5 июня, пятница 00:13
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Положение 683-П Привет, ГОСТ!

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от saches Посмотреть сообщение
    А на основании чего поверят, что в ПО используются только стандартные (как правило, перечисленные в отдельном документе) вызовы? Типа "мамой клянусь"?
    Есть ТЗ на разработку системы, где указаны требования, есть акт приёмки в соответствии с ТЗ. Есть руководство программиста и формуляр на СКЗИ, где указано как встраивать.
    Не вижу проблемы.
    Более того, если СКЗИ други интерфейсов не предоставляет, чего огород то городить? )
    Последний раз редактировалось Zuz; 08.12.2019, 14:40.

    Комментарий


    • Сообщение от Cpx Посмотреть сообщение
      107 это ядро крипто, 106 - это клиент осуществлюящее выозовы,
      Ровно это я и написал. Но вопрос был в том, что использовать вызовы утилиты командной строки в прикладных системах почему-то без проведения процедуры корректности встраивания нельзя. По мне ваш вывод не верен, нет требований в документации на СКЗИ для этого случая. КМК, это делать можно.

      Сообщение от Cpx Посмотреть сообщение
      сертификат выдан на Сигнатуру 5 клиентна 106 с условием работы его с 107.
      Не совсем понял мысль, можно цитату. То, что сертификат есть только на 106 очевидно, но если вы используете 107, то, КМК, встраивать 107 можно без процедуры корректности встраивания (см. документацию на 107, там это же указано).

      Сообщение от Cpx Посмотреть сообщение
      Почему? можно, также как это делает 106, но это дороже, дольше будет.
      107 трогать нельзя, если дергать то это будет новое СКЗИ, читай пункт 2.4 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» может быть использован только для построения на его основе новых СКЗИ.
      Вы не внимательно читаете или я так формулирую. ))) Я же ровно это же написал.
      Ещё раз прочтите формуляр на 107, ищите там слово "встраивание".

      Сообщение от Cpx Посмотреть сообщение
      Как нет?
      2.14.6 Требования к встраиванию библиотек
      Тут речь об АПК Сигнатура-клиент, а я говорил по АПК СКЗИ Сигнатура 5. Прочтите там как в документации говорится о вставании и об условиях встраивания.

      Комментарий


      • Сообщение от Zuz Посмотреть сообщение
        Есть ТЗ на разработку системы, где указаны требования, есть акт приёмки в соответствии с ТЗ. Есть руководство программиста и формуляр на СКЗИ, где указано как встраивать. Не вижу проблемы. Более того, если СКЗИ други интерфейсов не предоставляет, чего огород то городить? )
        А где написано, что акта приемки будет достаточно? Например, вот здесь изложена несколько другая версия - http://www.fsb.ru/fsb/science/single...searchart.html
        ИМХО, конечно, но просто исхожу из некой аналогии в подходах ФСТЭК и ФСБ к "оценке соответствия" при использовании СЗИ/СКЗИ для защиты ПДн в коммерческих структурах.
        Кому-то достаточно акта приемки, а кому-то необходимо заключение ИЛ.

        Не разу не видел какого-либо СКЗИ CSP, которое бы не требовало контроля встраивания исходя из собственного набора вызовов.

        Комментарий


        • Добрый день!
          В 684-П есть вот такой пункт
          5.1. Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее первого рабочего дня календарного года определения уровня защиты информации (далее - дата определения уровня защиты информации).
          Кто как понимает процесс определения уровня ЗИ?
          Это можно сделать внутренними силами (комиссия) или опять нужна сторонняя организация?

          Комментарий


          • kyi-13
            КМК, внутренних сил более, чем достаточно...

            Комментарий


            • Сообщение от saches Посмотреть сообщение
              А где написано, что акта приемки будет достаточно?
              Мы говорим о конкретных требованиях для АПК Сигнатура 5 (документация с индексом 107, крпитоядро), там чётко написано для чего данное СКЗИ предназначено и как именно встраивается (через API). Требований проводить процедуру корректности встраивания именно для данного СКЗИ нет, но есть требования для АПК Сигнатура-клиент 5 (документация с индексом 106). Но, КМК, если вы не используете вызовы из прикладного интерфейса АПК Сигнатура-клиент 5, а используете только, АПК Сигнатура 5, то по моему мнению процедура корректности вставания не требуется.
              Ваши вопросы из-за того, что я чуть в другой контекст погружен. Очевидно,что процедуру проводить нужно, если она указана в формуляре и акта будет недостаточно в этом случае (о чем собственно, и говорит сообщение на сайте ФСБ). Просто ваш вопрос был в определённом контексте задан и был мной понят, что для любого СКЗИ такая процедура нужна. Моя же точка зрения: нужна, если указано требование в документации прямо.

              Сообщение от saches Посмотреть сообщение
              Не разу не видел какого-либо СКЗИ CSP, которое бы не требовало контроля встраивания исходя из собственного набора вызовов.
              Я же указал АПК Сигнатура 5, там нет требования в формуляре. ))) Но справедливости ради, нет отдельного сертификата на это криптоядро, есть только на АПК Сигнатура-клиент 5. Но это не означает, что АПК Сигнатура 5 не отдельное СКЗИ (есть формуляр на него), есть описание применение и процедура встраивания. Если не использовать стандартные вызовы, то допускается только разработка нового СКЗИ на базе АПК Сигнатура 5.

              Комментарий


              • Сообщение от Zuz Посмотреть сообщение
                Но это не означает, что АПК Сигнатура 5 не отдельное СКЗИ
                Заблуждение, это означает что АПК Сигнатура 5 не является СКЗИ, т.к. на него нет сертификата!
                Наличие формуляра ни как не относиться к признаку Сертифицированное СКЗИ.
                Повторю - при использовании ядра 107 (без 106) - это будет разработка нового СКЗИ с необходимостью его сертификации. Сертифицирована лишь 106 + 107.

                Внимательно прочтите 107 формуляр, пункты 2.3 и 2.4:
                2.3 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» предназначен для:
                - встраивания..
                - встраивания..
                п.с. тут нет использования каких либо штатных функций.
                2.4 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» может быть использован только для построения на его основе новых СКЗИ.

                п.с. чудес-подарков не стоит ждать от ЦБ или ФСБ. Тут все сложно, тяжело и четко.

                Комментарий


                • Сообщение от Cpx Посмотреть сообщение
                  Заблуждение, это означает что АПК Сигнатура 5 не является СКЗИ, т.к. на него нет сертификата!
                  Ну в такой строгой формулировке не согласен, хотя, я до сих пор считаю, что шифровальные (криптографические) средства и средства криптографической защиты информации терминологически не совсем одно и тоже.
                  То, что нет отдельного сертификата соответствия, не означает, что это не СКЗИ. Ещё в момент разработки это уже СКЗИ. Посмотрите ПКЗ-2005.

                  В формуляре на это "не СКЗИ" указано:
                  "1.1 Настоящий документ (далее по тексту - формуляр) содержит сведения об аппаратно-программном комплексе «Средство криптографической защиты информации системы криптографической авторизации электронных документов «Сигнатура»» (далее по тексту – АПК «Средство КЗИ СКАД «Сигнатура» версия 5» или Средство КЗИ) и определяет его комплектность."
                  А дальше по тексту есть уже требования к этому СКЗИ:
                  "2.17 При эксплуатации СКЗИ должны использоваться средства антивирусной защиты, сертифицированные ФСБ России по классу Б (для применения на серверах) и классу В (для применения на рабочих станциях). В случае использования значительного количества рабочих мест с установленными СКЗИ целесообразно применять средства антивирусной защиты, сертифицированные ФСБ России по классу А."
                  Ну невозможно, спорить тут, что это не отдельное СКЗИ (есть даже формуляр отдельный).

                  Сообщение от Cpx Посмотреть сообщение
                  Повторю - при использовании ядра 107 (без 106) - это будет разработка нового СКЗИ с необходимостью его сертификации. Сертифицирована лишь 106 + 107.
                  Почему? Есть чёткие критерии применения:
                  "2.3 АПК «Средство КЗИ СКАД «Сигнатура»» версия 5 предназначен для:
                  − встраивания в качестве криптографического провайдера (ядра базовых криптографических функций) в прикладное программное обеспечение, реализующее криптографическую защиту, в соответствии со стандартными интерфейсами CSP и CNG Microsoft;
                  ..
                  встраивания в прикладное программное обеспечение в соответствии со стандартным криптографическим интерфейсом Microsoft - Security Support Provider Interface (SSPI);
                  ..."

                  ВАМБ.00107-01 33 01:
                  "Данный документ содержит описание входящей в программный комплекс (ПК) ВАМБ.00107-01 «СКАД «Сигнатура 5». «Сигнатура-клиент» версия 5. Средство криптографической защиты информации СКАД «Сигнатура» версия 5» (далее - Средство КЗИ СКАД «Сигнатура» или криптографический провайдер) программы ВАМБ.00107-01 12 01 «Библиотека функций электронной подписи и шифрования, библиотека поддержки считывателей и датчиков случайных чисел и конфигурационная программа». Документ предназначен для разработчиков прикладных программ (внешних по отношению к Средству КЗИ СКАД «Сигнатура»)."


                  Нет запрета к встраиванию у 107, есть своё руководство программиста, свои интерфейсы. Устанавливать 106 для реализации назначения данного СКЗИ не требуется, нет этого в документации на 107 или 106.

                  107 это криптопровайдер как КриптоПро CSP. Но поставляется в составе 106 и сертифицировано это всё как единое целое. Но СКЗИ тут всё равно два. С разным набором требований.

                  Сообщение от Cpx Посмотреть сообщение
                  Внимательно прочтите 107 формуляр, пункты 2.3 и 2.4:
                  Я выше показал, что прочёл внимательно. )))

                  Сообщение от Cpx Посмотреть сообщение
                  п.с. тут нет использования каких либо штатных функций.
                  Я процитировал, что есть штатные API. Более того, есть руководство программиста, где описано как можно использовать данное СКЗИ.
                  Вот ещё из руководства программиста:
                  "Библиотека функций электронной подписи (ЭП) и шифрования (далее - библиотека крипто-графического провайдера), вызываемая через Microsoft Crypto API, является составной частью «Библиотеки функций электронной подписи и шифрования, библиотеки поддержки считывателей и датчиков случайных чисел и конфигурационной программы» ВАМБ.00107-01 12 01 и предназначена для:"

                  Сообщение от Cpx Посмотреть сообщение
                  п.с. чудес-подарков не стоит ждать от ЦБ или ФСБ. Тут все сложно, тяжело и четко.
                  Пока я не вижу обоснования вашей точки зрения. Я готов её разделить, но не вижу аргументов.

                  Сообщение от Cpx Посмотреть сообщение
                  2.4 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» может быть использован только для построения на его основе новых СКЗИ.
                  Вот это я тоже вижу, но есть руководство программиста и назначение СКЗИ, в котором прямо указано? как проводится встраивание в любое прикладное ПО и нет ограничения? что данное СКЗИ применяется только для работы в составе СКЗИ 106.

                  P.S. Документация на Сигнатуру ребус. Два СКЗИ, два набора требований. И они отличаются, посмотрите внимательно.

                  Комментарий


                  • Сообщение от Zuz Посмотреть сообщение
                    что это не СКЗИ.
                    В моем понимании -нет сертификата - не скзи и точка. В том же ПКз СКЗИ необходимо сертифицировать (получить положительное заключение от ФСБ). Черновики мне не интересны.
                    Сообщение от Zuz Посмотреть сообщение
                    Нет запрета к встраиванию у 107
                    Но нет разрешение на использование - 107 это конструктор на базе которого можно создать СКЗИ для работы, а можно не использовать и сделать с "0".
                    Сообщение от Zuz Посмотреть сообщение
                    Но СКЗИ тут всё равно два. С разным набором требований.
                    Сертифицированное СКЗИ тут одно.
                    Сообщение от Zuz Посмотреть сообщение
                    где описано как можно использовать данное СКЗИ
                    только для встраивания с каким то ПО и созданию нового СКЗИ на базе 107.
                    Сообщение от Zuz Посмотреть сообщение
                    107 это криптопровайдер как КриптоПро CSP.
                    Это не так, на крипто про есть сертификат и есть назначение - не встраивать и выполнять конкретную работу (функции).
                    Сообщение от Zuz Посмотреть сообщение
                    Пока я не вижу обоснования вашей точки зрения. Я готов её разделить, но не вижу аргументов.
                    Ваше право, можете обратиться в любое лабораторию и поставить им ТЗ (задачу), ответ получите - Вам нужно создать новое СКЗИ со всеми вытекающими, ценник и сроки соответствующие. Я не понимаю, кому пришло в голову делать такое уеб*** "СКЗИ".
                    Сообщение от Zuz Посмотреть сообщение
                    Вот это я тоже вижу, но есть руководство программиста и назначение СКЗИ, в котором прямо указано?
                    Формуляр основной документ на основании которого проходит сертификация и оценка. Остальное макулатура как установить, как настроить.
                    Еще раз 107 можете использовать только для создания нового СКЗИ и точка со всем вытекающим геморроем по сертификации.
                    Сообщение от Zuz Посмотреть сообщение
                    как проводится встраивание в любое прикладное ПО и нет ограничения?
                    Ограничения все прописаны в документации (формуляре и правилах пользования, на которые есть ссылка в одних из документов, но документа не существует).
                    Сообщение от Zuz Посмотреть сообщение
                    что данное СКЗИ применяется только для работы в составе СКЗИ 106.
                    Нет, но нет другоу рабочего СКЗИ в которых этот 107 применяется. Посему по факту применяется только для работы с 106 и для любого нового, которые будет создан на базе 107 (но этого не случиться никогда т.к. есть сложности в реализации и поэтому необходимо на его базе дописывать (создавать новое), которое тоже не без изъянов, раз для него - 106 нужно проводить оценку при встраивании..

                    Не вижу смысла больше тратить на это время говно 106+107, я с лабораторией общался и детали знаю про процесс разработки и сертификации), в отличие от Вас. С учетом, что будет новый сюрприз от ЦБ по 6 версии.

                    Комментарий


                    • Сообщение от Cpx Посмотреть сообщение
                      .......С учетом, что будет новый сюрприз от ЦБ по 6 версии.
                      А что за сюрприз, если не секрет?

                      Комментарий


                      • Сообщение от Cpx Посмотреть сообщение
                        В моем понимании -нет сертификата - не скзи и точка.
                        Есть же там сноска в ПКЗ-2005 на ПП-691 (сейчас ПП-313), и СКЗИ (шифровальные (криптографические) средства) фактически всё, в т.ч. и то, что не имеет сертификата.
                        По вашей логике, те же HSM зарубежные формально не СКЗИ, раз нет сертификата соответствия. )))

                        Сообщение от Cpx Посмотреть сообщение
                        Сертифицированное СКЗИ тут одно.
                        Насколько я понимаю, тут сертифицирован аппаратно-программный комплекс (мы говорим про Сигнатура-клиент), в составе которого есть два СКЗИ и набор прикладных программ и интерфейсов.
                        Я думаю, тут отправная точка различия наших точек зрения. )))

                        Вот читаем формуляр-маму на всю СКАД Сигнатура 5 (ВАМБ.00104-01 30 01):
                        "СКАД «Сигнатура 5» образуют сертифицированные на соответствие требованиям ФСБ России компоненты:
                        – ВАМБ.00105-01 «Сигнатура-сертификат» версия 5;
                        – ВАМБ.00106-01 «Сигнатура-клиент» версия 5 (включая ВАМБ.00107-01«Средство КЗИ СКАД «Сигнатура» версия 5).
                        ...

                        2.14 Общие сведения, основные характеристики и комплектность программных комплексов, входящих в СКАД «Сигнатура 5» (п.2.3 настоящего формуляра), приведены в документах:
                        - ВАМБ.00105-01 30 01 «СКАД «Сигнатура 5». АПК «Сигнатура-сертификат» версия 5. Формуляр»;
                        - ВАМБ.00106-01 30 01 «СКАД «Сигнатура 5». АПК «Сигнатура-клиент» версия 5. Формуляр»;
                        - ВАМБ.00107-01 30 01 «СКАД «Сигнатура 5». «Сигнатура-клиент» версия 5. АПК Средство КЗИ СКАД «Сигнатура» версия 5. Формуляр»."


                        Итого имеем два сертифицированных СКЗИ в рамках одного АПК.

                        Есть в формуляр ВАМБ.00106-01 30 01 такие требования:
                        "2.12 Требования к совместному использованию
                        2.12.1 Компоненты «Сигнатура-клиент» - программные исполняемые модули и библиотеки, перечисленные в разделе 3 «Комплектность» - должны использоваться только совместно с ПК «Средство КЗИ.»

                        Т.е. 106, как раз эксплуатируется только совместно с 107. Вы же утверждаете обратное.

                        И ещё формуляр ВАМБ.00107-01 30 01:
                        "2.9 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» удовлетворяет «Требованиям к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну» и «Требованиям к средствам электронной подписи», утверждённым приказом ФСБ России от 27.12.2011 № 796:
                        - для исполнения 1: по уровню защиты КС1 при функционировании в физической и виртуальной среде;
                        - для исполнения 2: по уровню защиты КС2 при функционировании в физической среде"

                        Очевидно, что 107 это СКЗИ. Тут явно про это сказано, в отличие от 106.

                        Я не говорю, что я прав на 100%, но я свою точку зрения пытаюсь аргументировать на основе документации. Пока в документации изложено обратное вашей точке зрения и 107 как раз можно встраивать в прикладное ПО как указано в его формуляре (через стандартный CAPI от M$), а вот 106, реализующую упрощённый программный интерфейс по работе с сертификатами по и всякие плюшки для управления сертификатами в рамках СКАД Сигнатура 5.
                        Всё это написано в документации и очевидно, что проверяющий будет именно ей руководствоваться (что он и дела). И трактовать требования прямо. Есть для 106 процедура оценки влияния, то она должна исполнятся, если применяется прикладной программный интерфейс от 106. Если используется 107, то требований нет, но есть чёткие ограничения по процедуре встраивания и если они не выполняются, то можно только новое СКЗИ.

                        Комментарий


                        • saches я же говорю, сюрприз будет для всех (приятный или нет - не известно, не понятно стартовали работы по сертификации или нет и в какой лабе. У меня нет такой инфы от всех доступных лаб, которые могли бы сделать данные работы).

                          Комментарий


                          • Сообщение от Zuz Посмотреть сообщение
                            По вашей логике, те же HSM зарубежные формально не СКЗИ, раз нет сертификата соответствия. )))
                            верно, на них же явный запрет, использования на свой страх и риск. Мне не интересна тема всех СКЗИ, и рассуждать на их тему.
                            Проблема только с теми у которыхесть сертификата, т.к требования нужно выполнить и за их не выполнения могут наказать ЦБ и ФСБ.

                            Сообщение от Zuz Посмотреть сообщение
                            Т.е. 106, как раз эксплуатируется только совместно с 107. Вы же утверждаете обратное.
                            Я этого не утверждал, и как раз говорил обратное:
                            есть 106 использующий 107 и имеет сертификат.
                            есть 107 который использовать нельзя (функции не выполняет), его можно только встраивать в подобные "106" и при встраивании образуется новый АПК или СКЗИ в сосвте 107 на борту. который необходимо сертифицировать! (2.4 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» может быть использован только для построения на его основе новых СКЗИ).
                            Иного пути просто нет, вопрос почему такой кривой 107 - задавайте разработчику.

                            Считаете по другому - получите лицензию на разработку СКЗИ, сделайте новый "106" или встраиваете в свое ПО 107, при этом не сертифицируете и не делайте оценку - получите от ФСБ и ЦБ втык - 100%.
                            п.с. Вы не найдете разработчика с лицензий ФСБ или Лабораторию готовую пойти на эту аванюру! По Вашей логике - зачем тогда сделал 106? Если можно было бы обойтись только 107?))

                            Комментарий


                            • Коллеги, а как вам такой документик - https://www.nationalclearingcentre.r...cG8uZG9jeA_E_E
                              И, кстати, там же https://www.moex.com/s1292 есть ссылка на документацию к Валидате CSP , где в формуляре, если не ошибаюсь, вообще нет ни слова про встраивание или необходимость его контроля.
                              Не исключаю, что это такой подход компании разработчика. Вопрос конечно, как им удалось такие формуляры согласовывать с ФСБ.

                              Комментарий


                              • Сообщение от Cpx Посмотреть сообщение
                                верно, на них же явный запрет, использования на свой страх и риск.
                                Интересно, но не аргументировано, где явный запрет?

                                Сообщение от Cpx Посмотреть сообщение
                                Проблема только с теми у которыхесть сертификата, т.к требования нужно выполнить и за их не выполнения могут наказать ЦБ и ФСБ.
                                Если говорить про требования к встраиванию, то да. Про прочие требования - нет. К примеру, в 382-П большая часть требований распространяются на СКЗИ с сертификатом соответствия или без такового.

                                Сообщение от Cpx Посмотреть сообщение
                                Я этого не утверждал, и как раз говорил обратное:
                                Нет, же, вот указано, что 107 нельзя без 106, только если создавать новое СКЗИ:
                                Сообщение от Cpx Посмотреть сообщение
                                Повторю - при использовании ядра 107 (без 106) - это будет разработка нового СКЗИ с необходимостью его сертификации. Сертифицирована лишь 106 + 107.
                                Т.е. по вашему даже установить 107 нельзя в ОС, чтобы к примеру использовать функции TLS в web-сервере / браузере (браузер и web-сервер компоненты 106 не используют). Не говоря уже, чтобы вызвать функции 107 из своего приложения, оба случая прямо описаны в документации на данное СКЗИ.
                                Почему-то вы считаете, что для встраивания может применятся только упрощённый прикладной программный интерфейс от 106. А вот 107 только новое СКЗИ.
                                Повторюсь: для чего тогда это всё в документации 107 написано? Для тех кто будет новое СКЗИ создавать? Нет, в документации говорится именно о встраивании 107 в прикладные приложения без проведения процедуры оценки влияния среды (корректности встраивания), если использовать интерфейсы CAPI / CNG / SSPI от M$.
                                Я не понимаю, как с этим можно спросить, если явно это написано в документации.
                                Вопрос в том, что может забыли просто прописать, некорректно сформулировали, или посчитали, что требования 106 по встраиванию и на 107 как-то распространяются.

                                Сообщение от Cpx Посмотреть сообщение
                                есть 107 который использовать нельзя (функции не выполняет), его можно только встраивать в подобные "106" и при встраивании образуется новый АПК или СКЗИ в сосвте 107 на борту. который необходимо сертифицировать! (2.4 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» может быть использован только для построения на его основе новых СКЗИ).
                                См. выше. В документации прямо написано, как можно встраивать и какие условия у 107. Почему нельзя то, если прямо написано в документации (в формуляре в назначении), есть документация по SDK, где прямо указано как встраивать через стандартные вызовы криптографических API от M$?

                                Сообщение от Cpx Посмотреть сообщение
                                Считаете по другому - получите лицензию на разработку СКЗИ, сделайте новый "106" или встраиваете в свое ПО 107, при этом не сертифицируете и не делайте оценку - получите от ФСБ и ЦБ втык - 100%.
                                Новый 106 это новое СКЗИ. Сделать приложение, которое, к примеру, проверяет xml подпись для того же УФЭБС (используя стандартные вызовы 107, в порядке установленном в документации в описании SDK) и сделать приложение, которое управляет сертификатами, ключевой информацией несколько разные приложения не находите?
                                Разрабатывать можно без сертификации, опытный образец, нет проблем, делайте что хотите.
                                В исследовательских целях и лицензия на разработку не нужна, вы же не по заказу СКЗИ делайте, не для применения.
                                И сложный како-то путь у нас получается, чтобы разобраться в вопросе, нужно целую лицензию на разработку СКЗИ получить. )))

                                Сообщение от Cpx Посмотреть сообщение
                                По Вашей логике - зачем тогда сделал 106? Если можно было бы обойтись только 107?))
                                В 106 функции совсем другие - это АПК более высокого уровня, реализует процессы для СКАД Сигнатура 5 в целом. К примеру, запрос на сертификат подать, который АПК "Сигнатура-Сертификат" обрабатывается. Также 106 содержит упрощённый прикладной программный интерфейс для встраивания в прикладное ПО. И встраивание, обычно через, него и производят (это проще).

                                P.S. Ещё раз, я не пытаюсь доказать, что кто-то неправ, мне нужно в этом вопросе разобраться, чтобы корректно предъявлять требования при встраивании данных СКЗИ вендорами прикладного ПО.
                                Последний раз редактировалось Zuz; 11.12.2019, 13:33.

                                Комментарий


                                • Сообщение от saches Посмотреть сообщение
                                  И, кстати, там же https://www.moex.com/s1292 есть ссылка на документацию к Валидате CSP , где в формуляре, если не ошибаюсь, вообще нет ни слова про встраивание или необходимость его контроля. Не исключаю, что это такой подход компании разработчика. Вопрос конечно, как им удалось такие формуляры согласовывать с ФСБ.
                                  "Валидата CSP" по сути и есть 107 в СКАД Сигнатра 5. Да, я тоже просматривал эту документацию. Кстати, отдельного сертификата соответствия данное СКЗИ тоже не имеет, входит в состав других СКЗИ (клиент для УЦ). У биржи ПО использует тоже упрощенный прикладной интерфейс для встраивания. Валидата CSP там не используется явно.

                                  Сообщение от saches Посмотреть сообщение
                                  Не исключаю, что это такой подход компании разработчика. Вопрос конечно, как им удалось такие формуляры согласовывать с ФСБ.
                                  Сертифицировать сразу комплекс дешевле и требования по встраиванию для СКЗИ, что явно сертифицируется есть же (на которую, в целом есть сертификат). Зачем сертифицировать отдельно CSP и отдельно прикладное ПО для работы с центром сертификации? )))
                                  Но в формуляре на Валидата CPS 5 сеть более строгие формулировки:
                                  "СКЗИ «Валидата CSP» предназначено для:
                                  - использования в качестве криптопровайдера в составе функционально законченных СКЗИ, имеющих сертификат соответствия ФСБ России;
                                  - обращения к криптографическим функциям в соответствии со стандартными интерфейсами CSP и CNG Microsoft;
                                  ...
                                  "

                                  Т.е. без законченного СКЗИ сам по себе криптопровайдер не должен применяться.


                                  У "Валидата CPS 5" нет как для АПК "СКЗИ Сигнатура 5" (107) явного разрешения на встраивание в прикладное ПО:
                                  "2.3 АПК «Средство КЗИ СКАД «Сигнатура»» версия 5 предназначен для:
                                  встраивания в качестве криптографического провайдера (ядра базовых криптографических функций) в прикладное программное обеспечение, реализующее криптографическую защиту, в соответствии со стандартными интерфейсами CSP и CNG Microsoft;
                                  ...
                                  2.4 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» может быть использован только для построения на его основе новых СКЗИ."

                                  Возможно, тут просто неудачная формулировка и Cpx может и прав, просто аргументацию пока не подобрал убедительную. )

                                  Комментарий


                                  • Сообщение от Zuz Посмотреть сообщение
                                    Т.е. по вашему даже установить 107 нельзя в ОС, чтобы к примеру использовать функции TLS в web-сервере / браузере (браузер и web-сервер компоненты 106 не используют). Не говоря уже, чтобы вызвать функции 107 из своего приложения, оба случая прямо описаны в документации на данное СКЗИ.
                                    именно, это написано из п 2.3 формуляра на 107. Использовать 107 просто так нельзя, только встраивать куда-то, а это по факту будет разработка нового составного СКЗИ как 106 + 107 с необходимостью сертификации.
                                    Сообщение от Zuz Посмотреть сообщение
                                    У биржи ПО использует тоже упрощенный прикладной интерфейс для встраивания. Валидата CSP там не используется явно.
                                    Это совсем другой продукт и другой формуляр - обсуждаем не его как и не КриптоПро CSP.
                                    Сообщение от Zuz Посмотреть сообщение
                                    Сертифицировать сразу комплекс дешевле и требования по встраиванию для СКЗИ, что явно сертифицируется есть же (на которую, в целом есть сертификат).
                                    заблуждение, цена формируется исходя не от кол-ва. Вопрос политический ту явно был, ЦБ нужно было своя специфичная СКЗИ для решения определённых задач. почему не взяли готовую Валидату или КриптоПро - мне не известно. В итоге взяли отрезали от Валидаты часть и сделали 107, а потом к ней докрутили необходимый функционал в виде 106 и получили одно составное СКЗИ с сертификатом.
                                    Сообщение от Zuz Посмотреть сообщение
                                    Т.е. без законченного СКЗИ сам по себе криптопровайдер не должен применяться.
                                    Правильно, 107 и есть тот же продукт, только урезанный и ущербный. Требования аналогичные, сформированы немного иначе.

                                    Сообщение от Zuz Посмотреть сообщение
                                    просто аргументацию пока не подобрал убедительную.
                                    А как я еще могу объяснить по другому если п. 2.3 и 2.4 Вам не очевидны? Тема ФСБ в отличие от ФСТЭК более сложная и многое зависит от конкретного эксперта и его настроения согласовать или нет ТЗ. отчет, положения. тут нет РД в которых есть табличка соответствия...
                                    да и зачем? Сейчас требования не актуальны - ждем новую Сигнатуру с ее требованиями.
                                    Вы же не планируете создавать на базе 107 новое СКЗИ?))



                                    Комментарий


                                    • Сообщение от Zuz Посмотреть сообщение
                                      "Валидата CSP" по сути и есть 107 в СКАД Сигнатра 5. Да, я тоже просматривал эту документацию. Кстати, отдельного сертификата соответствия данное СКЗИ тоже не имеет, входит в состав других СКЗИ (клиент для УЦ). У биржи ПО использует тоже упрощенный прикладной интерфейс для встраивания. Валидата CSP там не используется явно....
                                      Вот это как-то с трудом ассоциируется с нормативкой ФСБ)) Что значит, используется, но не явно...
                                      Если CSP, и есть даже инструкции по встраиванию, и компании этим пользуются, то это полноценный криптопровайдер.
                                      И то. что он не сертифицирован отдельно и у него странный формуляр, то это вполне явный вопрос к исполнителям, хотя, скорее всего, риторический...

                                      И, если СКЗИ сертифицировано в составе другого СКЗИ, насколько в принципе приемлемо его использование отдельно?
                                      Т.е., по факту, выглядит как использование не сертифицированного СКЗИ в чистом виде...

                                      ЗЫ: всё это как-то напоминает историю с разговорами про реализацию Open ID Connect с ГОСТовыми алгоритмами.
                                      Разговоров было и про согласование в ФСБ и про его публикацию/стандартизацию, а сейчас очень напоминает какой-то междусобойчик...
                                      Что, конечно, жаль...
                                      Последний раз редактировалось saches; 11.12.2019, 17:43.

                                      Комментарий


                                      • Сообщение от Cpx Посмотреть сообщение
                                        заблуждение, цена формируется исходя не от кол-ва.
                                        Ну, почему же? Очевидно, что несколько бумажек в ФСБ оформить сложнее чем одну. И да, вы прямо это написали цена формируется из количества (больше бумажек, дороже).

                                        Сообщение от Cpx Посмотреть сообщение
                                        В итоге взяли отрезали от Валидаты часть и сделали 107, а потом к ней докрутили необходимый функционал в виде 106 и получили одно составное СКЗИ с сертификатом.
                                        Ну не верно же это, Валиадта построена точно по тому же принципу (там такое же разделение, софт для УЦ, клиент УЦ + прикладной упрощённый интерфейс, криптоядро для ОС). Фактически Сигнатура просто переименование и некоторая адаптация документации (при беглом сравнении).

                                        Сообщение от Cpx Посмотреть сообщение
                                        А как я еще могу объяснить по другому если п. 2.3 и 2.4 Вам не очевидны?
                                        Не знаю, я вам цитирую и подчёркиваю, где дано разрешение, а вы про настроения экспертов. )))

                                        Сообщение от Cpx Посмотреть сообщение
                                        Вы же не планируете создавать на базе 107 новое СКЗИ?))
                                        Могут быть задачи по автоматизации. Но пока, все вендоры используют ППИ от 106, от 107 никто не использует, т.к. сертификаты ключей всё равно в рамках 106 все получают от ЦБ / НСПК.

                                        Комментарий


                                        • Сообщение от Zuz Посмотреть сообщение
                                          Очевидно, что несколько бумажек в ФСБ оформить сложнее чем одну. И да, вы прямо это написали цена формируется из количества (больше бумажек, дороже).
                                          Нет не проще, там все равно кол-во бумажек - главное технический вопрос, чтобы был реализован. Обычно если есть сложности, начинают пытаться сделать, что можно и потом разбираться с остальным. Налицо - такой опыт был в Сигнатуре 5.
                                          Стоимость зависит исходя из объёма исходных кодов и условий/ограничений эксплуатации.
                                          Сообщение от Zuz Посмотреть сообщение
                                          Фактически Сигнатура просто переименование и некоторая адаптация документации (при беглом сравнении).
                                          Если формально да, если технически вы не правы 9начиная от документации, формуляра, и функционала). Сильно обрезали и сделали, что могли за указанные сроки и стоимость....
                                          Сообщение от Zuz Посмотреть сообщение
                                          я вам цитирую и подчёркиваю, где дано разрешение, а вы про настроения экспертов. )))
                                          Я Вам дал четкий пункт где четко написано для чего и что нужно делать если не для этого. Вы начали описывать какие-то новые условия и вводные, я вам написал как проходит процесс сертификации по факту.
                                          Сообщение от Zuz Посмотреть сообщение
                                          Могут быть задачи по автоматизации. Но пока, все вендоры используют ППИ от 106, от 107 никто не использует, т.к. сертификаты ключей всё равно в рамках 106 все получают от ЦБ / НСПК.
                                          завтра пришельцы могут приземлиться в ЦБ!
                                          Правильно, наконец-то вы правильный вывод сделали - была задача, и было создано решение, которое успешно реализует данную задачу. Других задач ЦБ не ставил и не булдет разрабаывать на базе 107 что-то.
                                          А "не ЦБ" не могут ничего будут сделать с 107, т.к. у него нет на это прав и исходников если абстрагироваться от условий формуляра и требований ФСБ.



                                          Комментарий


                                          • Сообщение от Cpx Посмотреть сообщение
                                            А "не ЦБ" не могут ничего будут сделать с 107, т.к. у него нет на это прав и исходников если абстрагироваться от условий формуляра и требований ФСБ.
                                            Могут можно встраивать, что хотите (когда для АБС запрашивали SDK и передавали вендору АБС, такое мнение мне доводилось, но это просто мнение специалиста из ТУ). Вопрос в том, что проще работать с абстракциями 106.
                                            А так я для себя в этом вопросе более менее, разобрался, спасибо, за обсуждение.

                                            Комментарий


                                            • Сообщение от Zuz Посмотреть сообщение
                                              Могут можно встраивать, что хотите (когда для АБС запрашивали SDK и передавали вендору АБС, такое мнение мне доводилось, но это просто мнение специалиста из ТУ).
                                              сразу 2 момента:
                                              - юристы не согласятся (у вас лицензионный договор, в нем разрешено делать манипуляции для 107)?
                                              - сделать оценку или сертификацию при встраивание в 107 вы не можете, т.к у ас нет исходников на 107 и ЦБ Вам их не даст!

                                              Комментарий


                                              • Сообщение от Cpx Посмотреть сообщение
                                                - юристы не согласятся (у вас лицензионный договор, в нем разрешено делать манипуляции для 107)?
                                                В составе лицензии (это весьма условное понимании, там акт с номерами ключей для активации продукта и описание носителя с СКЗИ с составом) передается и SDK, там есть какие-то общие слова про возможность использования.

                                                Сообщение от Cpx Посмотреть сообщение
                                                сделать оценку или сертификацию при встраивани
                                                По кругу не будем начинать, вы отметаете факт того, что можно осуществлять встраивание путём вызова стандартных криптографических API (как это указано в формуляре в одном из первых пунктов на 107), и считаете, что можно только новое СКЗИ разрабатывать. Я эту точку зрения понял, но не разделяю до конца.

                                                Комментарий


                                                • Сообщение от Zuz Посмотреть сообщение
                                                  По кругу не будем начинать
                                                  здесь как раз о другом моменте! 107 не сертифицированное и для того, чтобы сделать оценку (новое СКЗИ0 с ним, нужны его исходники, без них не выполнить оценку (сертификацию)! Из цб не даст это факт. замкнутый круг отнють не в этом, что Вам банкам остается использовать готовые ПО интегрированные с 106 и точка (:

                                                  Комментарий


                                                  • https://lukatsky.blogspot.com/2019/12/672.html

                                                    Вопрос № 6. Кто должен осуществлять анализ защищенности и контроль встраивания СКЗИ для АРМ КБР-Н? Кредитная организация или Банк России? Планируется ли сертификация АРМ КБР-Н по требованиям ФСТЭК?

                                                    Ответ: Контроль встраивания СКЗИ для АРМ-КБР-Н осуществляется Банком России. Сертификация АРМ-КБР-Н по требованиям ФСТЭК не планируется.


                                                    Вопрос № 8. Помимо прямого исполнения требований 672-П кредитным организациям также необходимо руководствоваться формуляром на СКЗИ «Сигнатура», который требует применения МСЭ, сертифицированного по требованиям ФСБ. Таких решений на рынке практически нет (у части решений сертификаты прекратят действие в ближайшее время и их производители не планируют их продлять). Как выполнить это требование в условиях отсутствия на рынке соответствующих решений? Возможно ли его замена на МСЭ, сертифицированный по требованиям ФСТЭК, как это указано в руководстве по обеспечению ИБ АРМ КБР-Н?

                                                    Ответ: В соответствии с формуляром на СКАД «Сигнатура», для передачи информации, поступающей от криптосредства и на криптосредство, допускается использование выходящих за пределы контролируемой зоны каналов связи, относящихся к корпоративной сети и оснащенных межсетевыми экранами, сертифицированными по требованиям ФСБ России не ниже 4 класса защиты для обеспечения конфиденциальности передаваемой информации. В настоящее время в перечень средств защиты информации, сертифицированных ФСБ России, содержится информация об одиннадцати межсетевых экранах, позволяющих выполнить данное требование.

                                                    Примечание от меня: вот тут ЦБ, конечно, постоянно меняет свою позицию :-( Еще в сентябре звучала другая позиция по поводу этих МСЭ. Да и практика региональных проверок тоже местами отличается от данного ответа.


                                                    Вопрос № 9. С 01.07.2021 согласно 672-П требуется сертификация СКЗИ. Необходимо ли проводить контроль встраивания СКЗИ на каждый релиз ПО, участвующего в платежной системе Банка России?

                                                    Ответ: Требуется уточнение, о каком именно требовании 672-П идет речь. Изменения в 672-П, вступающие в силу с 01.07.2021 в пп. 14.2, 14.3, касаются применения СЗИ, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности. Контроль встраивания на уровне звена данных или сетевом уровне производится при установке СЗИ и не зависит от изменений ПО на прикладном уровне.

                                                    Комментарий


                                                    • Сообщение от Cpx Посмотреть сообщение
                                                      107 не сертифицированное
                                                      Это не так, оно сертифицировано в составе 106. Вопрос только как к такой сертификации относиться, если у 106 есть процедура оценки влияния, а у 107 нет, и для последней разрешено встраивать через стандартный интерфейс в прикладное ПО.

                                                      Я вашу точку зрения понял, давайте лучше уже 683-П обсуждать. Кто как вопросы в части оценки уязвимостей и сертификации решать планирует. Как вендоры отзываются. А то, как-то эта работа поутихла, хотя 382-П уже давно требует. )
                                                      Последний раз редактировалось Zuz; 17.12.2019, 16:46.

                                                      Комментарий


                                                      • Сообщение от Berckut Посмотреть сообщение
                                                        Вопрос № 9. С 01.07.2021 согласно 672-П требуется сертификация СКЗИ. Необходимо ли проводить контроль встраивания СКЗИ на каждый релиз ПО, участвующего в платежной системе Банка России?
                                                        Странно вопрос сфорулирвоали. Нужно было указать, что 672-П требует выполнять ПКЗ-2005 и фактически все требования документации на СКЗИ, в частности АПК Сигнатура-Клиент 5, где определена процедура контроля встраивания (оценки влияния среды) для данного СКЗИ. И соответственно вопрос: необходимо ли проводить контроль встраивания СКЗИ на каждый релиз ПО (разрабатываемого вендором или участниками ССНП и СБП)?

                                                        Комментарий


                                                        • Думаю в вопросе №9 ДИБ сказал, что речь идет о VPN образующих железках, и там надо применять сертифицированную ФСБ крипту.

                                                          Комментарий


                                                          • Сообщение от Zuz Посмотреть сообщение
                                                            .....И соответственно вопрос: необходимо ли проводить контроль встраивания СКЗИ на каждый релиз ПО (разрабатываемого вендором или участниками ССНП и СБП)?
                                                            Ранее, задавал этот вопрос Валидате. Их ответ - да, нужно, или надо иметь веские аргументы, что конкретный апдейт никак не влияет на работу СКЗИ.

                                                            Комментарий


                                                            • Сообщение от saches Посмотреть сообщение
                                                              Их ответ - да, нужно, или надо иметь веские аргументы, что конкретный апдейт никак не влияет на работу СКЗИ.
                                                              Это достаточно очевидно, но явно не регламентировано, т.к. указано "при встраивании". А новые релизы могут подразумевать изменение не связанных с ПО, компонентов. К примеру, форматы УФЭБС поменялись, изменили код, что с ними работал. Де-факто встраивания не осуществлялось.
                                                              И логично выделить данный компонент АБС в самостоятельное ПО, которое вообще не меняется (по сути как СКЗИ для отдельной АБС, которое можно использовать в составе этой АБС). )))

                                                              Комментарий

                                                              Обработка...
                                                              X