Форум ''Интернет и Право''
28 Марта 2024, 21:54:26 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1]   Вниз
  Печать  
Автор Тема: Сертификация средств криптографической защиты информации  (Прочитано 10697 раз)
Medeya
Посетитель
*
Офлайн Офлайн

Сообщений: 7


С любовью к ближнему


E-mail
« : 31 Августа 2006, 11:29:05 »

Здравствуйте!
Только не бейте валенком за глупый вопрос, помогите, я ещё не волшебник, я только учусь...

не могу найти в законодательстве о сертификации порядка сертификации средств криптографической защиты информации  с длиной ключа более 128 Бит, говорят такие средства сертифицируются ФСБ, но вот где это написано?
Хелп плииз...
« Последнее редактирование: 31 Августа 2006, 11:58:17 от Medeya » Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #1 : 03 Сентября 2006, 00:46:02 »

Посмотрите вот здесь,

http://www.ekey.ru/lib/5

Обязательной сертификации подлежат только средства, используемые в работе с информацией, содержащей гос. тайну. Формальных градаций по длине ключа для процеса сертификации не существует.
Возможно вы путаете с лицензированием и разрешением ввоза/вывоза. Там, действительно, ограничения по длине ключа прописаны.
Записан

korsar
Посетитель
*
Офлайн Офлайн

Сообщений: 84


С любовью к ближнему


E-mail
« Ответ #2 : 20 Октября 2006, 10:37:46 »

Посмотрите вот здесь,

http://www.ekey.ru/lib/5

Обязательной сертификации подлежат только средства, используемые в работе с информацией, содержащей гос. тайну. Формальных градаций по длине ключа для процеса сертификации не существует.
Возможно вы путаете с лицензированием и разрешением ввоза/вывоза. Там, действительно, ограничения по длине ключа прописаны.

Что-то я не понял. Вы хотите сказать , что, например,  государственая организация может применять несертифицированные СКЗИ при работе с конфиденциальной информацией?
Может речь идет о том, что СКЗИ предназначенные для работы с гостайной должны быть обязательно сертифицированы для всех, а с конфиденциалом -только для госорганизаций?

Я не спорю -спрашиваю. Потму, что возник вопрос - необходимо ли (и нужно ли вообще) заново сертифицировать средство, подвергшееся доработке другой фирмой  - доработка не касалась шифрования. Представитель ЦБС ФСБ вразумительно на этот вопрос не ответил.
Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #3 : 22 Октября 2006, 16:59:50 »

Сразу оговорюсь, что 1) не являюсь юристом, 2) некоторое представление о данной проблематике имею, но в последнее время это больше хобби, чем служебная необходимость, 3) с требованиями к гос. организациям знаком существенно меньше.

Ранее, требование обязательной сертификации для гос. организаций содержалось в ст.19 "Закона об информации...". В новой версии закона это требование прямо не установлено.
Вместо этого есть пункт 5. ст 16:
"Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной  власти  в  области  обеспечения безопасности и федеральным органом  исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической  защиты  информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям."

При этом "Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", утвержденное приказом директора ФСБ России N66 от 9 февраля 2005 года, не содержит ни слова о сертификации (в отличие от своей предыдущей версии, выпущенной еще ФАПСИ).

Что интересно, что в этом положении имеется следующий пункт:
"СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом от 27 декабря 2002 года N 184-ФЗ «О техническом регулировании»."

Однако, упомянутый закон, в статье п.1 статьи 7. "Содержание и применение технических регламентов" содержит следующий список:
"Технические  регламенты  с  учетом степени риска причинения вреда устанавливают минимально необходимые требования, обеспечивающие:
     безопасность излучений;
     биологическую безопасность;
     взрывобезопасность;
     механическую безопасность;
     пожарную безопасность;
     промышленную безопасность;
     термическую безопасность;
     химическую безопасность;
     электрическую безопасность;
     ядерную и радиационную безопасность;
     электромагнитную совместимость в части обеспечения безопасности работы приборов и оборудования;
     единство измерений."

Очевидно, информационная безопасность, как отдельный пункт в перечень не входит, хотя, конечно, можно предположить, что регламент, имеющий отношение к ядерной безопасности, может содержать требования по защите соответствующей информации.

Ну а что касается получения разъяснений в соответствующих органах, мне в свое время достаточно уверено отвечали, что получать разрешение на ввоз ОС Windows, не требуется в соответствии Постановление правительства 691 от 23.09.2002, однако на тот же вопрос относительно Sun Solaris были уже менее уверены в положительном ответе, а о Linux не смогли сказать ничего. Наилучший способ - письменный запрос. По крайней мере будет бумажка, которой при случае можно будет защищать жизненно важный орган.

« Последнее редактирование: 22 Октября 2006, 17:02:42 от Dmitry » Записан

Страниц: [1]   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines