Форум ЗАО "Сигнал-КОМ"

Текущее время: 07 июл 2020, 22:14

Часовой пояс: UTC+03:00




Начать новую тему  Ответить на тему  [ 19 сообщений ] 
Автор Сообщение
СообщениеДобавлено: 23 авг 2017, 10:53 

Зарегистрирован: 23 авг 2017, 10:18
Сообщения: 14
Добрый день!
В связи с появлением на сайте ФСБ информационного сообщения о необходимости организации проведения тематических исследований (контроля встраивания) систем, защищенных СКЗИ -
http://www.fsb.ru/fsb/science/single.ht ... chart.html , хотел бы получить информацию по следующим вопросам:
1. Правильно ли я понимаю, что для проведения контроля встраивания, необходимо предоставить исходный код того ПО, в которое было встроено СКЗИ?
2. Что (какой документ) будет является подтверждением проведения контроля встраивания?
3. Как должен быть организован процесс, что бы при "накатывании" обновлений (патчей) на ПО, подтверждение прохождения контроля встраивания оставалось актуальным?
4. Проводили ли (или проводят в настоящий момент) какие-либо разработчики банковского ПО контроль встраивания для систем своей разработки? Прежде всего интересуют системы ДБО.

Заранее спасибо!


Вернуться к началу
СообщениеДобавлено: 30 авг 2017, 14:36 

Зарегистрирован: 23 авг 2017, 10:18
Сообщения: 14
Вот интересно, на сайте Сигнал-КОМ, в перечне оказываемых услуг компании по ссылке https://signal-com.ru/service/cons-skzi видим вот такую информацию (причем, местами "с ценником"):
- Консультации по встраиванию криптографических решений компании «Сигнал-КОМ» в приложение Заказчика;
- Проверка корректности встраивания криптографических решений компании «Сигнал-КОМ» в приложение Заказчика;
- Повторное проведение оценки корректности встраивания криптографических решений компании «Сигнал-КОМ» в приложение Заказчика.

А начинаешь задавать уточняющие вопросы, уже как неделя прошла, но тишина полная.
Это считается нормально?!
Уважаемые представители компании Сигнал-КОМ, АУ!!!


Вернуться к началу
СообщениеДобавлено: 04 сен 2017, 03:37 

Зарегистрирован: 09 сен 2004, 16:06
Сообщения: 1154
Приносим извинения за задержку с ответом, ещё не все сотрудники вернулись из отпусков, поэтому в первую очередь отвечаем на письма с вопросами по проблемам эксплуатации СКЗИ.

Ответы на Ваши вопросы:

1) На этапе согласования с ФСБ технического задания на проведение оценки влияния окружения на эксплуатацию СКЗИ, встроенного в прикладное ПО, определяется фрагмент системы (если это не просто программа, а большая система, типа ДБО), который будет подлежать исследованию. Соответственно, в ТЗ определяется перечень передаваемых в исследовательскую лабораторию исходных материалов и их объём. Как правило, вместе с эксплуатационной документацией и дистрибутивами передаются исходные тексты программ, описание их функционирования с детализацией до уровня элементарных функций языка программирования, описание внешних вызовов программ (вызовы операционной среды, аппаратных средств, других программ и т.д.), описание ключевой системы.

Обязательное проведение "оценки влияния" требует только то ПО, которое подпадает под условия, приведённые в формуляре на встроенное СКЗИ.

2) По результатам проведённой экспертизы ФСБ утверждает заключение.

3) К сожалению, любое обновление ПО требует дополнительных исследований или, как минимум, извещения ФСБ об изменениях с обоснованием причин, позволяющих не проводить дополнительных исследований.

4) Нам не известно, кто из разработчиков банковского ПО проводил или проводит работы по оценке влияния окружения на эксплуатацию СКЗИ в составе ДБО.


Вернуться к началу
СообщениеДобавлено: 04 сен 2017, 11:17 

Зарегистрирован: 23 авг 2017, 10:18
Сообщения: 14
Большое спасибо за столь содержательный ответ!


Вернуться к началу
СообщениеДобавлено: 13 сен 2017, 10:52 

Зарегистрирован: 23 авг 2017, 10:18
Сообщения: 14
Добрый день!
Просьба прояснить ситуацию с разработанными компанией криптографическими плагинами, некоторые из которых используются или запланированы к использованию банками. Собственно вопрос о том, необходимо ли проведение "тематических исследований" и в каком объеме (т.е. примерно исследования каких компонентов ДБО), в том случае, если в ДБО используется криптографический плагин и СКЗИ вашей разработки?
Собственно вопрос обусловлен желанием понять, какая должна быть архитектура типичного ДБО (на уровне криптографических компанент), что бы у банка (потенциального покупателя системы ДБО) не было необходимости заниматься процедурой контроля встраивания (быть её заказчиком).
На текущий момент, есть некое предположение, что использование сертифицированных плагинов(на стороне клиента) и некого крипто-сервера (на стороне банка) могли бы позволить реализовать систему ДБО не подпадающую в т.ч. и под данные требования ФСБ - http://www.fsb.ru/fsb/science/single.ht ... chart.html
Заранее спасибо!


Вернуться к началу
СообщениеДобавлено: 07 ноя 2017, 14:49 

Зарегистрирован: 23 авг 2017, 10:18
Сообщения: 14
Добрый день!
На сайте компании, в новостях от 26.09.2017 - "Новости >>Получены сертификаты ФСБ России на СКЗИ "Крипто-КОМ 3.3" (варианты исполнения 7, 8) "
В тексте присутствует следующая фраза -
.........переход на использование сертифицированной библиотеки Message-PRO не только обеспечит соответствие ваших разработок действующему законодательству, но и:
•не потребует проведения тематических исследований при встраивании СКЗИ в прикладные системы;

Не могли бы раскрыть, по подробней, в связи с чем встраивание данного СКЗИ в прикладное ПО не потребует проведения тематических исследований?
Заранее спасибо!


Вернуться к началу
СообщениеДобавлено: 08 ноя 2017, 16:47 

Зарегистрирован: 09 сен 2004, 16:06
Сообщения: 1154
Требования по встраиванию СКЗИ в приложения описаны в документе "СКЗИ «Крипто-КОМ 3.3» Руководство программиста для вариантов исполнения 7, 8", ШКНР.00035-07 33 08, который утвержден регулятором в рамках сертификации.
Согласно этого документа, при выполнении описанных в нём требований, проведение дополнительных тематических исследований не требуется.


Вернуться к началу
СообщениеДобавлено: 08 ноя 2017, 23:16 

Зарегистрирован: 23 авг 2017, 10:18
Сообщения: 14
Конечно, хорошо бы ознакомится с этим документом, но предполагаю, что поход примерно такой же, как и при пользованием крипто-про.
Т.е., при использование только определенных вызовов, не требуется проведения контроля встраивания.
Но вопрос, кто должен подтвердить, что при встраивании СКЗИ в прикладное ПО были использованы именно определенные вызовы?
Или достаточно чисто декларативного заявления, типа "мамой клянусь"?


Вернуться к началу
СообщениеДобавлено: 09 ноя 2017, 10:27 

Зарегистрирован: 09 сен 2004, 16:06
Сообщения: 1154
Подход регулятора един для всех разработчиков: есть определенный набор функций, использование которых при встраивании СКЗИ в прикладное ПО влечет за собой необходимость дополнительных исследований на корректность встраивания. Этим занимаются специализированные лаборатории, имеющие лицензии регулятора на осуществление такого рода деятельности.
Если Вы хотите ознакомиться с интересующим Вас документом, то Вам необходимо прислать официальный запрос на наш электронный ящик signal@signal-com.ru, в котором необходимо указать кто Вы и какую организацию представляете.


Вернуться к началу
СообщениеДобавлено: 10 ноя 2017, 14:27 

Зарегистрирован: 23 авг 2017, 10:18
Сообщения: 14
Ну, например, для СКЗИ Сигнатура, такого списка нет.
И, кроме того, все таки хотелось бы понять, как разработчик ПО должен/может подтвердить, что он использовал только "разрешенный" набор вызовов СКЗИ в своём ПО, и что контроль встраивания ему не нужен?


Вернуться к началу
СообщениеДобавлено: 10 ноя 2017, 20:05 

Зарегистрирован: 10 ноя 2017, 19:46
Сообщения: 5
Все зависит от того, кому вы собираетесь подтверждать и при каких обстоятельствах. Кто то поверит вам на слово, кто то попросит перечень вызовов, а кто то заключение специалистов, вплоть до регулятора. Но для каждого конкретного случая есть своя процедура.


Вернуться к началу
СообщениеДобавлено: 16 ноя 2017, 15:25 

Зарегистрирован: 23 авг 2017, 10:18
Сообщения: 14
Вот есть т.н. ПКЗ2005, формуляр на СКЗИ и, например, вот такое разъяснение http://www.fsb.ru/fsb/science/single.ht ... chart.html
Собственно в контексте этих материалов я и задаю вопросы. Т.е., в данном случае, какая процедура с точки зрения действующего законодательства?
А вы о чем, если не секрет? Как решить вопрос по понятиям? Или вы считаете, что это единственно возможный способ?


Вернуться к началу
СообщениеДобавлено: 17 ноя 2017, 12:20 

Зарегистрирован: 10 ноя 2017, 19:46
Сообщения: 5
Так в том то и дело, что вы сами пытаетесь подвести ситуацию к решению по понятиям в тех случаях, когда понятия не работают. Какие, по вашему, могут существовать способы для проверки утверждения :"Я все сделал правильно".?
Если вам нужен официальный ответ - никакие, кроме проведения испытаний с письменным заключением испытательной лаборатории. Или вы думаете, что кто то просто так даст вам бумагу/заключение, что вы молодец иначе как?


Вернуться к началу
СообщениеДобавлено: 17 ноя 2017, 23:26 

Зарегистрирован: 23 авг 2017, 10:18
Сообщения: 14
Какая-то словесная шелуха. Что значит просто или не просто? Еще раз, если что-то не понятно, есть некое юридическое поле действия нормативный документов. Именно в рамках этого поля и задавался вопрос. Собственно о чем тогда был ваш первый пост? Похоже ни о чем. Если будет желание что-то добавить, то большая просьба, со ссылками на конкретные пункты конкретных нормативных документов. Заранее спасибо.


Вернуться к началу
СообщениеДобавлено: 19 ноя 2017, 11:50 

Зарегистрирован: 10 ноя 2017, 19:46
Сообщения: 5
Хорошо, попробую еще раз, надеюсь в последний.

В соответствии с принципом «презумпции невиновности», действующим в российском административном праве, для привлечения кого-либо к ответственности, обвиняющая сторона должна предоставить доказательную базу наличия с его стороны нарушения положений действующего законодательства. В этом смысле, если встраивание СКЗИ в приложения не требует проведения тематических исследований, вам не потребуется что то доказывать, достаточно контролирующим органам предъявить документацию на СКЗИ.
Но если клиенты вашей системы пострадают (понесут потери), то презумпция невиновности перестает работать и может быть назначена экспертиза.
Это то, о чем я писал раньше: в зависимости от ситуации доказательная база может быть разной.
Теперь еще раз о том «как разработчик ПО должен/может подтвердить, что он использовал только "разрешенный" набор вызовов СКЗИ в своём ПО»?
Мой ответ: никак, иначе чем через привлечение третьей стороны в лице специализированной лаборатории для проведения испытаний и получения от нее заключения о корректности встраивания СКЗИ в приложение.
В этом, кстати, есть и дополнительный плюс, который позволит вам не только усилить свою позицию перед контролирующими органами, но и самому быть уверенным в своей системе, т.к. у вас будет заключение специалистов о том, что ваши программисты все сделали правильно. Успехов.


Вернуться к началу
СообщениеДобавлено: 21 ноя 2017, 10:19 

Зарегистрирован: 23 авг 2017, 10:18
Сообщения: 14
Вы свои детские бредни про презумпцию невиновности и собственное понимание права лучше бы рассказали тем пред правления банков в Краснодарском крае, на которых были возбуждены уголовные дела по 171 УК РФ "Незаконное предпринимательство..." из-за отсутствия у их банков лицензии ФСБ на СКЗИ.
Есть определенные требования регулятора, должны быть соответствующие лицензии, сертификаты, выписки подтверждения и т.п., что там требуется в каждом конкретном случае в соответствии с требованиями. Какая еще доказательная база? О чем вы?
Про "экспертизу" системы по решению суда, то же, кстати, разговоры пока не о чем. Наберите в яндексе "судебная практика дбо" или что-то похожее по своему усмотрению. Нет пока прецедентов проведения экспертизы системы (ПО) по решению суда. То ли не доросли, то ли не хотят связываться из-за дороговизны и длительности такой процедуры.
Есть, конечно, еще ГОСТ Р 57580.1-2017 и проект 382-П ЦБ РФ, с требованиями к банкам по использованию сертифицированного банковского ПО или контролем их исходников по ОУД4, но это уже несколько другая тема, хотя подходы те же.


Вернуться к началу
СообщениеДобавлено: 23 ноя 2017, 17:44 

Зарегистрирован: 10 ноя 2017, 19:46
Сообщения: 5
Банкам у которых «отсутствует лицензия ФСБ на СКЗИ» боюсь уже ничто не поможет… даже презумпция невиновности.
Тем не менее я разделяю ваше беспокойство, по поводу ответственности за безопасность ИС. К сожалению, в России никто ни от чего не застрахован. Для того, чтобы грамотно отстаивать свою позицию и свести риски к минимуму, вы задаете вопросы на форуме и люди тратят время на них отвечая. Так, что дайте себе труд хотя бы понять эти ответы, не путайтесь в терминах (лицензирование и сертификация), поменьше эмоций и больше внятных аргументов. Глядишь - все и получится.

P.S. Ни одного, заслуживающего внимания, аргумента против моей позиции я не увидел, поэтому и отвечать собственно нечего.


Вернуться к началу
СообщениеДобавлено: 24 ноя 2017, 09:04 

Зарегистрирован: 10 ноя 2017, 19:46
Сообщения: 5
и, если требуется, подробнее: лицензии выдаются на виды деятельности; на СКЗИ выдаются сертификаты. Из вашего поста неясно, то ли у банков не было лицензии на распространение шифровальных средств, то ли не было сертификата на СКЗИ. Тем не менее, и то и другое нарушение не попадает под «презумпцию невиновности» и позволяет привлечь к ответственности.
Случаев нарушений с ДБО много, но с каждым надо разбираться отдельно, но это совершенно другая тема, не имеющая отношение к заданному вопросу : при каких условиях НЕОБХОДИМО проводить оценку корректности встраивания СКЗИ в приложения.


Вернуться к началу
СообщениеДобавлено: 24 ноя 2017, 11:14 

Зарегистрирован: 23 авг 2017, 10:18
Сообщения: 14
По моему, в двух последних постах, вы сами себе противоречите. И с чего вы решили, что я в чем-то путаюсь. С цитатами пожалуйста.
И какая еще "ответственность за безопасность ИС"? Речь идет исключительно об исполнении требований регуляторов. Т.е. это т.н. "регуляторный риск" или как его еще называют - комплаенс.
Хотя, похоже, нормативку вы не читаете и, вообще, в части требований нормативных документов абсолютно не в теме. Но очень хочется потролить на форуме. Бывает....
Но если очень хочется вернутся к исходному вопросу - "когда же НЕОБХОДИМО проводить оценку корректности встраивания СКЗИ?", я не против, но пишите тогда со ссылками на нормативные документы, а то всё как-то очень голословно выглядит.


Вернуться к началу
Показать сообщения за:  Поле сортировки  
Начать новую тему  Ответить на тему  [ 19 сообщений ] 

Часовой пояс: UTC+03:00


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Limited
Русская поддержка phpBB