Pages - Menu

Страницы

16.9.09

Новая версия документов ФСБ по ПДн

Вчера, 15-го сентября наступил последний объявленный срок подготовки проекта приказа ФСБ России по персональным данным. После этого он должен пройти процедуры согласования в ФСБ России, ФСТЭК России и будет в конце ноября - начале декабря направлен на регистрацию в Минюст России.

Что появилось в новом документе неизвестно ;-( Я свои предложения подавал в ФСБ еще в июне. Надеюсь, что-то из них было учтено в новой версии документов ФСБ. Жаль, что ФСТЭК не просил, пусть и односторонней, но все-таки обратной связи.

Предложения для ФСБ по персданным

ЗЫ. На bankir.ru можно найти и другие предложения в ФСБ по теме персданных.

12 комментариев:

  1. Вот это я понимаю - самомнение :)
    "п. 9.3. тоже невыполним, т.к. я не представляю себе..."

    ОтветитьУдалить
  2. А почему сертификат на КриптоПро пропадает без АПМДЗ? Там что, даже по КС1 он обязателен? И помнится была версия 2.0 под архитектуру SPARK (если не путаю), под неё АПМДЗ вообще не было в природе, а сертификат по КС2 был (при условии опечатывания с/б с ног до головы) - хотя тогда ещё прошлые Требования были, сейчас конечно может и нельзя по КС2.

    ОтветитьУдалить
  3. По корректности встраивания.
    Что необходимо проверить, как разработчик СКЗИ сделал допустим CSP ты не споришь? А чем это отличается о необходимости проверить, что разработчик прикладухи вызывает вообще функции провайдера?
    Первому - доверяй, но проверяй, а второму - просто доверяй? Тогда зачем первого проверять?

    ОтветитьУдалить
  4. VSB: Причем тут самомнение? Я это примеряю на себя и множество организаций, с которыми работаю ;-) Еще хоть как-то физически это можно сделать для аппаратных средств построения VPN. А как быть с ПО КриптоПРО? Как его изъять и убрать в сейф?

    Я по КриптоПро смотрю имеющиеся у меня формуляры на 3-ю версию, имхо.

    По поводу разработку криптухи - это прерогатива ФСБ и пусть они это проверяют. Но разработка прикладухи - это не их тема. Более того, риски за ее неиспользование - это риски оператора ПДн. Может он готов судиться с каждым субъектом? Или отдать все на аутсорсинг? Или застраховать риски? Так зачем ему проверять корректность встраивания? Излишне. Не говоря уже о том, что для большинства систем это невыполнимо в реальной жизни.

    ОтветитьУдалить
  5. про самомнение - я не зря вырвал из контекста, ты прав по сути, но оформил как-то очень авторитарно имхо

    а на сайте их
    "Настоящий сертификат удостоверяет, что средство криптографической защиты информации (СКЗИ) "КриптоПро CSP (версия 3.0)" в составе согласно формуляру ЖТЯИ.00015-01 30 01 соответствует требованиям ГОСТ 28147-89, ГОСТ Р34.10-94, ГОСТ Р34.10-2001, ГОСТ Р34.11-94 и требованиям ФСБ России к СКЗИ класса КС1 (КС2 при использовании совместно с сертифицированными аппаратно-программными модулями доверенной загрузки ЭВМ "Аккорд-АМДЗ" или "Соболь-PCI")"

    Т.е. я так понимаю, что это для КС2 обязателен АПМДЗ

    Про корректность у меня в тексте аж четыре знака вопроса. На второй ответь плиз. И ещё
    "Но разработка прикладухи - это не их тема. Более того, риски за ее неиспользование - это риски оператора ПДн." - аргумента про неиспользование не понял.

    ОтветитьУдалить
  6. Потому что одно дело проверить реализацию одного CSP и совсем другое дело проверить как к этому CSP обращаются сотни тысяч различных приложений. Особенно если ты не знаешь, как это приложение работает. Когда у тебя такой требование есть, то разработчик прикладухи становится заложником лаборатории, в которой просто нет специалистов по этой прикладухе. Замкнутый круг?

    ОтветитьУдалить
  7. Ну а авторитарность связана с тем, что я высказывал свое экспертное мнение.

    ОтветитьУдалить
  8. Получается, что разработчику приклада доверия больше, чем разработчику СКЗИ - а с какой стати?
    Только из-за трудоёмкости проверки?

    ОтветитьУдалить
  9. Речь не о доверии, а о останове бизнеса. Хочешь проверять все - набери и обучи людей, найди железо/софт для проверок, создай сеть центров проверки, пропиши четко процедуру и сроки, гарантируй защищенность кодов и все это предложи за адекватные деньги. Вот тогда и запускай такие требования.

    ОтветитьУдалить
  10. А раз ничего этого нет - встраивай абы как на коленке вызовы функций криптобиблиотек, гордо размахивай сертификатом на криптоядро с криптопримитивами и рассказывай, что всё бы сертифицировали, да долго, исходники боимся уплывут к конкурентам, в нашем продукте никто кроме нас разобраться не может, зато у нас первоклассные специалисты/программисты, они без ошибок пишут, им контроль не нужен...
    А вообще, по твоему, нужна ли обязательная сертификация средств защиты информации (включая и не включая криптосредства) для не гостайны?

    ОтветитьУдалить
  11. смайл забыл поставить
    я тут в роли адвоката дьявола, ибо сами сертифицируем криптоядрышки по возможности :)

    ОтветитьУдалить
  12. Я считаю, что не нужна - нужна для гостайны и КСИИ. Все остальные способны сами взвешивать риски и управлять ими. Как это сделано на Западе.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.