А
Ок. Как тогда называется контейнер закрытого ключа , хранящийся как правило на внешнем носителе ( флеш Рутокен ) ?
Ключ электронной подписи это называется, определение в 63фз. Про обязанности соблюдать конфиденциальность ключей ЭП - в ст. 10 63 фз
Size: a a a
2019 July 19
@
Ключ электронной подписи это называется, определение в 63фз. Про обязанности соблюдать конфиденциальность ключей ЭП - в ст. 10 63 фз
Тогда другой вопрос - считается ли передача закрытого ключа по шифрованному каналу связи компрометацией ?
А
А кому вы его передаете? Не сами же себе?)
S
Тогда другой вопрос - считается ли передача закрытого ключа по шифрованному каналу связи компрометацией ?
Еще надо бы указать в вопросе, кто передает, кому, назначение ключа. В общем случае, канала недостаточно.
Достаточно много на эту тему есть в 63-ФЗ.
Достаточно много на эту тему есть в 63-ФЗ.
S
Тогда другой вопрос - считается ли передача закрытого ключа по шифрованному каналу связи компрометацией ?
Самый правильный случай, пользователь сам себе генерит ключи. Т.е. генерит себе пару ключей, далее, открытый ключ, в запросе на сертификат, передает в УЦ.
И распространение ключевой информации, это в принципе, лицензируемая дятельность.
И распространение ключевой информации, это в принципе, лицензируемая дятельность.
S
Я больше про выполнение пункта 2.6.2 382-п, где требуется приобрести СЗИ от НСД. При этом не приобретая sns или dallas lock
Ну с ДИБом вообще всё невраз😱
R
Не напомните, что за документ недавний запрещал использовать СЗИ, производитель которого находится под управлением иностранных организаций... как-то так, не могу точно вспомнить. В июне-июле в чатиках обсуждение было
PK
Не напомните, что за документ недавний запрещал использовать СЗИ, производитель которого находится под управлением иностранных организаций... как-то так, не могу точно вспомнить. В июне-июле в чатиках обсуждение было
Это требования к средствам СОПКА вроде
R
Да, похоже на то, спасибо!
VI
вопрос - а может ли сейчас пройти сертификацию ФСТЭК СЗИ (например СУБД) без единой реализованной функции защиты информации? Профиля защиты нет - обязательных требований - нет. То есть хоть совсем ничего. Просто документация, ТУ что мол как СУБД оно работает, но ни от чего не защищает толком. И сертификат выдадут? Мы говорим о 4-6 уровнях доверия. Или я чего-то недопонял?
VI
ну отдельно про НДВ сейчас нигде не пишется - то есть в сертификате будет - проведено на 4 уровень доверия и на соответствие ТУ. Блин я прям чувствую что есть какой-то подвох, но не могу понять где он
VI
Что за Фикс?
VI
так сертификацию по РД на НДВ не проводят с 1 июня 2019
VI
В связи с утверждением Требований к уровню доверия с 1 июня 2019 г. ФСТЭК России не принимаются к рассмотрению заявки на сертификацию средств защиты информации на соответствие требованиям руководящего документа «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».
VI
так требования к НДВ - теперь отдельно такого нет, есть требования к уровням доверия теперь
@
Еще надо бы указать в вопросе, кто передает, кому, назначение ключа. В общем случае, канала недостаточно.
Достаточно много на эту тему есть в 63-ФЗ.
Достаточно много на эту тему есть в 63-ФЗ.
Например Передаёт тонкий клиент от носителя ( Рутокен например ) до терминального сервера, в сессию с которой в данный момент работает пользователь. Технически это уже давно реализовано у многих вендоров, того же МС.
VI
а есть рейтинг какой-нибудь лабораторий по сертификации? Топ-3 это Эшелон, ЦБИ и кто-нибудь еще?
VI
да, по содержанию требований проверки на НДВ есть вроде (сам не читал 131, но в информационном письме есть ссылка на - "ФСТЭК России разработана и утверждена 11 февраля 2019 г. Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении")
VI
просто из сертификата пропало упоминание НДВ - оно теперь внутри уровня доверия