На сайте ФСБ опубликованы:
Подписаться на:
Комментарии к сообщению (Atom)
Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Архив блога
-
▼
2011
(340)
-
▼
ноября
(29)
- Новое постановление по лицензированию деятельности...
- Роскомнадзор опубликовал план проверок на 2012 год
- Награда нашла своего героя?!
- Бизнес-модель киберпреступности
- ZeroNights vs PHD
- Облака и российское законодательство
- Особенности национальной стандартизации
- Лицензия ФСБ больше не будет препятствием для инос...
- Планы ТК362 на следующий год
- Итоги работы ТК362 за 2011 год
- Типы "принимателей" решений
- FAQ по импорту шифровальных средств в Россию
- О киберпреступности доступно... для судей и следов...
- Кто может сказать "Да" проекту по ИБ?
- Съмки на СТС
- Правильная безопасность
- ИБ как раковая опухоль
- Карта эмпатии на благо безопасника
- Как донести до руководства важность ИБ?
- Руководство ISACA по облакам
- Холодная война возвращается
- Check Point покупает Dynasec
- Безопасность Web-приложений по версии ISACA
- Что требуют спецслужбы от Google?
- Новые документы ФСБ по ЭП и УЦ
- Аттестация облачных провайдеров
- Утечка данных влечет снижение стоимости бренда на 12%
- Список тайн в российском праве
- Мероприятия по ИБ на 2012 год
-
▼
ноября
(29)
Категории
- законодательство (633)
- персональные данные (435)
- ФСТЭК (343)
- тенденции (322)
- консолидация (250)
- поглощения (247)
- ФСБ (234)
- выставки (214)
- угрозы (201)
- Банк России (150)
- SCADA (146)
- Россия (141)
- стандарты (137)
- обучение (129)
- SOC (124)
- криптография (121)
- оценка соответствия (109)
- управление инцидентами (104)
- метрики (98)
- стратегия (84)
- цена безопасности (82)
- Роскомнадзор (78)
- НПС (77)
- Разное (75)
- Интернет-ресурсы (74)
- безопасность бизнеса (62)
- Юмор (61)
- проблемы ИБ-компаний (60)
- психология (60)
- экономика (59)
- Threat Intelligence (58)
- философия (56)
- заблуждения (51)
- Минкомсвязь (48)
- наука (48)
- геймификация (47)
- облачная безопасность (47)
- cloud (42)
- повышение осведомленности (41)
- CISO (40)
- SIEM (39)
- аутентификация (38)
- риски (35)
- лицензирование (34)
- антивирус (32)
- SDLC (31)
- DLP (30)
- архитектура (30)
- PCI DSS (28)
- аутсорсинг (27)
- кибервойна (25)
- международная ИБ (25)
- хакеры (25)
- мобильный офис (24)
- APT (23)
- BYOD (22)
- кибербезопасность (22)
- IPS (21)
- ISO 27001 (19)
- электронные платежи (19)
- США (18)
- киберпреступность (18)
- NIST (17)
- Web (17)
- маркетинг (17)
- видео (16)
- кризис (16)
- CERT (15)
- ДБО (15)
- дашборд (15)
- история (14)
- классификация (14)
- аудит (13)
- виртуализация (13)
- госорганы (13)
- атрибуция (12)
- биометрия (12)
- внутренние угрозы (12)
- стартап (12)
- Интернет (11)
- ЭЦП (11)
- книги (11)
- IoT (10)
- NBAD (10)
- Social Media (10)
- open source (10)
- кредитные карты (10)
- культура ИБ (10)
- терминология (10)
- троян (10)
- МинОбороны (9)
- спам (9)
- статьи (9)
- уязвимости (9)
- AI (8)
- Usability (8)
- ВТО (8)
- аналогии (8)
- опыт (8)
- foresight (7)
- Совет Безопасности (7)
- блокчейн (7)
- кадры (7)
- поибешечки (7)
- ООН (6)
- СУБД (6)
- непрерывность бизнеса (6)
- ОДКБ (5)
- ФАИТ (5)
- страхование (5)
- таможенный союз (5)
- этика (5)
- M2M (4)
- МВД (4)
- Олимпиада (4)
- СНГ (4)
- СОРМ (4)
- мошенничество (4)
- перлюстрация (4)
- политика ИБ (4)
- прорывные технологии (4)
- русский язык (4)
- сканеры безопасности (4)
- DNS (3)
- NGFW (3)
- UTM (3)
- VoIP (3)
- Wi-Fi (3)
- ГосСОПКА (3)
- Интернет-маньяки (3)
- женщины (3)
- кибертерроризм (3)
- коронавирус (3)
- мобильные платежи (3)
- служебная тайна (3)
- тендер (3)
- фишинг (3)
- CIP (2)
- GDPR (2)
- ISACA (2)
- RFID (2)
- SECaaS (2)
- UEBA (2)
- resilience (2)
- БРИКС (2)
- ЕАЭС (2)
- УЭК (2)
- ЦОД (2)
- безопасность (2)
- визуализация (2)
- карьера (2)
- NIAC (1)
- RPA (1)
- SDN (1)
- zero trust (1)
- Время (1)
- ШОС (1)
- искусственный интеллект (1)
- киберустойчивость (1)
- терминальный доступ (1)
- транспорт (1)
- управление потоками (1)
- электронное правительство (1)
Следить за мной
Категории
- аналогии
- антивирус
- архитектура
- атрибуция
- аудит
- аутентификация
- аутсорсинг
- Банк России
- безопасность
- безопасность бизнеса
- биометрия
- блокчейн
- БРИКС
- видео
- визуализация
- виртуализация
- внутренние угрозы
- Время
- ВТО
- выставки
- геймификация
- госорганы
- ГосСОПКА
- дашборд
- ДБО
- ЕАЭС
- женщины
- заблуждения
- законодательство
- Интернет
- Интернет-маньяки
- Интернет-ресурсы
- искусственный интеллект
- история
- кадры
- карьера
- кибербезопасность
- кибервойна
- киберпреступность
- кибертерроризм
- киберустойчивость
- классификация
- книги
- консолидация
- коронавирус
- кредитные карты
- кризис
- криптография
- культура ИБ
- лицензирование
- маркетинг
- МВД
- международная ИБ
- метрики
- Минкомсвязь
- МинОбороны
- мобильные платежи
- мобильный офис
- мошенничество
- наука
- непрерывность бизнеса
- НПС
- облачная безопасность
- обучение
- ОДКБ
- Олимпиада
- ООН
- опыт
- оценка соответствия
- перлюстрация
- персональные данные
- повышение осведомленности
- поглощения
- поибешечки
- политика ИБ
- проблемы ИБ-компаний
- прорывные технологии
- психология
- Разное
- риски
- Роскомнадзор
- Россия
- русский язык
- сканеры безопасности
- служебная тайна
- СНГ
- Совет Безопасности
- СОРМ
- спам
- стандарты
- стартап
- статьи
- стратегия
- страхование
- СУБД
- США
- таможенный союз
- тенденции
- тендер
- терминальный доступ
- терминология
- транспорт
- троян
- угрозы
- управление инцидентами
- управление потоками
- УЭК
- уязвимости
- ФАИТ
- философия
- фишинг
- ФСБ
- ФСТЭК
- хакеры
- цена безопасности
- ЦОД
- ШОС
- экономика
- электронное правительство
- электронные платежи
- этика
- ЭЦП
- Юмор
- AI
- APT
- BYOD
- CERT
- CIP
- CISO
- cloud
- DLP
- DNS
- foresight
- GDPR
- IoT
- IPS
- ISACA
- ISO 27001
- M2M
- NBAD
- NGFW
- NIAC
- NIST
- open source
- PCI DSS
- resilience
- RFID
- RPA
- SCADA
- SDLC
- SDN
- SECaaS
- SIEM
- SOC
- Social Media
- Threat Intelligence
- UEBA
- Usability
- UTM
- VoIP
- Web
- Wi-Fi
- zero trust
Архив блога
-
▼
2011
(340)
-
▼
ноября
(29)
- Новое постановление по лицензированию деятельности...
- Роскомнадзор опубликовал план проверок на 2012 год
- Награда нашла своего героя?!
- Бизнес-модель киберпреступности
- ZeroNights vs PHD
- Облака и российское законодательство
- Особенности национальной стандартизации
- Лицензия ФСБ больше не будет препятствием для инос...
- Планы ТК362 на следующий год
- Итоги работы ТК362 за 2011 год
- Типы "принимателей" решений
- FAQ по импорту шифровальных средств в Россию
- О киберпреступности доступно... для судей и следов...
- Кто может сказать "Да" проекту по ИБ?
- Съмки на СТС
- Правильная безопасность
- ИБ как раковая опухоль
- Карта эмпатии на благо безопасника
- Как донести до руководства важность ИБ?
- Руководство ISACA по облакам
- Холодная война возвращается
- Check Point покупает Dynasec
- Безопасность Web-приложений по версии ISACA
- Что требуют спецслужбы от Google?
- Новые документы ФСБ по ЭП и УЦ
- Аттестация облачных провайдеров
- Утечка данных влечет снижение стоимости бренда на 12%
- Список тайн в российском праве
- Мероприятия по ИБ на 2012 год
-
▼
ноября
(29)
Copyright ©
Бизнес без опасности | Powered by Blogger
22 коммент.:
Вот это да.
В документе с требованиями к средствам ЭП приведено описание классов KC, KB и KA. В кои-то веки.
Но это единственная хорошая новость, а плохая - это то, что документ таки распространяется на все средства ЭП - не только квалифицированные.
А в требованиях:
- соответствие ПКЗ
- использование ГОСТовых криптоалгоритмов (либо прошедших экспертизу в ФСБ - интересно, есть такие?)
и т.п.
Ну и никаких галочек в качестве простой ЭП не предвидится.
Лучше не торопить события и не читать эти проекты, поскольку их Минкомсвязи не утвердила, на сейчас готовят согласительную комиссию и видимо ещё будут править эти документы.
Также хочу напомнить что в соответствии с распоряжением 1214-р эти бумажки + требования к УЦ (которой пока нет на сайте даже в виде проекта - наверное как и раньше на него гриф повесят) должны были родится к 31 августа 2011 года.
Виноват, просмотрел - требования к УЦ и требования с средству подписи уложили в один проект приказа.
msm59: Минкомсвязи продавят, как это уже было не раз ;-)
Особенно учитывая, кто темой ИБ в Минкомсвязи рулит
Алексей, приходится там в МКСе бывать, но я так и не понял, кто там ИБ руководит:-)
Поведайте, если знаете...
Александр Петрович
ГАП, внятный.
Но он пасет только "информационное общество" и то в части ААА
Видя как Минкомсвязь "сдает" позиции почти по всем вопросам ИБ, я не удивлюсь, если после долгой и плодотворной работы данные постановления пройдут (как бы мне не хотелось).
А у них был другой вариант развития событий? В части ЭП/ЭЦП/криптографии шансы были небольшие, зря только копья ломали - надо было делать это году так в 2004-2006, когда не было осознания необходимости добровольного использования сертифицированных средств, потом уже было поздно. Занимались глупостью. ИМХО.
свои замечания уже отправили?
Я свои замечания высказывал еще пару месяцев назад, на этапе разработки этого документа. Не вняли ;-(
в рабочем порядке? официальное письмо?
с интересом бы посмотрел
Два месяца назад? В официальном порядке? Тогда про эти требования мало кто знал.
было что-то прнципиальное, что сейчас уже поздно высказывать?
Высказывать кому? Разработчикам или Минкомсвязи? Если разработчики раньше не учли предложения, то каковы шансы, что сейчас учтут?
Проекты выложены на сайте, адрес там есть. Почему не учли тогда? Причин может быть масса, а не только радикальное несовпадение мнений. Может и сейчас найдутся причины не учитывать мнение, но на данном этапе запущен механизм сбора мнений по этим проектам. Поэтому просто не учесть не смогут, отказ должен быть обоснован.
Как вариант можете выложить в блоге и все вместе обсудим какими должны быть требования.
Да, про выложить в блог я уже подумал. Сейчас сравню нумерацию пунктов и выложу
А вообще я погорячился, когда написал, что не вняли. Сейчас перечитал приказ и мои замечания. Почти все учли ;-) Кроме одного. В явной форме не прописано, что приказ говорит о квалифицированной ЭП. Это как бы вытекает из определений, которое говорит только о криптографии, но хотелось бы явного указания. В остальном у меня серьезных замечаний нет.
ЗЫ. Но надо учитывать, что я не большой знаток темы ЭП. Я смотрел на этот документ с позиции VPN ;-) Поэтому поверхностный взгляд.
так здорово же ;)
"не прописано, что приказ говорит о квалифицированной ЭП", я так понял сделано это сознательно. Сейчас получается, что требования распространяются на средства квалифицированной, неквалифицированной и простой ЭП (использующие криптографию), но только для средств квалифицированной ЭП (в соответствии с законом) выполнение данных требований обязательно.
А на пароли эти требования как распространить? На одноразовые коды? Либо никак, потому что там нет криптографии. Либо изголяться...
на средства простой ЭП, не использующие криптографию, данные требования не распространяются
а зачем изголяться?
Думаю минкомсвязь требования к средствам ЭП без криптографии не пропустит мимо, иначе странно все это.
Хотя пароли должны создаваться на основе псевдослучайных последовательностей и распределяться безопасным способом ;)
Что-то запутался совсем. В Методических рекомендациях по защите ПД указывается что "Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нару-шитель типа Нi (2<=i<=6)."
А в проекте документа по требованиям к средствам ЭП п 13.1 указывает что средство класса КС1 должно противостоять нарушителю имеющему возможность самостоятельно осуществлять создание способов атак
В чем Фокус? Или я какую-то мелось в Методических рекомендациях не уловил?
Отправить комментарий