[Sarlug] Свободные технологии и отчётность

[Evgeny Sinelnikov]

12 августа 2013 г., 11:18 пользователь Evgeny Sinelnikov
<sin на altlinux.ru>написал:

> [...]
>
> И вот тут возникает вопрос: "*Что мешает сделать свободный вариант
> криптопровайдера?*" Да и нужен ли он под Linux?
>
> [...]
>

Кроме технических вопросов, что ещё нужно уточнють (протокол и т.п.), есть
ещё вопрос о сертификации.

*ФСБ и разрешительные документы*
http://rotest.ru/federalnoe-byuro-rassledovanijj/

[...]

В России существует несколько  систем сертификации программного обеспечения
(ПО), они ориентированы  на различные типы ПО. Основными среди них
считаются системы сертификации ПО ФСТЭК и ФСБ.

Разрешительные *документы ФСБ требуется оформить для подсистем программного
обеспечения, использующих  криптографическую защиту*. В России допускается
применение только отечественных алгоритмов шифрования. *Требования  ФСБ в
данной сфере не придаются всеобщей огласке*, для ознакомления с ними
необходимо иметь специальное разрешение.

Сертификация ФСТЭК проверяет техническую защиту информации и используемые
некриптографические методы защиты информации. Требования этой системы
сертификации являются общедоступными на официальном сайте ФСТЭК

Примеры сертификации и оформления разрешительных документов ФСБ. Так *ФЗ No.
63 <<Об электронной подписи>>* говорит о том, что пользоваться в полном
объеме государственными услугами, которые предоставляют соответствующие
Интернет-порталы,  можно только при наличии электронной подписи. По сути
электронная подпись является аппаратным устройством, которое генерирует
электронный индивидуальный код. Для того чтобы такой подписью можно было
пользоваться на законных основаниях, она должна пройти сертификацию ФСБ и
получить разрешительные документы.

Выдача таких ключей компанией Ростелеком осуществляется с мая текущего
года. Ключи электронной подписи изготовлены фирмой <<Аладдин Р.Д.>>. Данное
персональное устройство как средство криптографической защиты информации
(СКЗИ) получило разрешительный документ ФСБ --  сертификат соответствия ФСБ.
Класс защиты определен как КС1 и КС2. Такой электронной подписью могут
воспользоваться не только физические, но и юридические лица РФ.

[...]
Подробно такие вопросы разбираются на конференциях. В частности, в прошлом
году на PKI-Forum Россия <http://www.pki-forum.ru/>:
Логачев А.С. *<<О <<сертификации>> средств электронной подписи и средств
удостоверяющих центров в условиях новой нормативной правовой базы>>*
http://www.pki-forum.ru/files/files/archive_2012/05.pdf
http://www.pki-forum.ru/materials_2012
http://www.pki-forum.ru/archive

Кроме *ФЗ No.63*, есть ещё один немаловажный *ФЗ No.152* - Петр Дьяков на
конференции Софтлайн по закону о защите персональных данных 25-го февраля -
*Открытое ПО и ФЗ 152*:
http://www.slideshare.net/pdiyakov/152-3286285
Но это уже другая часть потенциальных проблем...


Пока что важно понять: "Где грань между технологическими и организационными
ограничениями при использовании электронной цифровой подписи (ЭЦП), и не
только?" Вот, кстати, ещё и универсальная электронная карта (УЭК):
http://habrahabr.ru/post/180739/

Вышеописанные требования сертификации "*для подсистем программного
обеспечения, использующих  криптографическую защиту*" хотелось бы иметь
возможность применить для решений на базе Свободного ПО.


-- 
Sin (Sinelnikov Evgeny)
Etersoft
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.lug.ru/pipermail/sarlug/attachments/20130812/7ea9b525/attachment-0001.html>