Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Вот это да. В документе с требованиями к средствам ЭП приведено описание классов KC, KB и KA. В кои-то веки.
Но это единственная хорошая новость, а плохая - это то, что документ таки распространяется на все средства ЭП - не только квалифицированные. А в требованиях: - соответствие ПКЗ - использование ГОСТовых криптоалгоритмов (либо прошедших экспертизу в ФСБ - интересно, есть такие?) и т.п.
Ну и никаких галочек в качестве простой ЭП не предвидится.
Лучше не торопить события и не читать эти проекты, поскольку их Минкомсвязи не утвердила, на сейчас готовят согласительную комиссию и видимо ещё будут править эти документы. Также хочу напомнить что в соответствии с распоряжением 1214-р эти бумажки + требования к УЦ (которой пока нет на сайте даже в виде проекта - наверное как и раньше на него гриф повесят) должны были родится к 31 августа 2011 года.
Видя как Минкомсвязь "сдает" позиции почти по всем вопросам ИБ, я не удивлюсь, если после долгой и плодотворной работы данные постановления пройдут (как бы мне не хотелось).
А у них был другой вариант развития событий? В части ЭП/ЭЦП/криптографии шансы были небольшие, зря только копья ломали - надо было делать это году так в 2004-2006, когда не было осознания необходимости добровольного использования сертифицированных средств, потом уже было поздно. Занимались глупостью. ИМХО.
Проекты выложены на сайте, адрес там есть. Почему не учли тогда? Причин может быть масса, а не только радикальное несовпадение мнений. Может и сейчас найдутся причины не учитывать мнение, но на данном этапе запущен механизм сбора мнений по этим проектам. Поэтому просто не учесть не смогут, отказ должен быть обоснован. Как вариант можете выложить в блоге и все вместе обсудим какими должны быть требования.
А вообще я погорячился, когда написал, что не вняли. Сейчас перечитал приказ и мои замечания. Почти все учли ;-) Кроме одного. В явной форме не прописано, что приказ говорит о квалифицированной ЭП. Это как бы вытекает из определений, которое говорит только о криптографии, но хотелось бы явного указания. В остальном у меня серьезных замечаний нет.
ЗЫ. Но надо учитывать, что я не большой знаток темы ЭП. Я смотрел на этот документ с позиции VPN ;-) Поэтому поверхностный взгляд.
так здорово же ;) "не прописано, что приказ говорит о квалифицированной ЭП", я так понял сделано это сознательно. Сейчас получается, что требования распространяются на средства квалифицированной, неквалифицированной и простой ЭП (использующие криптографию), но только для средств квалифицированной ЭП (в соответствии с законом) выполнение данных требований обязательно.
Что-то запутался совсем. В Методических рекомендациях по защите ПД указывается что "Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нару-шитель типа Нi (2<=i<=6)." А в проекте документа по требованиям к средствам ЭП п 13.1 указывает что средство класса КС1 должно противостоять нарушителю имеющему возможность самостоятельно осуществлять создание способов атак В чем Фокус? Или я какую-то мелось в Методических рекомендациях не уловил?
22 коммент.:
Вот это да.
В документе с требованиями к средствам ЭП приведено описание классов KC, KB и KA. В кои-то веки.
Но это единственная хорошая новость, а плохая - это то, что документ таки распространяется на все средства ЭП - не только квалифицированные.
А в требованиях:
- соответствие ПКЗ
- использование ГОСТовых криптоалгоритмов (либо прошедших экспертизу в ФСБ - интересно, есть такие?)
и т.п.
Ну и никаких галочек в качестве простой ЭП не предвидится.
Лучше не торопить события и не читать эти проекты, поскольку их Минкомсвязи не утвердила, на сейчас готовят согласительную комиссию и видимо ещё будут править эти документы.
Также хочу напомнить что в соответствии с распоряжением 1214-р эти бумажки + требования к УЦ (которой пока нет на сайте даже в виде проекта - наверное как и раньше на него гриф повесят) должны были родится к 31 августа 2011 года.
Виноват, просмотрел - требования к УЦ и требования с средству подписи уложили в один проект приказа.
msm59: Минкомсвязи продавят, как это уже было не раз ;-)
Особенно учитывая, кто темой ИБ в Минкомсвязи рулит
Алексей, приходится там в МКСе бывать, но я так и не понял, кто там ИБ руководит:-)
Поведайте, если знаете...
Александр Петрович
ГАП, внятный.
Но он пасет только "информационное общество" и то в части ААА
Видя как Минкомсвязь "сдает" позиции почти по всем вопросам ИБ, я не удивлюсь, если после долгой и плодотворной работы данные постановления пройдут (как бы мне не хотелось).
А у них был другой вариант развития событий? В части ЭП/ЭЦП/криптографии шансы были небольшие, зря только копья ломали - надо было делать это году так в 2004-2006, когда не было осознания необходимости добровольного использования сертифицированных средств, потом уже было поздно. Занимались глупостью. ИМХО.
свои замечания уже отправили?
Я свои замечания высказывал еще пару месяцев назад, на этапе разработки этого документа. Не вняли ;-(
в рабочем порядке? официальное письмо?
с интересом бы посмотрел
Два месяца назад? В официальном порядке? Тогда про эти требования мало кто знал.
было что-то прнципиальное, что сейчас уже поздно высказывать?
Высказывать кому? Разработчикам или Минкомсвязи? Если разработчики раньше не учли предложения, то каковы шансы, что сейчас учтут?
Проекты выложены на сайте, адрес там есть. Почему не учли тогда? Причин может быть масса, а не только радикальное несовпадение мнений. Может и сейчас найдутся причины не учитывать мнение, но на данном этапе запущен механизм сбора мнений по этим проектам. Поэтому просто не учесть не смогут, отказ должен быть обоснован.
Как вариант можете выложить в блоге и все вместе обсудим какими должны быть требования.
Да, про выложить в блог я уже подумал. Сейчас сравню нумерацию пунктов и выложу
А вообще я погорячился, когда написал, что не вняли. Сейчас перечитал приказ и мои замечания. Почти все учли ;-) Кроме одного. В явной форме не прописано, что приказ говорит о квалифицированной ЭП. Это как бы вытекает из определений, которое говорит только о криптографии, но хотелось бы явного указания. В остальном у меня серьезных замечаний нет.
ЗЫ. Но надо учитывать, что я не большой знаток темы ЭП. Я смотрел на этот документ с позиции VPN ;-) Поэтому поверхностный взгляд.
так здорово же ;)
"не прописано, что приказ говорит о квалифицированной ЭП", я так понял сделано это сознательно. Сейчас получается, что требования распространяются на средства квалифицированной, неквалифицированной и простой ЭП (использующие криптографию), но только для средств квалифицированной ЭП (в соответствии с законом) выполнение данных требований обязательно.
А на пароли эти требования как распространить? На одноразовые коды? Либо никак, потому что там нет криптографии. Либо изголяться...
на средства простой ЭП, не использующие криптографию, данные требования не распространяются
а зачем изголяться?
Думаю минкомсвязь требования к средствам ЭП без криптографии не пропустит мимо, иначе странно все это.
Хотя пароли должны создаваться на основе псевдослучайных последовательностей и распределяться безопасным способом ;)
Что-то запутался совсем. В Методических рекомендациях по защите ПД указывается что "Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нару-шитель типа Нi (2<=i<=6)."
А в проекте документа по требованиям к средствам ЭП п 13.1 указывает что средство класса КС1 должно противостоять нарушителю имеющему возможность самостоятельно осуществлять создание способов атак
В чем Фокус? Или я какую-то мелось в Методических рекомендациях не уловил?
Отправить комментарий