1. В Формуляре на сертифицированное СКЗИ любого российского разработчика указано:
При встраивании СКЗИ «xxx» в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований в следующих случаях:
• если информация, обрабатываемая СКЗИ, подлежит обязательной защите в соответствии с законодательством Российской Федерации;
• при организации криптографической защиты информации, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
• при организации криптографической защиты информации, обрабатываемой СКЗИ, в организациях, независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд.
Указанную оценку необходимо проводить по ТЗ, согласованному с ФСБ России.
-----------------------
Таким образом, независимо от наличия или отсутствия в сертификате ФСБ упоминания о возможности использования СКЗИ для защиты трафика в канале по протоколу TLS, в указанных выше случаях все равно придется проводить анализ оценки влияния... (корректность встраивания).
-----------------
2. В инструкциях по встраиванию СКЗИ в прикладное ПО (ППО) имеется раздел «Использование программных интерфейсов», содержащий перечень функций, использование которых «…требует проведения дополнительных тематических исследований с целью сертификации ППО со встроенным СКЗИ в качестве самостоятельного криптосредства. Разработка указанного криптосредства должна проводиться в соответствии с действующей нормативной базой (в частности, с Постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313 и Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)).»
К такого рода функциям относятся, например, функции, связанные с шифрованием/расшифрованием.
Прикладное ПО со встроенным СКЗИ не требует проведения дополнительных тематических исследований с целью сертификации, как самостоятельного криптосредства, в случае, если оно используется для реализации функций генерации ключей, запросов, работы с сертификатами, формирования/проверки ЭП.
--------------------------
Inter-PRO разработано с использованием СКЗИ Крипто-КОМ 3.3 нижнего уровня, которое не реализует протокол TLS, поэтому в сертификате на данное СКЗИ и не сказано ничего о TLS. TLS реализован на уровне приложения Inter-PRO.
Если при использовании Inter-PRO в Вашей прикладной системе его основным назначением можно считать формирование электронной подписи в Html-формах, а не защиту трафика, а сама система не подпадает под ограничения из п.1), то использование Inter-PRO не потребует ни анализа ПО на корректность встраивания, ни его самостоятельной сертификации.
|