Pages - Menu

Страницы

28.6.12

Вся безопасность НПС в одной презентации

Вчера я проводил онлайн-семинар по обзору требований по защите информации в Национальной платежной системе. Ну и как часто бывает, презентация делалась в ночь перед семинаром. Так что получилось может быть коротковато и поверхностно, но зато позволяет быстро вникнуть в проблематику, основные определения и требования. Глубокого анализа ФЗ-161 не ждите, но вопросы защиты информации раскрыты ;-)


Краткий обзор требований по защите информации в НПС

6 комментариев:

  1. msm28 июня 2012 г. в 09:55

    Алексей, мне кажется на 2 слайде было бы не плохо добавить ТК-26 "Криптографическая защита информации" https://www.tc26.ru/

    ОтветитьУдалить
  2. msm28 июня 2012 г. в 10:05

    По презентации ещё, слайд 59:
    1. опечатка: заменить ФЗ-66 на 63-ФЗ
    2. По 63-ФЗ могут быть использованы не квалифицированные средства подписи а в этом случае их сертификация на соответствие требований не производится, другими словами формально в рамках 63-ФЗ можно использовать средства подписи и иностранного производства.

    ОтветитьУдалить
  3. msm28 июня 2012 г. в 10:11

    И буквально в догонку, все наверное и так это знают, но полезно напомнить.
    Контроль встраивания криптосредств в информационную систему в ФСБ обязателен:
    1. Если криптосредства класса КС3, КВ1, КВ2 и КА1 применяются в информационной системе для защиты персональных данных
    2. Если криптосредства в информационной системе используются для защиты информации конфиденциального характера, подлежащей защите в соответствии с законодательством Российской Федерации;
    3. Если криптосредства используются для организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
    4. Если криптосредства используются для организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд;
    5. Заказчик прямо указал необходимость контроля встраивания в техническом задании на разработку (модернизацию) информационной системы.

    ОтветитьУдалить
  4. Алексей Лукацкий28 июня 2012 г. в 22:11

    [b]msm:[/b] 1. Мы не входим в ТК26. Поэтому его в списке и нет ;-)
    2. Опечатку поправлю.
    3. По ЭП и 63-ФЗ понимаю, но я ссылаюсь на нормативку по НПС. Там говорится, что по 63-ФЗ СКЗИ должны быть сертифицированными. Но это я буду уточнять. ЭП все-таки не та тема, где я хорошо себя чувствую.
    4. По контролю встраивания тоже не так просто. Надо понимать ЧТО и КУДА. Встраивание того же КриптоПро всегда под ТЗ 8-ки (из формуляра на КриптоПро). А если речь идет о встраивании в VPN, то контроль нужен и для КС.

    ОтветитьУдалить
  5. Evgenich28 июня 2012 г. в 23:55

    Алексей, а как быть с п.2.6.2, который гласит что должны применяться не криптографические средства от НСД прошедшие оценку соответствия?

    ОтветитьУдалить
  6. Алексей Лукацкий29 июня 2012 г. в 00:00

    Там написано "в том числе". Т.е. можно и не только их применять. Я всегда рекомендую по возможности применять сертифицированные решения, но их не всегда есть на рынке. Поэтому разрешено и несертифицированные

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.