На основании презентации по будущему регулированию в области ИБ сваял презу, ориентированную только на тему персданных. Я ее читал в Челябинске и решил выложить еще и тут. Собственно там ничего нового почти нет — кроме чуть более детальной информации по законопроекту Резника и изменениям в ФЗ «О техническом регулировании».
Personal data future regulations
View more presentations from Alexey Lukatsky.
В Вашей презентации есть пункт, гласящий, что сертификация СЗИ (за искл. СКЗИ) не является обязательной. Однако в РС 2.3 п.6.3.2 читаем: "Выполнение функций обеспечения безопасности ПДн в ИСПДн должно обеспечиваться СЗИ, прошедшими в установленном порядке процедуру оценки соответствия.."
Алексей, какие требования необходимо выполнить, для легитимного использования VPN с встроенной криптографией?
>НИР ТРИТОН
>18 иерархически выстроенных документа
И где это можно увидеть? Или хотя бы 3 профиля защиты и 3 модели угроз??
Все что есть на сайте минкомсвязи – это две модели угроз и концепция.
Вопрос риторический — очевидно, что в общем случае ответ нигде..
zabrodin'у А в СТО написано, что СЗИ АБС могут быть несертифицированными.
Maksim'у: Не совсем понял вопроса.
tiger'у: Ну ИКС обещал выложить их в свободный доступ, но что-то так и не выложил.
12 слайд Вашей презентации, сказано что встраивание криптографии в VPN не дает легетимного решения. А мой вопрос заключается в следуещем, какие действия необходимо выполнить чтобы при встраивании СКЗИ в VPN было легетимным.
а почему распространение скзи клиентам и генерация ключей не лицензируемы оказались?
Maksim'у: Нужно сертифицировать ВСЕ VPN-решение целиком. Использования сертифицированного криптоядра недостаточно.
pushkinist'у: Так написано во второй версии ПРОЕКТА нового приказа ФСБ.
Maksim'у: Но опять же официальную позицию вы можете получить только сделав запрос в ФСБ. И получите вы такой же ответ, как есть у меня.
К вопросу zabrodin, Алексей, но в в СТО п.7.4.2. действительно говорит о возможности не использовать сертифицированные СЗИ, но заглавие пункта 7.4. Обеспечение ИБ при управлении доступом и регистрации. Означает ли это то, что требование распространяется и на системы антивирусной защиты и МЭ?
А в отношении антивирусов и МСЭ вообще ничего не сказано про сертификацию
а где-нибудь можно глянуть сей проект? 🙂
Нигде 😉
Пока нигде
В приказе 58 в п.2.1. приведено требование к сертификации всех средств защиты информации. Подчеркиваю. всех! А в СТО БР ИББС только в подразделе по управлению доступом. Если бы это было в разделе 1, то вопрос бы не возникал, а так можно трактовать по разному требование, в частности для систем разграничения прав доступа можем использовать не сертифицированное ПО, а в остальных должно быть сертифицированное 🙂
В Приказе 58 ни слова про сертификацию — всего лишь про оценку соответствия 😉
И для тех, кто вступил в "Клуб СТО" приказ 58 уже не действует. Таково соглашение ФСТЭК и ЦБ.
Ну как я понимаю в соответствии с волшебным документом ПП 330 (ДСП), единственный способ подтверждения соответствия — сертификация. Поэтому и говорю о сертификации :).
А вот если в документе не сказано что сертификация не обязательна — это же не означает, что она действительно не обязательна. Вопрос то заключается в чем: если регуляторы будут трактовать отсутствие такого примечания в сторону необходимости использования сертифицированных средств, кроме систем разграничения прав доступа? Например ФСТЭК по сибирскому федеральному округу считает что в любых случаях, только сертифицированные СЗИ, что заставляет задуматься 🙂
Хочу подвести к тому, что при следующем изменении СТО БР ИББС 1.0, логичнее было бы включить этот пункт в Общие положения :).
>И для тех, кто вступил в "Клуб СТО" >приказ 58 уже не действует. Таково >соглашение ФСТЭК и ЦБ.
Меня давно интересует вопрос — это соглашение где-то прописано или как обычно, устно договорились?
>И для тех, кто вступил в "Клуб СТО" приказ 58 уже не действует. Таково соглашение ФСТЭК и ЦБ.
Вот тут письмо шестерых:
http://cbr.ru/credit/Gubzi_docs/pismoKO.pdf