Вчера, 15-го сентября наступил последний объявленный срок подготовки проекта приказа ФСБ России по персональным данным. После этого он должен пройти процедуры согласования в ФСБ России, ФСТЭК России и будет в конце ноября — начале декабря направлен на регистрацию в Минюст России.
Что появилось в новом документе неизвестно ;-( Я свои предложения подавал в ФСБ еще в июне. Надеюсь, что-то из них было учтено в новой версии документов ФСБ. Жаль, что ФСТЭК не просил, пусть и односторонней, но все-таки обратной связи.
Предложения для ФСБ по персданным
ЗЫ. На bankir.ru можно найти и другие предложения в ФСБ по теме персданных.
Вот это я понимаю — самомнение 🙂
"п. 9.3. тоже невыполним, т.к. я не представляю себе…"
А почему сертификат на КриптоПро пропадает без АПМДЗ? Там что, даже по КС1 он обязателен? И помнится была версия 2.0 под архитектуру SPARK (если не путаю), под неё АПМДЗ вообще не было в природе, а сертификат по КС2 был (при условии опечатывания с/б с ног до головы) — хотя тогда ещё прошлые Требования были, сейчас конечно может и нельзя по КС2.
По корректности встраивания.
Что необходимо проверить, как разработчик СКЗИ сделал допустим CSP ты не споришь? А чем это отличается о необходимости проверить, что разработчик прикладухи вызывает вообще функции провайдера?
Первому — доверяй, но проверяй, а второму — просто доверяй? Тогда зачем первого проверять?
VSB: Причем тут самомнение? Я это примеряю на себя и множество организаций, с которыми работаю 😉 Еще хоть как-то физически это можно сделать для аппаратных средств построения VPN. А как быть с ПО КриптоПРО? Как его изъять и убрать в сейф?
Я по КриптоПро смотрю имеющиеся у меня формуляры на 3-ю версию, имхо.
По поводу разработку криптухи — это прерогатива ФСБ и пусть они это проверяют. Но разработка прикладухи — это не их тема. Более того, риски за ее неиспользование — это риски оператора ПДн. Может он готов судиться с каждым субъектом? Или отдать все на аутсорсинг? Или застраховать риски? Так зачем ему проверять корректность встраивания? Излишне. Не говоря уже о том, что для большинства систем это невыполнимо в реальной жизни.
про самомнение — я не зря вырвал из контекста, ты прав по сути, но оформил как-то очень авторитарно имхо
а на сайте их
"Настоящий сертификат удостоверяет, что средство криптографической защиты информации (СКЗИ) "КриптоПро CSP (версия 3.0)" в составе согласно формуляру ЖТЯИ.00015-01 30 01 соответствует требованиям ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.10-2001, ГОСТ Р34.11-94 и требованиям ФСБ России к СКЗИ класса КС1 (КС2 при использовании совместно с сертифицированными аппаратно-программными модулями доверенной загрузки ЭВМ "Аккорд-АМДЗ" или "Соболь-PCI")"
Т.е. я так понимаю, что это для КС2 обязателен АПМДЗ
Про корректность у меня в тексте аж четыре знака вопроса. На второй ответь плиз. И ещё
"Но разработка прикладухи — это не их тема. Более того, риски за ее неиспользование — это риски оператора ПДн." — аргумента про неиспользование не понял.
Потому что одно дело проверить реализацию одного CSP и совсем другое дело проверить как к этому CSP обращаются сотни тысяч различных приложений. Особенно если ты не знаешь, как это приложение работает. Когда у тебя такой требование есть, то разработчик прикладухи становится заложником лаборатории, в которой просто нет специалистов по этой прикладухе. Замкнутый круг?
Ну а авторитарность связана с тем, что я высказывал свое экспертное мнение.
Получается, что разработчику приклада доверия больше, чем разработчику СКЗИ — а с какой стати?
Только из-за трудоёмкости проверки?
Речь не о доверии, а о останове бизнеса. Хочешь проверять все — набери и обучи людей, найди железо/софт для проверок, создай сеть центров проверки, пропиши четко процедуру и сроки, гарантируй защищенность кодов и все это предложи за адекватные деньги. Вот тогда и запускай такие требования.
А раз ничего этого нет — встраивай абы как на коленке вызовы функций криптобиблиотек, гордо размахивай сертификатом на криптоядро с криптопримитивами и рассказывай, что всё бы сертифицировали, да долго, исходники боимся уплывут к конкурентам, в нашем продукте никто кроме нас разобраться не может, зато у нас первоклассные специалисты/программисты, они без ошибок пишут, им контроль не нужен…
А вообще, по твоему, нужна ли обязательная сертификация средств защиты информации (включая и не включая криптосредства) для не гостайны?
смайл забыл поставить
я тут в роли адвоката дьявола, ибо сами сертифицируем криптоядрышки по возможности 🙂
Я считаю, что не нужна — нужна для гостайны и КСИИ. Все остальные способны сами взвешивать риски и управлять ими. Как это сделано на Западе.