Форум ЗАО "Сигнал-КОМ"

Текущее время: 27 сен 2020, 20:05

Часовой пояс: UTC+03:00




Начать новую тему  Ответить на тему  [ 4 сообщения ] 
Автор Сообщение
СообщениеДобавлено: 27 янв 2009, 10:44 

Зарегистрирован: 27 янв 2009, 09:32
Сообщения: 6
Организации необходимо использовать сертифицированное СКЗИ в банковском ЭДО,
ЭДО не для внутреннего пользования (обслуживаются сторонние юридические и физические лица), гос. тайны в ЭДО нет.
Необходима организация PKI с сертификатами по ГОСТу - Notary-PRO.
Необходима ЭЦП с ГОСТом - Message-COM, Inter-PRO, Signal-COM CSP.
Установка SSL соединения возможна с использованием шифрования не по ГОСТу?

Обязана ли организация иметь лицензию на разработку шифр. средств?
Обязана ли ЭДО проходить тематические исследования корректности встраивания СКЗИ в ФСБ?
Какой статус после положительного заключения ФСБ о корректности встраивания СКЗИ появляется у ЭДО?
Возможно ли проводить тематические исследования корректности встраивания СКЗИ без наличии лицензии ФСБ у разработчика ЭДО?

Вы оказываете услуги консалтинга по встраиванию СКЗИ в приложения, результатом работ
является "заключение от имени компании о корректности встраивания СКЗИ в конкретное приложение" - что это?
Это дополнительный необходимый документ для ФСБ или это замена процедуры "тематические исследования корректности встраивания СКЗИ в ФСБ"?


Вернуться к началу
СообщениеДобавлено: 28 янв 2009, 10:38 

Зарегистрирован: 28 янв 2009, 09:24
Сообщения: 58
Откуда: ЗАО "Сигнал-КОМ"
>>Установка SSL соединения возможна с использованием шифрования не по ГОСТу?
Для протокола SSL вы можете использовать любой криптографический алгоритм, все зависит от вашей системы ЭДО. Рекомендую Вам использовать все таки ГОСТ.

>>Обязана ли организация иметь лицензию на разработку шифр. средств?
Если Ваша организация будет собственными силами встраивать СКЗИ в ЭДО то данная лицензия необходима. Если сторонний разработчик, то лицензия должна быть у него.

>>Обязана ли ЭДО проходить тематические исследования корректности встраивания СКЗИ в ФСБ?
Провдение исследований на корректность встраивания СКЗИ обязательна в случаях:
- если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
- при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации (далее - государственные органы);
- при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее - организации, выполняющие государственные заказы);
- если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
- при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
- при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.

В остальных случаях указанная проверка носит рекомендательный характер.

>>Какой статус после положительного заключения ФСБ о корректности встраивания СКЗИ появляется у ЭДО?
На практике получение положительного заключения ФСБ означает, что система ЭДО, не имеющая встроенных криптоалгоритмов, корректно использует криптографию, реализованную в СКЗИ, и может использоваться для защиты информации во всех вышеперечисленных случаях.

>>Возможно ли проводить тематические исследования корректности встраивания СКЗИ без наличии лицензии ФСБ у разработчика ЭДО?
Нет, данные исследования может проводить организация имеющая аттестат аккредитации в качестве испытательной лаборатории ФСБ на проведение данных работ.
В ближайшее время наша организация должна получить такой аттестат и сможет проводить самостоятельно данные исследования.

>>Вы оказываете услуги консалтинга по встраиванию СКЗИ в приложения, результатом работ
является "заключение от имени компании о корректности встраивания СКЗИ в конкретное приложение" - что это?
Это дополнительный необходимый документ для ФСБ или это замена процедуры "тематические исследования корректности встраивания СКЗИ в ФСБ"?

Заключение от имени компании это наш собственный документ, не являющийся заменой заключния ФСБ и предназначенный для организаций, которым проведение тематических исследований СКЗИ по требованиям ФСБ не обязательно.
Данное заключение часто требуется, когда разработчику системы необходимо доказать заказчику, что СКЗИ встроена корректно в данную систему.


Вернуться к началу
СообщениеДобавлено: 28 янв 2009, 14:09 

Зарегистрирован: 27 янв 2009, 09:32
Сообщения: 6
Спасибо за ответы.
Но остался еще один вопрос.
Какие ещё лицензии нужны самой организации которая эксплуатирует ЭДО и соответственно обслуживает посредством её сторонних клиентов.
Предположим что организация уже имеет лицензию на разработку шифр. средств.


Вернуться к началу
СообщениеДобавлено: 28 янв 2009, 14:55 

Зарегистрирован: 28 янв 2009, 09:24
Сообщения: 58
Откуда: ЗАО "Сигнал-КОМ"
Так же необходимы следующие лицензии ФСБ:

- на осуществление технического обслуживания шифровальных (криптографических) средств
- на осуществление распространения шифровальных (криптографических) средств
- на осуществление предоставления услуг в области шифрования информации


Вернуться к началу
Показать сообщения за:  Поле сортировки  
Начать новую тему  Ответить на тему  [ 4 сообщения ] 

Часовой пояс: UTC+03:00


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Limited
Русская поддержка phpBB