Нужен ли сертификат, лицензии?

stix-s · Сообщение **stix-s** » 22 июн 2007, 09:15

Если собраться продавать программу на FB и по условиям задачи необходимо передавать данные либо по защищенноку каналу, либо в зашифрованном виде, необходимы ли всякие лицензии, сертификаты?
Или возможно достаточно купить софт стороннего производителя, который всю секлюторность будет соблюдать?
Может кто поделится собственным опытом или направит на нужную документацию?

mdfv · Сообщение **mdfv** » 22 июн 2007, 11:31

Фстэк этим лицензированием занимается, бывшая Гостехкомиссия.
http://www.fstec.ru/
Там много документов по этому поводу. Если контора государственная/муниципальная, то надо использовать сертифицированные средства. Т.к. их эта комиссия и проверяет.

Вот выдержка из Положения
о сертификации средств защиты информации

Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.
Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации. (В редакции постановлений Правительства Российской Федерации от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808)
Система сертификации средств защиты информации представляет собой совокупность участников сертификации, осуществляющих ее по установленным правилам (далее именуется - система сертификации).
Системы сертификации создаются Федеральной службой безопасности Российской Федерации, Федеральной службой безопасности Российской Федерации, Министерством обороны Российской Федерации, Службой внешней разведки Российской Федерации, уполномоченными проводить работы по сертификации средств защиты информации в пределах компетенции, определенной для них законодательными и иными нормативными актами Российской Федерации (далее именуются - федеральные органы по сертификации). (В редакции постановлений Правительства Российской Федерации от 23 апреля 1996 г. № 509; от 17 декабря 2004 г. № 808)

В общем и целом защиту информации надо возложить на сертифицированнные средства и не мудрить самому. Хотя вроде и сама программа обрабатывающая данные должна быть сертифицирована, но мы так ни у кого и не узнали толком, в т.ч. и у самих фстековцев, которые к нам с комиссией нагрянули. Долго надо грызть эти документы, которые друг с другом не сходятся.

А так у нас например на электронном обмене используется отечественное сертифицированное ПО(точнее использующее гостовские алгортмы). Которое встраивается стандартным образом в виндовое CryptoAPI. Настроить с их помощью можно и свой центр локальный внутри конторы, выдающий сертификаты или если обмен с другими участниками идет, то получать сертификаты с ключами у сертифицированных удостоверяющих центров.
Почитать на эту тему можно здесь:
http://www.cryptopro.ru/cryptopro/default.asp

---
Кстати электронные налоговые отчеты таким образом и передаются
зашифрованные/подписанные ключами выданными в УЦ.

stix-s · Сообщение **stix-s** » 22 июн 2007, 11:47

mdfv писал(а): Почитать на эту тему можно здесь:
http://www.cryptopro.ru/cryptopro/default.asp

---
Кстати электронные налоговые отчеты таким образом и передаются
зашифрованные/подписанные ключами выданными в УЦ.

Сенкс, буду читать, не хочется самому велосипед изобретать
Хочется прийти к такой схеме: БД-мое приложение-сторонняя софтина секретности-удаленный пользователь