csfmeridian
@csfmeridian

Приказ ФСБ РФ № 795 от 27 декабря 2011 года

Здравствуйте.
Обрисую ситуацию: работаю в одной фирме разработчиком, основной заказчик — крупная гос. компания.
Для этой компании вот уже допиливаем последнии штрихи в софте, скоро будет внедрение. И тут мне тыкнули в этот приказ, мол, чтобы всё по уму было. Я этот приказ полистал, и ровным счётом ничего не понял. Сам софт пишем на .NET. Известно, что использование средств криптозащиты не сертифицированных ФСБ/ФАПСИ запрещено, если речь идет о работе с гостайной или конфиденциальной информацией в гос. организациях.

Собственно вопросы:
1) Криптографические провайдеры из System.Security.Cryptography сертефицированы ФСБ/ФАПСИ?
2) Что я должен осознать или сделать прочитав этот приказ? :)
3) Ребята, если есть опыт защиты информации/написания софта для гос. команий и т.д., поделитесь пожалуйста.

P.S. 2 и 3 вопросы не обязательно в рамках .NET
P.S.S. Собственно сам приказ
  • Вопрос задан
  • 3794 просмотра
Пригласить эксперта
Ответы на вопрос 7
Боюсь что Вам придется смотреть в сторону продуктов от КриптоПро
Ответ написан
Maximus43
@Maximus43
Содержимое приказа похоже на требования к EV SSL сертификату, за исключением пунктов 18, 29 и 30. Там описаны очень специфичные для PKI расширения, с заполнением которых могут быть сложности.
По п.2. Надо сгенерить запрос на сертификат с учетом требований приказа. Сама генерация запроса (PKCS10) возможна в OpenSSL при правильном конфиге. А подписывать сертификат придется у авторизованных ЦС. После этого сертификат можно использовать о назначению.
Ответ написан
Комментировать
@Chii
Я почему-то категорически уверена, что РАСПО с этим приказом сталкивалось и уже начало думать, что же с ним делать. Советую обратиться к ним за советом, дядьки там дружелюбные, наверняка не откажут в совете.
Ответ написан
Комментировать
В настоящее время то, где применять и где не применять сертифицированную криптографию, решает ПП-957. Ему уже 5 лет. В частности:


д) реализация криптографических алгоритмов, рекомендованных лицензирующим органом, в разрабатываемых шифровальных (криптографических) средствах, применяемых в информационно-телекоммуникационных системах и сетях критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг с использованием шифровальных (криптографических) средств для государственных и муниципальных нужд;
Ответ написан
Приказ ФСБ готовит почву для введения квалифицированной электронной подписи. До нее еще долго — не менее года. Как минимум еще даже нет требований к аккредитованным удостоверяющим центрам, не то что их самих. Так что то, на что Вы ссылаетесь — это просто планомерная проработка нового 63-ФЗ в деталях — работа на будущее.
Ответ написан
Комментировать
P.P.S. Если SSL используется только как транспорт, т.е. обе стороны разрабатываются Вами, то есть бесплатный сертифицированный криптопровайдер VIPNet CSP. Но «обвязку» придется делать самим в этом случае.
Ответ написан
Комментировать
Laroux
@Laroux
Администратор Удостоверяющего центра
Если тема еще актуальна, то на данный момент произошла куча изменений, связанных с 63-ФЗ в общем и с 795 приказом в частности.

Очень много ответов на очень много вопросов можно найти на форуме ООО КриптоПро.

Если лень — спрашивайте. На что смогу — отвечу
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы