Форум ЗАО "Сигнал-КОМ"

Текущее время: 07 авг 2020, 16:07

Часовой пояс: UTC+03:00




Начать новую тему  Ответить на тему  [ 2 сообщения ] 
Автор Сообщение
 Заголовок сообщения: Вопрос по Inter-PRO
СообщениеДобавлено: 04 май 2017, 13:36 

Зарегистрирован: 04 май 2017, 13:26
Сообщения: 1
При использовании Inter-PRO требуется проводить проверку корректности встраивания? Если да, в каких случаях?

В сертификатах ФСБ России СФ/114-2689 и СФ/124-2690 не указано, что продукт можно использовать для защиты TLS, а у КриптоПро и Инфотекса - указано. Это каким-то образом влияет на первый вопрос?


Вернуться к началу
 Заголовок сообщения: Re: Вопрос по Inter-PRO
СообщениеДобавлено: 04 май 2017, 20:17 

Зарегистрирован: 09 сен 2004, 16:06
Сообщения: 1154
1. В Формуляре на сертифицированное СКЗИ любого российского разработчика указано:

При встраивании СКЗИ «xxx» в прикладные системы необходимо проводить оценку влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к СКЗИ требований в следующих случаях:
• если информация, обрабатываемая СКЗИ, подлежит обязательной защите в соответствии с законодательством Российской Федерации;
• при организации криптографической защиты информации, обрабатываемой СКЗИ, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
• при организации криптографической защиты информации, обрабатываемой СКЗИ, в организациях, независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд.
Указанную оценку необходимо проводить по ТЗ, согласованному с ФСБ России.
-----------------------
Таким образом, независимо от наличия или отсутствия в сертификате ФСБ упоминания о возможности использования СКЗИ для защиты трафика в канале по протоколу TLS, в указанных выше случаях все равно придется проводить анализ оценки влияния... (корректность встраивания).
-----------------
2. В инструкциях по встраиванию СКЗИ в прикладное ПО (ППО) имеется раздел «Использование программных интерфейсов», содержащий перечень функций, использование которых «…требует проведения дополнительных тематических исследований с целью сертификации ППО со встроенным СКЗИ в качестве самостоятельного криптосредства. Разработка указанного криптосредства должна проводиться в соответствии с действующей нормативной базой (в частности, с Постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313 и Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)).»
К такого рода функциям относятся, например, функции, связанные с шифрованием/расшифрованием.

Прикладное ПО со встроенным СКЗИ не требует проведения дополнительных тематических исследований с целью сертификации, как самостоятельного криптосредства, в случае, если оно используется для реализации функций генерации ключей, запросов, работы с сертификатами, формирования/проверки ЭП.
--------------------------
Inter-PRO разработано с использованием СКЗИ Крипто-КОМ 3.3 нижнего уровня, которое не реализует протокол TLS, поэтому в сертификате на данное СКЗИ и не сказано ничего о TLS. TLS реализован на уровне приложения Inter-PRO.
Если при использовании Inter-PRO в Вашей прикладной системе его основным назначением можно считать формирование электронной подписи в Html-формах, а не защиту трафика, а сама система не подпадает под ограничения из п.1), то использование Inter-PRO не потребует ни анализа ПО на корректность встраивания, ни его самостоятельной сертификации.


Вернуться к началу
Показать сообщения за:  Поле сортировки  
Начать новую тему  Ответить на тему  [ 2 сообщения ] 

Часовой пояс: UTC+03:00


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Limited
Русская поддержка phpBB