Комментарии 12
именно ФСБ России занимается сертификацией криптосредств
Было бы интересно узнать о процессе сертификации СКЗИ, её сроках, затратах на её проведение, кто её проводит. На какой период выдаются сертификаты на СКЗИ и как они продляются.
И спасибо.
И ещё вдогонку вопрос: АПМДЗ - это СКЗИ или нет? А если нет, то почему он подлежит сертификации?
Недавно на паре проходили. АПМДЗ - это СЗИ, а любое СЗИ подлежит сертификации, насколько знаю. Однако, могу ошибаться
АПМДЗ – это отдельный тип средств защиты «Аппаратно-программный модуль доверенной защиты», который сертифицируют по линии ФСБ России (стоит отметить, что ФСБ России сертифицирует не только СКЗИ). Чаще всего АПМДЗ используется как средство необходимое для функционирования СКЗИ. Сейчас на смену требованиям АПМДЗ пришли требования СЗИ МДЗ (средства защиты информации, реализующие механизмы доверенной загрузки)
Идеология Open Source изначально и не предполагала тесного взаимодействия с государством. Если какое-то государство начнет поддерживать Open Source, сама суть движения будет скомпрометирована.
Да ну! Чем же с точки зрения FOSS программист из государственной компании или вуза на зарплате или гранте хуже такого же из коммерческой компании? Львиная доля FOSS пишется последними. Вот например, чешские госбюджетные вузы объединили усилия и делают ряд неплохих открытых проектов: https://www.cesnet.cz.
Можно огульно сказать, что на FOSS не распилишь денег, но нет: в науке-то гранты дают.
Проблема в том, что FOSS с государственной машиной культурно несовместимы. Бюрократы, кажется, и представить не могут, что может быть значимый для отрасли проект без юрлица, без назначенного лидера и без стимула себя в бумажном мире проявить (такие сведения о зависимостях проекта пытаются собрать при сертификации, например). Кому давать грант, с кого спрашивать отчет? Сообществам проектов, в свою очередь, это все тоже не нужно (кроме денег :), проект предоставляется "как есть", хотелки сверху надо обосновывать или оплачивать, тем более скучные формальные. Собственно, проекты CESNET и делаются через прослойку вузов.
Мемы прям в тему
«Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная Приказом ФАПСИ от 13 июня 2001 года № 152 (далее – Инструкция).
Данный документ ориентирован на пользователей СКЗИ, однако, учитывая год его принятия, он считается устаревшим и по форме, и по содержанию. Например, Инструкцией предписывается хранить эксплуатационную документацию на СКЗИ в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ней. При этом та же документация может находиться в свободном доступе в интернете, в том числе на сайте производителя СКЗИ. Вместе с тем, Инструкция является формально действующей, и за невыполнение ее норм, какими бы странными они не казались в современных реалиях, можно получить административный штраф.
Тут видимо прикол такой - отменять приказ нужно силами Правительства (раз такого органа больше нет и правопреемника нет), а тот кто первым придет в правительство с предложением переделать приказ, тот и будет им заниматься, заодно и другие ведомства опрашивать, мол не хотите ли вы что-то своё туда вставить, и согласовывать со всеми. Бюрократия в действии.
В дополнение к указанным нормативным документам могут приниматься и иные нормативные правовые акты для отдельных отраслей или категорий информации. Например, для такой категории информации как персональные данные, был принят приказ ФСБ России от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – Приказ № 378). Данный приказ адаптирован к современной реальности, в нем нет никаких абсурдных требований. В то же время, этот приказ не подменяет собой Инструкцию, а лишь дополняет ее требования.
Это да, при проверке по линии СКЗИ \ Перс данных они ссылаются как раз таки на свой приказ 378, инструкцию фапси 152 и паспорт формуляр на СКЗИ (правила пользования).
В 152 инструкции есть ведь еще такая штука, как лицевой счет на СКЗИ и мол он должен быть на каждый экземпляр СКЗИ, но благо никто этого не требует.
Однако если вы участвуете в разработке криптопродуктов, для выполнения своих обязанностей вам может потребоваться доступ к сведениям, составляющим государственную тайну.
Видимо есть секретная нормативка, приказ или методика, в которой могут быть упомянуты формулы и т.п.
Випнет серьезное СКЗИ, сейчас, после изменений в ФЗ о персональных данных много где стал встречаться :D
Правовое регулирование в области криптографической защиты информации. 8 вопросов эксперту