КрасКрипт пишет:Получили официальный ответ Банка России по поводу встраивания. В общем и целом ничего нового, ......
До исполнителя, указанного в письме дозвониться не получается.
Общались с УБиЗИ в нашем ТУ, они сами этого письма ФСБ не видели и сами не в курсе как и что. просили дать почитать ответ
Задал вопрос на форуме bankir.ru видел(получал) ли кто это или иное разъяснение от ЦБ/ФСБ.
И, конечно, несколько странно, что ссылка дана на письмо ФСБ 2007-го года.
КрасКрипт пишет:Saches пишет:Не являюсь сотрудником кампании Валидата, но, насколько я понимаю, в соответствии с ПКЗ2005, это прямая обязанность разработчика СКЗИ "совместно со специализированной организацией".
ПКЗ-2005 регламентирует разработку, производство и тиражирование СКЗИ. Про встраивание речи там нет. Есть только требование эксплуатации в соответствии с формуляром.
Специалисты КриптоПро комментируют вопрос встраивания так:
Встраивание СКЗИ и проведение контроля - это разные, практически не связанные вещи. Имея лицензию ФСБ Вы имеете ПРАВО на встраивание. Встраиваете и эта процедура не требует контроля. Получилась в итоге защищенная с использованием СКЗИ система (программа, комплекс программ). Потом Вы продаёте систему. Одному заказчику, другому, третьему. Какой либо заказчик в некоторых случаях (см. п.3 ПКЗ-2005 или по собственному желанию) может потребовать проведение контроля встраивания. ВОт тогда Вы начинаете процедуру контроля встраивания. А может не потребовать. Это его право и ответственность.
Собственно используемый Вами мой посыл был несколько о другом. О том, что для проведения контроля встраивания разработчик или эксплуатант системы должен напрямую обратится именно к разработчику СКЗИ, а не куда-то еще.
И, собственно, все компании -разработчики СКЗИ, с которыми я общался на эту тему, подтвердили этот факт.
Что касается ответа КриптоПро - то, что разработка и инспекционный контроль вещи разные, никто не спорит. Это, например, прошу простить за упрощенную аналогию, как оказание сексуальных услуг и необходимость регулярного медицинского контроля для всех кто подобные услуги оказывает. Т.е. вещи абсолютно разные, но первое без второго не может обеспечить отсутствие в перспективе возможных побочных эффектов. (Еще раз прошу извинить за, может, не самый удачный пример).
По личному опыту общения с разработчиками СКЗИ могу сказать, что на вопрос, о проведении контроля встраивания, практически всегда получаю ответ о том, что это не нужно всем и всегда. Но стоит упомянуть пару ссылок на:
- то самое разъяснение на сайте ФСБ http://www.fsb.ru/fsb/science/single.ht … hart.html;
- строку из формуляра о том что контроль необходим если СКЗИ используется для защиты информации, конфиденциальной в соответствии с законодательством
тут же все разговоры о том, что контроль не нужен прекращаются.
Жаль, конечно, что крайними оказываются эксплуатанты систем, а не разработчики, как, например, в Белоруссии для систем ДБО. Где, если не ошибаюсь, любая система ДБО должна пройти соответствующую сертификацию до того, как её выведут на рынок. И, вроде как, BSS такую сертификацию в Белоруссии проходили.
Т.е. примерно так:
- смотрим 382-П и 552-П в той части, где перечисляется информация подлежащая защите;
- читаем разъяснение ФСБ и формуляр.
А вот тут бы очень полезны были бы разъяснения ЦБ и ФСБ для банков, которые пока никто не видел, как я понимаю.
И, конечно же, очень бы хотелось видеть хотя бы содержательную часть ответа ЦБ на Ваш запрос.
И, да, несмотря на то, что в ПКЗ2005 нет ни слова про контроль встраивания, всегда и все ссылаются именно на этот документ, когда речь идет о названии нормативного документа, из которого следует необходимость проведения тематических исследований.
Может быть представители Валидаты как-то прокомментируют своё видение на необходимость контроля встраивания при использовании, например, банками ПО со встроенным СКЗИ?
