Pages - Menu

Pages

23.11.10

Регулирование криптографии - финальная версия карты

Несмотря на почти полное отсутствие комментариев и конкретных предложений (исключая Ригеля), я довел документ до ума и финализировал его. Надеюсь будет полезным в работе.

PS. Возможно я плохо искал, но я не нашел документов, регламентирующих сертификацию СКЗИ для защиты конфиденциальной информации. По гостайне есть приказ ФСБ о создании системы сертификации. А вот по конфиденциалке такого документа нет... Или я плохо искал?

Russia Crypto Regulation

28 comments:

  1. bibamuzNovember 23, 2010 at 6:40 AM

    Алексей, подскажите, пожалуйста, что за проект приказа ФСБ по ПДн (в разделе эксплуатация)?
    Он есть где-нибудь в открытом виде?
    А за табличку спасибо:)
    зы - я думаю далеко не каждый может позволить себе провести столь широкомасштабное обобщение:)

    ReplyDelete
  2. bibamuzNovember 23, 2010 at 6:40 AM

    This comment has been removed by the author.

    ReplyDelete
  3. Алексей ЛукацкийNovember 23, 2010 at 10:53 AM

    bibamuz'у: Пока в открытом виде проекта нет.

    ЗЫ. Может каждый - было бы желание. Ничего секретного в этой табличке нет ;-)

    k-buga: ну смотреть документ для комментов можно было и в блоге ;-) Но если хотелось скачать, то можно создать аккаунт в scribd напрямую, не через facebook.

    ReplyDelete
  4. aebratNovember 23, 2010 at 11:47 AM

    Алексей,а не планируется ли создать что-то подобное не по криптографии а по ПДн? понятно, что работа большая, но было бы полезно!

    ReplyDelete
  5. Алексей ЛукацкийNovember 23, 2010 at 11:48 AM

    Планируется. Как и карта по регулированию ТЗКИ.

    ReplyDelete
  6. Alexey VolkovNovember 23, 2010 at 2:17 PM

    > А вот по конфиденциалке такого документа нет... Или я плохо искал?

    Дык эта. И "конфиденциалки"-то нет никакой ;)

    ReplyDelete
  7. Алексей ЛукацкийNovember 23, 2010 at 2:25 PM

    Похоже нашел - система добровольной сертификации средств криптографической защиты ФАПСИ, зарегистрированная в Ростехрегулировании еще в 90-х годах.

    ReplyDelete
  8. AnonymousNovember 23, 2010 at 3:30 PM

    Возможно не заметил (зрением стал слаб :-) ), но есть ФЗ-1 который требует для проверки ЭЦП использовать именно сертифицированные средства подписи (считай СКЗИ).

    ReplyDelete
  9. Алексей ЛукацкийNovember 23, 2010 at 3:38 PM

    Это есть - ветка "ЭЦП"

    ReplyDelete
  10. Alexey VolkovNovember 23, 2010 at 5:35 PM

    > еще в 90-х годах

    Точно, "в одном месте"...

    ReplyDelete
  11. doomNovember 23, 2010 at 11:14 PM


    PS. Возможно я плохо искал, но я не нашел документов, регламентирующих сертификацию СКЗИ для защиты конфиденциальной информации. По гостайне есть приказ ФСБ о создании системы сертификации. А вот по конфиденциалке такого документа нет... Или я плохо искал?

    Дак ведь уже и здесь неоднократно проскакивало, что у нас в целом нет положений о сертификации СрЗИ для защиты информации отличной от государственной тайны... Это не только для СКЗИ верно.

    ReplyDelete
  12. amt2001November 24, 2010 at 9:05 AM

    Может стоить добавить еще требования ФСБ к информационной безопасности удостоверяющих центров? В документе предъявляются требования к СКЗИ для УЦ.

    ReplyDelete
  13. Алексей ЛукацкийNovember 24, 2010 at 10:14 AM

    amt2001: Спасибо. Эта тема мне мало знакома :-( Буду благодарен за текст или ссылку

    ReplyDelete
  14. AnonymousNovember 24, 2010 at 12:31 PM

    Требования ФСБ к УЦ при сертификации имеют гриф. Так что текст может запросить лицензиат на свой 1 отдел или попросить выписку из требований, правда до какой степени на неё переползёт гриф я не знаю.

    ReplyDelete
  15. pushkinistNovember 24, 2010 at 1:56 PM

    требования фсб для уц - они нужны разве что разработчикам скзи данного назначения.
    остальные с ними в жизни не сталкиваются.
    а вообще в принципе довольно много грифованных доков по криптографии, так что полную карту не построить :(

    ReplyDelete
  16. Алексей ЛукацкийNovember 24, 2010 at 9:58 PM

    Ну название скажите ;-)

    ReplyDelete
  17. СreativeNovember 24, 2010 at 10:40 PM

    doom, вы писали:

    "Дак ведь уже и здесь неоднократно проскакивало, что у нас в целом нет положений о сертификации СрЗИ для защиты информации отличной от государственной тайны... Это не только для СКЗИ верно."

    Обратимся к Положению о сертификации средств защиты информациипо требованиям безопасности информации (утв. Приказом Гостехкомиссии РФ от 27.10.1995 № 199)

    п.1.6. Обязательной сертификации подлежат средства защиты информации, предназначенные для защиты сведений, составляющих государственную тайну, а также другой информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством, ... В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе заявителя (разработчика, изготовителя, поставщика или потребителя) средств защиты информации.

    ReplyDelete
  18. СreativeNovember 24, 2010 at 10:42 PM

    This comment has been removed by the author.

    ReplyDelete
  19. doomNovember 24, 2010 at 10:52 PM

    2 Сreative

    Ну тут снова начинаются дебри неоднозначности. В положении о сертификации утвержденным ПП формулировка касается только СрЗИ для защиты ГТ. По идее, приказ Гостехкомиссии не может расширять область действия положения, так как нынешняя формулировка пункта 4 статьи 5 закона "О техническом регулировании" гласит:

    4. Особенности оценки соответствия продукции (работ, услуг) и объектов, указанных в пункте 1 настоящей статьи, а также соответственно процессов их проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации, захоронения устанавливаются Правительством Российской Федерации.


    Конечно, приказ 199 принят до закона "О техническом регулировании", но, опять же, он должен был быть пересмотрен, как я понимаю...

    ReplyDelete
  20. amt2001November 25, 2010 at 9:38 AM

    Алексей Лукацкий пишет...

    Ну название скажите ;-)

    Требования к информационной безопасности удостоверяющих центров, Москва 2008

    Документ во исполнении требований к функциям УЦ согласно ст.9 1-ФЗ

    ReplyDelete
  21. Алексей ЛукацкийNovember 25, 2010 at 11:39 AM

    Спасибо

    ReplyDelete
  22. ДмитрийNovember 29, 2010 at 4:51 PM

    Алексей, для раздела вывоз было бы неплохо добавить про необходимость разрешения на вывоз соответствующих ведомств

    ReplyDelete
  23. Алексей ЛукацкийNovember 29, 2010 at 5:01 PM

    Каких именно? 580-е разве не определяет этот вопрос?

    ReplyDelete
  24. bibamuzDecember 1, 2010 at 6:32 AM

    Алексей, можете сказать полное название проекта приказа ФСБ по ПДн (раздел эксплуатация у вас), а еще лучше будет, если пришлете его почитать:) - аккаунт гугл сверху...
    Буду ну очень благодарен!

    ReplyDelete
  25. Алексей ЛукацкийDecember 1, 2010 at 11:49 AM

    Мне дорога моя свобода, чтобы рассылать проекты невыпущенных документов ФСБ ;-)

    ReplyDelete
  26. bibamuzDecember 1, 2010 at 2:48 PM

    Если на нем грифа не стоит, то значит свободного распространения:)
    Ну тогда ладно, придется набраться терпения.

    ReplyDelete
  27. Taras ZlonovDecember 10, 2010 at 11:03 PM

    Алексей, картинка отличная получилась!
    Как Вам идея реализовать её в виде странички с "кликабельными" названиями нормативно-правовых документов? Чтобы посмотрел на картинку - нажал на указ 334 - почитал его - осознал всю глубину мысли законодателя - просветился? =)

    ReplyDelete
  28. Алексей ЛукацкийDecember 11, 2010 at 12:24 AM

    Была такая идея - я от нее отказался. У всех разные источники просмотра нормативных документов. У кого-то Гарант, у кого-то Консультант+, у кого-то РГ и т.д. Всем не угодишь.

    ReplyDelete

Note: Only a member of this blog may post a comment.