Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Вот это да. В документе с требованиями к средствам ЭП приведено описание классов KC, KB и KA. В кои-то веки.
Но это единственная хорошая новость, а плохая - это то, что документ таки распространяется на все средства ЭП - не только квалифицированные. А в требованиях: - соответствие ПКЗ - использование ГОСТовых криптоалгоритмов (либо прошедших экспертизу в ФСБ - интересно, есть такие?) и т.п.
Ну и никаких галочек в качестве простой ЭП не предвидится.
Лучше не торопить события и не читать эти проекты, поскольку их Минкомсвязи не утвердила, на сейчас готовят согласительную комиссию и видимо ещё будут править эти документы. Также хочу напомнить что в соответствии с распоряжением 1214-р эти бумажки + требования к УЦ (которой пока нет на сайте даже в виде проекта - наверное как и раньше на него гриф повесят) должны были родится к 31 августа 2011 года.
Видя как Минкомсвязь "сдает" позиции почти по всем вопросам ИБ, я не удивлюсь, если после долгой и плодотворной работы данные постановления пройдут (как бы мне не хотелось).
А у них был другой вариант развития событий? В части ЭП/ЭЦП/криптографии шансы были небольшие, зря только копья ломали - надо было делать это году так в 2004-2006, когда не было осознания необходимости добровольного использования сертифицированных средств, потом уже было поздно. Занимались глупостью. ИМХО.
Проекты выложены на сайте, адрес там есть. Почему не учли тогда? Причин может быть масса, а не только радикальное несовпадение мнений. Может и сейчас найдутся причины не учитывать мнение, но на данном этапе запущен механизм сбора мнений по этим проектам. Поэтому просто не учесть не смогут, отказ должен быть обоснован. Как вариант можете выложить в блоге и все вместе обсудим какими должны быть требования.
А вообще я погорячился, когда написал, что не вняли. Сейчас перечитал приказ и мои замечания. Почти все учли ;-) Кроме одного. В явной форме не прописано, что приказ говорит о квалифицированной ЭП. Это как бы вытекает из определений, которое говорит только о криптографии, но хотелось бы явного указания. В остальном у меня серьезных замечаний нет.
ЗЫ. Но надо учитывать, что я не большой знаток темы ЭП. Я смотрел на этот документ с позиции VPN ;-) Поэтому поверхностный взгляд.
так здорово же ;) "не прописано, что приказ говорит о квалифицированной ЭП", я так понял сделано это сознательно. Сейчас получается, что требования распространяются на средства квалифицированной, неквалифицированной и простой ЭП (использующие криптографию), но только для средств квалифицированной ЭП (в соответствии с законом) выполнение данных требований обязательно.
Что-то запутался совсем. В Методических рекомендациях по защите ПД указывается что "Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нару-шитель типа Нi (2<=i<=6)." А в проекте документа по требованиям к средствам ЭП п 13.1 указывает что средство класса КС1 должно противостоять нарушителю имеющему возможность самостоятельно осуществлять создание способов атак В чем Фокус? Или я какую-то мелось в Методических рекомендациях не уловил?
Вот это да.
ОтветитьУдалитьВ документе с требованиями к средствам ЭП приведено описание классов KC, KB и KA. В кои-то веки.
Но это единственная хорошая новость, а плохая - это то, что документ таки распространяется на все средства ЭП - не только квалифицированные.
А в требованиях:
- соответствие ПКЗ
- использование ГОСТовых криптоалгоритмов (либо прошедших экспертизу в ФСБ - интересно, есть такие?)
и т.п.
Ну и никаких галочек в качестве простой ЭП не предвидится.
Лучше не торопить события и не читать эти проекты, поскольку их Минкомсвязи не утвердила, на сейчас готовят согласительную комиссию и видимо ещё будут править эти документы.
ОтветитьУдалитьТакже хочу напомнить что в соответствии с распоряжением 1214-р эти бумажки + требования к УЦ (которой пока нет на сайте даже в виде проекта - наверное как и раньше на него гриф повесят) должны были родится к 31 августа 2011 года.
Виноват, просмотрел - требования к УЦ и требования с средству подписи уложили в один проект приказа.
ОтветитьУдалитьmsm59: Минкомсвязи продавят, как это уже было не раз ;-)
ОтветитьУдалитьОсобенно учитывая, кто темой ИБ в Минкомсвязи рулит
ОтветитьУдалитьАлексей, приходится там в МКСе бывать, но я так и не понял, кто там ИБ руководит:-)
ОтветитьУдалитьПоведайте, если знаете...
Александр Петрович
ОтветитьУдалитьГАП, внятный.
ОтветитьУдалитьНо он пасет только "информационное общество" и то в части ААА
Видя как Минкомсвязь "сдает" позиции почти по всем вопросам ИБ, я не удивлюсь, если после долгой и плодотворной работы данные постановления пройдут (как бы мне не хотелось).
ОтветитьУдалитьА у них был другой вариант развития событий? В части ЭП/ЭЦП/криптографии шансы были небольшие, зря только копья ломали - надо было делать это году так в 2004-2006, когда не было осознания необходимости добровольного использования сертифицированных средств, потом уже было поздно. Занимались глупостью. ИМХО.
ОтветитьУдалитьсвои замечания уже отправили?
Я свои замечания высказывал еще пару месяцев назад, на этапе разработки этого документа. Не вняли ;-(
ОтветитьУдалитьв рабочем порядке? официальное письмо?
ОтветитьУдалитьс интересом бы посмотрел
Два месяца назад? В официальном порядке? Тогда про эти требования мало кто знал.
ОтветитьУдалитьбыло что-то прнципиальное, что сейчас уже поздно высказывать?
ОтветитьУдалитьВысказывать кому? Разработчикам или Минкомсвязи? Если разработчики раньше не учли предложения, то каковы шансы, что сейчас учтут?
ОтветитьУдалитьПроекты выложены на сайте, адрес там есть. Почему не учли тогда? Причин может быть масса, а не только радикальное несовпадение мнений. Может и сейчас найдутся причины не учитывать мнение, но на данном этапе запущен механизм сбора мнений по этим проектам. Поэтому просто не учесть не смогут, отказ должен быть обоснован.
ОтветитьУдалитьКак вариант можете выложить в блоге и все вместе обсудим какими должны быть требования.
Да, про выложить в блог я уже подумал. Сейчас сравню нумерацию пунктов и выложу
ОтветитьУдалитьА вообще я погорячился, когда написал, что не вняли. Сейчас перечитал приказ и мои замечания. Почти все учли ;-) Кроме одного. В явной форме не прописано, что приказ говорит о квалифицированной ЭП. Это как бы вытекает из определений, которое говорит только о криптографии, но хотелось бы явного указания. В остальном у меня серьезных замечаний нет.
ОтветитьУдалитьЗЫ. Но надо учитывать, что я не большой знаток темы ЭП. Я смотрел на этот документ с позиции VPN ;-) Поэтому поверхностный взгляд.
так здорово же ;)
ОтветитьУдалить"не прописано, что приказ говорит о квалифицированной ЭП", я так понял сделано это сознательно. Сейчас получается, что требования распространяются на средства квалифицированной, неквалифицированной и простой ЭП (использующие криптографию), но только для средств квалифицированной ЭП (в соответствии с законом) выполнение данных требований обязательно.
А на пароли эти требования как распространить? На одноразовые коды? Либо никак, потому что там нет криптографии. Либо изголяться...
ОтветитьУдалитьна средства простой ЭП, не использующие криптографию, данные требования не распространяются
ОтветитьУдалитьа зачем изголяться?
Думаю минкомсвязь требования к средствам ЭП без криптографии не пропустит мимо, иначе странно все это.
Хотя пароли должны создаваться на основе псевдослучайных последовательностей и распределяться безопасным способом ;)
Что-то запутался совсем. В Методических рекомендациях по защите ПД указывается что "Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нару-шитель типа Нi (2<=i<=6)."
ОтветитьУдалитьА в проекте документа по требованиям к средствам ЭП п 13.1 указывает что средство класса КС1 должно противостоять нарушителю имеющему возможность самостоятельно осуществлять создание способов атак
В чем Фокус? Или я какую-то мелось в Методических рекомендациях не уловил?