|
Название: Сертификация средств криптографической защиты информации Отправлено: Medeya от 31 Августа 2006, 11:29:05 Здравствуйте!
Только не бейте валенком за глупый вопрос, помогите, я ещё не волшебник, я только учусь... не могу найти в законодательстве о сертификации порядка сертификации средств криптографической защиты информации с длиной ключа более 128 Бит, говорят такие средства сертифицируются ФСБ, но вот где это написано? Хелп плииз... Название: Re:Сертификация средств криптографической защиты информации Отправлено: Dmitry от 03 Сентября 2006, 00:46:02 Посмотрите вот здесь,
http://www.ekey.ru/lib/5 Обязательной сертификации подлежат только средства, используемые в работе с информацией, содержащей гос. тайну. Формальных градаций по длине ключа для процеса сертификации не существует. Возможно вы путаете с лицензированием и разрешением ввоза/вывоза. Там, действительно, ограничения по длине ключа прописаны. Название: Re:Сертификация средств криптографической защиты информации Отправлено: korsar от 20 Октября 2006, 10:37:46 Посмотрите вот здесь, http://www.ekey.ru/lib/5 Обязательной сертификации подлежат только средства, используемые в работе с информацией, содержащей гос. тайну. Формальных градаций по длине ключа для процеса сертификации не существует. Возможно вы путаете с лицензированием и разрешением ввоза/вывоза. Там, действительно, ограничения по длине ключа прописаны. Что-то я не понял. Вы хотите сказать , что, например, государственая организация может применять несертифицированные СКЗИ при работе с конфиденциальной информацией? Может речь идет о том, что СКЗИ предназначенные для работы с гостайной должны быть обязательно сертифицированы для всех, а с конфиденциалом -только для госорганизаций? Я не спорю -спрашиваю. Потму, что возник вопрос - необходимо ли (и нужно ли вообще) заново сертифицировать средство, подвергшееся доработке другой фирмой - доработка не касалась шифрования. Представитель ЦБС ФСБ вразумительно на этот вопрос не ответил. Название: Re:Сертификация средств криптографической защиты информации Отправлено: Dmitry от 22 Октября 2006, 16:59:50 Сразу оговорюсь, что 1) не являюсь юристом, 2) некоторое представление о данной проблематике имею, но в последнее время это больше хобби, чем служебная необходимость, 3) с требованиями к гос. организациям знаком существенно меньше.
Ранее, требование обязательной сертификации для гос. организаций содержалось в ст.19 "Закона об информации...". В новой версии закона это требование прямо не установлено. Вместо этого есть пункт 5. ст 16: "Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям." При этом "Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", утвержденное приказом директора ФСБ России N66 от 9 февраля 2005 года, не содержит ни слова о сертификации (в отличие от своей предыдущей версии, выпущенной еще ФАПСИ). Что интересно, что в этом положении имеется следующий пункт: "СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом от 27 декабря 2002 года N 184-ФЗ «О техническом регулировании»." Однако, упомянутый закон, в статье п.1 статьи 7. "Содержание и применение технических регламентов" содержит следующий список: "Технические регламенты с учетом степени риска причинения вреда устанавливают минимально необходимые требования, обеспечивающие: безопасность излучений; биологическую безопасность; взрывобезопасность; механическую безопасность; пожарную безопасность; промышленную безопасность; термическую безопасность; химическую безопасность; электрическую безопасность; ядерную и радиационную безопасность; электромагнитную совместимость в части обеспечения безопасности работы приборов и оборудования; единство измерений." Очевидно, информационная безопасность, как отдельный пункт в перечень не входит, хотя, конечно, можно предположить, что регламент, имеющий отношение к ядерной безопасности, может содержать требования по защите соответствующей информации. Ну а что касается получения разъяснений в соответствующих органах, мне в свое время достаточно уверено отвечали, что получать разрешение на ввоз ОС Windows, не требуется в соответствии Постановление правительства 691 от 23.09.2002, однако на тот же вопрос относительно Sun Solaris были уже менее уверены в положительном ответе, а о Linux не смогли сказать ничего. Наилучший способ - письменный запрос. По крайней мере будет бумажка, которой при случае можно будет защищать жизненно важный орган. |