ФСБ

Задался я тут целью провести исследование на тему надо ли все-таки сертифицировать средства защиты или нет. И вот что, вкратце, у меня получилось. В существующей нормативной базе существует два примера упоминания вопросов сертификации — прямое и косвенное. Прямое, например, есть в совместном приказе ФСТЭК и ФСБ, в Указе Президента 351 или в пресловутом

Несмотря на почти полное отсутствие комментариев и конкретных предложений (исключая Ригеля), я довел документ до ума и финализировал его. Надеюсь будет полезным в работе. PS. Возможно я плохо искал, но я не нашел документов, регламентирующих сертификацию СКЗИ для защиты конфиденциальной информации. По гостайне есть приказ ФСБ о создании системы сертификации.

Задался я тут целью свести все нормативные акты, регулирующие криптографию в России (исключая гостайну), в одном документе. Что и сделал, разделив нормативные акты по этапу жизненного цикла системы криптографический защиты — от ввоза и разработки до эксплуатации и вывоза. Собственно результат перед вами. Посмотрите, пожалуйста, критическим взглядом на сей документ.

31 августа 2010 года был принят (зарегистрирован в Минюсте 13 октября, опубликован 22 октября в «Российской газете», вступил в действие с 2 ноября 2010 года) совместный приказ ФСБ и ФСТЭК № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»

Продолжаю тему, начатую в четверг… Пообщался я с коллегами, которые сейчас анализируют поправки в законодательство по информационной безопасности, и ткнули они меня в интересный пункт не только ФЗ-149, но и ГК РФ. Дальше я добавил к этим двум пунктам еще свои изыскания и получилось вот что: Ст.3 ФЗ-149 говорит нам, что недопустимо установливать нормативными правовыми […

В среду я разместил свою первую презентацию с ИнфобезЭкспо 2010 и вот пришел черед для второй, прочтенной в четверг. Саму презентацию я показать не смог по техническим причинам (на компе организаторов не было office 2007/2010, а я поленился сделать версию для Office 2003). Поэтому рассказывал без слайдов, а многие заинтересовались названиями и ссылками на упоминаемые […

Моя презентация с вчерашней конференции по непрерывности бизнеса BCR 2010. Хотя конференцией «это» назвать можно с трудом. Было всего 7 человек на мероприятии ;-( Security punishment View more presentations from Alexey Lukatsky.

И снова вспомним 57-ФЗ. После сообщения о том, что Royal Bank of Scotland запретили увеличить долю в ЗАО «Королевский банку Шотландии» по причине наличия у последнего лицензии ФСБ на криптографию. И вот ФАС внес в Правительство пакет поправок, который исключает деятельность банков (кроме банков с госучастием) в области криптографии из стратегических видов деятельности.

Всем известно требование нормативных документов ФСБ по персданным, согласно которому: «Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных

Позиция ФСБ на использование СКЗИ достаточно давно озвучена и выглядит примерно следующим образом — необходимость применения средств шифрования определяется исходя из модели угроз, но… при передаче через Интернет единственным механизмом защиты ПДн является шифрование. При этом средства шифрования должны быть сертифицированными.