2.11.11

22 коммент.:

doom комментирует...

Вот это да.
В документе с требованиями к средствам ЭП приведено описание классов KC, KB и KA. В кои-то веки.

Но это единственная хорошая новость, а плохая - это то, что документ таки распространяется на все средства ЭП - не только квалифицированные.
А в требованиях:
- соответствие ПКЗ
- использование ГОСТовых криптоалгоритмов (либо прошедших экспертизу в ФСБ - интересно, есть такие?)
и т.п.

Ну и никаких галочек в качестве простой ЭП не предвидится.

Анонимный комментирует...

Лучше не торопить события и не читать эти проекты, поскольку их Минкомсвязи не утвердила, на сейчас готовят согласительную комиссию и видимо ещё будут править эти документы.
Также хочу напомнить что в соответствии с распоряжением 1214-р эти бумажки + требования к УЦ (которой пока нет на сайте даже в виде проекта - наверное как и раньше на него гриф повесят) должны были родится к 31 августа 2011 года.

Анонимный комментирует...

Виноват, просмотрел - требования к УЦ и требования с средству подписи уложили в один проект приказа.

Алексей Лукацкий комментирует...

msm59: Минкомсвязи продавят, как это уже было не раз ;-)

Алексей Лукацкий комментирует...

Особенно учитывая, кто темой ИБ в Минкомсвязи рулит

СВП комментирует...

Алексей, приходится там в МКСе бывать, но я так и не понял, кто там ИБ руководит:-)
Поведайте, если знаете...

Алексей Лукацкий комментирует...

Александр Петрович

СВП комментирует...

ГАП, внятный.
Но он пасет только "информационное общество" и то в части ААА

Алексей Лукацкий комментирует...

Видя как Минкомсвязь "сдает" позиции почти по всем вопросам ИБ, я не удивлюсь, если после долгой и плодотворной работы данные постановления пройдут (как бы мне не хотелось).

Анонимный комментирует...

А у них был другой вариант развития событий? В части ЭП/ЭЦП/криптографии шансы были небольшие, зря только копья ломали - надо было делать это году так в 2004-2006, когда не было осознания необходимости добровольного использования сертифицированных средств, потом уже было поздно. Занимались глупостью. ИМХО.

свои замечания уже отправили?

Алексей Лукацкий комментирует...

Я свои замечания высказывал еще пару месяцев назад, на этапе разработки этого документа. Не вняли ;-(

Анонимный комментирует...

в рабочем порядке? официальное письмо?
с интересом бы посмотрел

Алексей Лукацкий комментирует...

Два месяца назад? В официальном порядке? Тогда про эти требования мало кто знал.

Анонимный комментирует...

было что-то прнципиальное, что сейчас уже поздно высказывать?

Алексей Лукацкий комментирует...

Высказывать кому? Разработчикам или Минкомсвязи? Если разработчики раньше не учли предложения, то каковы шансы, что сейчас учтут?

Анонимный комментирует...

Проекты выложены на сайте, адрес там есть. Почему не учли тогда? Причин может быть масса, а не только радикальное несовпадение мнений. Может и сейчас найдутся причины не учитывать мнение, но на данном этапе запущен механизм сбора мнений по этим проектам. Поэтому просто не учесть не смогут, отказ должен быть обоснован.
Как вариант можете выложить в блоге и все вместе обсудим какими должны быть требования.

Алексей Лукацкий комментирует...

Да, про выложить в блог я уже подумал. Сейчас сравню нумерацию пунктов и выложу

Алексей Лукацкий комментирует...

А вообще я погорячился, когда написал, что не вняли. Сейчас перечитал приказ и мои замечания. Почти все учли ;-) Кроме одного. В явной форме не прописано, что приказ говорит о квалифицированной ЭП. Это как бы вытекает из определений, которое говорит только о криптографии, но хотелось бы явного указания. В остальном у меня серьезных замечаний нет.

ЗЫ. Но надо учитывать, что я не большой знаток темы ЭП. Я смотрел на этот документ с позиции VPN ;-) Поэтому поверхностный взгляд.

Анонимный комментирует...

так здорово же ;)
"не прописано, что приказ говорит о квалифицированной ЭП", я так понял сделано это сознательно. Сейчас получается, что требования распространяются на средства квалифицированной, неквалифицированной и простой ЭП (использующие криптографию), но только для средств квалифицированной ЭП (в соответствии с законом) выполнение данных требований обязательно.

Алексей Лукацкий комментирует...

А на пароли эти требования как распространить? На одноразовые коды? Либо никак, потому что там нет криптографии. Либо изголяться...

Анонимный комментирует...

на средства простой ЭП, не использующие криптографию, данные требования не распространяются

а зачем изголяться?
Думаю минкомсвязь требования к средствам ЭП без криптографии не пропустит мимо, иначе странно все это.

Хотя пароли должны создаваться на основе псевдослучайных последовательностей и распределяться безопасным способом ;)

kpahan комментирует...

Что-то запутался совсем. В Методических рекомендациях по защите ПД указывается что "Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нару-шитель типа Нi (2<=i<=6)."
А в проекте документа по требованиям к средствам ЭП п 13.1 указывает что средство класса КС1 должно противостоять нарушителю имеющему возможность самостоятельно осуществлять создание способов атак
В чем Фокус? Или я какую-то мелось в Методических рекомендациях не уловил?