили в один проект приказа.
msm59: Минкомсвязи продавят, как это уже было не раз 😉
Особенно учитывая, кто темой ИБ в Минкомсвязи рулит
Алексей, приходится там в МКСе бывать, но я так и не понял, кто там ИБ руководит:-)
Поведайте, если знаете…
Александр Петрович
ГАП, внятный.
Но он пасет только "информационное общество" и то в части ААА
Видя как Минкомсвязь "сдает" позиции почти по всем вопросам ИБ, я не удивлюсь, если после долгой и плодотворной работы данные постановления пройдут (как бы мне не хотелось).
А у них был другой вариант развития событий? В части ЭП/ЭЦП/криптографии шансы были небольшие, зря только копья ломали — надо было делать это году так в 2004-2006, когда не было осознания необходимости добровольного использования сертифицированных средств, потом уже было поздно. Занимались глупостью. ИМХО.
свои замечания уже отправили?
Я свои замечания высказывал еще пару месяцев назад, на этапе разработки этого документа. Не вняли ;-(
в рабочем порядке? официальное письмо?
с интересом бы посмотрел
Два месяца назад? В официальном порядке? Тогда про эти требования мало кто знал.
было что-то прнципиальное, что сейчас уже поздно высказывать?
Высказывать кому? Разработчикам или Минкомсвязи? Если разработчики раньше не учли предложения, то каковы шансы, что сейчас учтут?
Проекты выложены на сайте, адрес там есть. Почему не учли тогда? Причин может быть масса, а не только радикальное несовпадение мнений. Может и сейчас найдутся причины не учитывать мнение, но на данном этапе запущен механизм сбора мнений по этим проектам. Поэтому просто не учесть не смогут, отказ должен быть обоснован.
Как вариант можете выложить в блоге и все вместе обсудим какими должны быть требования.
Да, про выложить в блог я уже подумал. Сейчас сравню нумерацию пунктов и выложу
А вообще я погорячился, когда написал, что не вняли. Сейчас перечитал приказ и мои замечания. Почти все учли 😉 Кроме одного. В явной форме не прописано, что приказ говорит о квалифицированной ЭП. Это как бы вытекает из определений, которое говорит только о криптографии, но хотелось бы явного указания. В остальном у меня серьезных замечаний нет.
ЗЫ. Но надо учитывать, что я не большой знаток темы ЭП. Я смотрел на этот документ с позиции VPN 😉 Поэтому поверхностный взгляд.
так здорово же 😉
"не прописано, что приказ говорит о квалифицированной ЭП", я так понял сделано это сознательно. Сейчас получается, что требования распространяются на средства квалифицированной, неквалифицированной и простой ЭП (использующие криптографию), но только для средств квалифицированной ЭП (в соответствии с законом) выполнение данных требований обязательно.
А на пароли эти требования как распространить? На одноразовые коды? Либо никак, потому что там нет криптографии. Либо изголяться…
на средства простой ЭП, не использующие криптографию, данные требования не распространяются
а зачем изголяться?
Думаю минкомсвязь требования к средствам ЭП без криптографии не пропустит мимо, иначе странно все это.
Хотя пароли должны создаваться на основе псевдослучайных последовательностей и распределяться безопасным способом 😉
Что-то запутался совсем. В Методических рекомендациях по защите ПД указывается что "Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нару-шитель типа Нi (2<=i<=6)."
А в проекте документа по требованиям к средствам ЭП п 13.1 указывает что средство класса КС1 должно противостоять нарушителю имеющему возможность самостоятельно осуществлять создание способов атак
В чем Фокус? Или я какую-то мелось в Методических рекомендациях не уловил?