S
Nick Y
Коллеги, кто-то занимался оценкой влияния при работе криптопро csp с самописным по?
А чего бы не написать все вопросы Криптопрошникам в личку?
Size: a a a
2021 April 02
NY
А чего бы не написать все вопросы Криптопрошникам в личку?
Видел сообщения 4 летней давности на форуме) думал может что-то сдвинулось
S
Nick Y
Видел сообщения 4 летней давности на форуме) думал может что-то сдвинулось
Так никому особо не надо, если это не связано с ЕБС.
NY
Ну по ебс, если проект согласован ФСБ значит оценка уже была проведена поставщиком решения
2021 April 03
A
Nick Y
Коллеги, кто-то занимался оценкой влияния при работе криптопро csp с самописным по?
Как понять оценкой влияния?
NY
В зависимости от того как настроено взаимодействие требуется либо проводить контроль встраивания либо оценку влияния среды функционирования. Есть у нас самописное Эдо, оно вызывает криптопро через стандартные вызовы windows csp api. То есть нет встраивания.
NY
Согласно инструкции по применению криптопро требуется провести оценку влияния. Вот и спросил все ли забивают или кто-то заморочился
S
Nick Y
В зависимости от того как настроено взаимодействие требуется либо проводить контроль встраивания либо оценку влияния среды функционирования. Есть у нас самописное Эдо, оно вызывает криптопро через стандартные вызовы windows csp api. То есть нет встраивания.
В общем и целом, кто-то должен подтвердить, как именно вы используете, Крипто-Про. Аргументы типа "мамой клянусь", ес-но не прокатывают. Т.е. разработчик может уверять, что его ПО не требует проведение оценки влияния, а на деле может оказаться, что это ПО необходимо сертифицировать, как отдельное СКЗИ. Что касается вашей разработки, если вы найдете в формуляре на СКЗИ фразу, что при использовании стандартных вызовов windows не требуется проведение оценки, возможно это было бы действительно так. Но сдаётся мне, что в формуляре такой фразы нет)))
NY
В общем и целом, кто-то должен подтвердить, как именно вы используете, Крипто-Про. Аргументы типа "мамой клянусь", ес-но не прокатывают. Т.е. разработчик может уверять, что его ПО не требует проведение оценки влияния, а на деле может оказаться, что это ПО необходимо сертифицировать, как отдельное СКЗИ. Что касается вашей разработки, если вы найдете в формуляре на СКЗИ фразу, что при использовании стандартных вызовов windows не требуется проведение оценки, возможно это было бы действительно так. Но сдаётся мне, что в формуляре такой фразы нет)))
Мы с вами ведь знаем какие фразы есть в формуляре криптопро)
2021 April 07
АА
Кто может подсказать, можно ли из сегмента аттестованном по Стр к отправить на печать на удалённый принтер не входящий в тех паспорта этого арма, находящийся на другом адресе
N
Можно но не нужно) согласуйте с лицензиатом и внесите в паспорт новые сведения по средству печати ибо в данном случае меры защиты информации остаются прежние и никак не влияют на процесс обработки: пишите письмо с внесением изменений в технический паспорт и указываете что требования по защите информации не нарушаются и процесс обработки информации остаётся прежним
2021 April 08
M
А в сегодняшние дни вообще нормально аттестовывать на основании СТР-К?
M
Вроде у фстека даже перечень документов для руководства по деятельности есть и там не указан стр-к.
M
В перечне прошлого года и РД.АС убрали
M
Перефразирую вопрос. Если указывать в ОРД по аттестации обоснование ссылаясь на СТР-К, это правомерно для регулятора?
N
Да
M
Ещё вопрос. Имеем аттестат, классификация 1г, при замене пк, обязательна ли переаттестация? Или как то можно внести изменения, вывести из эксплуатации старый и ввести новый. На пк есть скзи.
N
Заново проводить аттестацию
M
Ясно спасибо
M
Коммерческая организация, гостайны нет. Коллеги, у руководства есть жажда использовать беспроводные мышки и клавиатуры в аттестованной системе. какой обьем изменений в орд это потянет? И нужны ли будут какие то доп исследования?