Pull to refresh

Comments 41

А не лучше ли все эти сертификации, как зачастую не отражающие реального качества продукта, вообще отменить?
На это в правительстве никто сейчас не пойдет. Давайте первым шагом сократим их хотя бы вдвое.
На сокращение вдвое — тоже, люди ж без работы останутся!
При этом «инициатива» не ставит под сомнение качество сертификации и ее необходимость.
Дело в самой площадке РОИ. Никто из руководства страны вообще похоже её серьезно не воспринимает. Если сделать слишком радикальную инициативу, даже набрав 100 тысяч, она зависнет, как зависли черные списки.
Отсюда и мягкие формулировки в этом очень горячем вопросе :)
Если «собака лает, караван идет», то вообще не вижу смысла.
Мало того, что нет смысла, так ещё и есть вред: если через РОИ начнут успешно проводиться такие «инициативы», то у чиновников будет повод заявить, что РОИ успешно работает и выполняет свою функцию.
РОИ успешно работает и выполняет свою функцию www.roi.ru/2671/

ЗЫ обратите внимание на количество проголосовавших «за» и «против»…
Хотите взять и отнять хлеб у ФСБ? Ну удачи )
Интересно, а почему пост в хабе — Я пиарюсь?
Без понятия как он туда попал. Перенес обратно в ИБ.
Получали лицензию ФСБ на копирование и распространение СКЗИ. Приходил довольно культурный и образованный молодой человек, задал несколько вопросов (при чем так, что сразу и не догадаешься, что началось тестирование), все записал и ушел. Спустя некоторое время дали лицензию. Не вижу особых сложностей в работе с ФСБ. Может не все регионы такие культурные?
Не все.

Дело не только в лицензиях, но и в требованиях ФСБ к СКЗИ. Диск с КриптоПро должен лежать в сейфе, дубликат ключей от которого должен быть в другом сейфе. В помещении должны быть решетки на окнах, нельзя находится посторонним без сопровождения и так далее. Это маразм, который никто не собирается отменять.
Но и никто не собирается этот маразм исполнять. Придет проверка, покажите им комнату с решеткой, железной дверью и сейфом, они порадуются, уйдут, на этом можно продавать сейфы, пилить решетки и ставить нормальную офисную дверь.
Сотрудники ФСБ тоже хотят кушать.
Чтобы создавать программные или аппаратные средства защиты информации нужна лицензия ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальной информации. Если продукт будет использовать шифрование, то нужна ещё одна похожая лицензия, но уже от ФСБ.
Отличный пример юридической парадигмы мышления! Не, я серьёзно, вдумайтесь.
Чтобы притягиваться к земле нужна лицензия МинПрироды.
Вы про это?
www.securitylab.ru/news/453713.php

Ну да, все поправки которые были предложены ИБ сообществом, благополучно слиты в ведро :)
lukatsky.blogspot.ru/2014/06/blog-post.html

Так что металлические решетки, опечатывание пластилином, отечественная криптуха и закрытый код (привет линуксоидам).
lukatsky.blogspot.ru/2013/10/blog-post_4.html

А еще лучше вообще не доверять важной информации этим вашим железякам ;)
inopressa.mirtesen.ru/blog/43699188340/Putin-obhitril-ANB-po-sovetskoy-privyichke

Да уж с металлическими решетками и пластилином мы еще долго будем защищаться. Основополагающий документ по защите конфиденциалки криптухой еще выпущен ФАПСИ и перерабатывать его и не думают видимо. Лучик света думал будет когда вышел документ по ПДн, но прочитав понял-рано радовался.
Как же быть с криптой в windows? Семерку же сертифицировали для защиты ПДн.
Это кстати замечательный пример. В постановлении правительства о криптографических средствах для сайта госуслуги явно сделано исключение. Что как бы намекает. Вообще у нас многое держится в основном на исключениях.
Автор, сертификация СКЗИ в ФСБ имеет смысл. ФСТЕК'овские сертификации мне вообще не понятны, да :)
Я ж не предлагаю её отменить. Я предлагаю её перенести в другое ведомство.
А специалисты там откуда возьмутся? Все-таки традиционно ФСБ связана с криптографией…
Традиционно с криптографией было связано ФАПСИ, которое передали ФСБ в 2003 году.
Кстати обратите внимание на ФСТЭКовские общие критерии, там есть раздел по криптографии. И если мне не изменяет память, то есть разделение: если крипта для защиты от НСД (авторизация пользователя), то ФСТЭК, а вот если крипта для защиты конфиденциальности, целостности, плюс ЭЦП, то в комитет
Возникает вопрос компетентности работников ФСТЕК в плане крипты.
Для того, чтобы осуществлять подобную сертификацию, нужны квалифицированные специалисты.
Сертификацию осуществляют не сотрудники служб, а аккредитованные испытательные лаборатории.
Аккредитацию лабораторий и слежение за ними кто осуществляет?
Аккредитация и квалификация — разные слова.
Не надо наговаривать на ФСБ, что они не выносят проекты документов на обсуждение. Выносят. Сейчас вон — на regulation.gov.ru два документа в обсуждении.
Только предложения и замечания футболят в основном. А так — выносят-выносят.
Вон, законопроект по персданным уже на 44-ю редакцию идет… :)
«Чума на оба ваших дома» (с) Шекспир.

Есть супер идея: забить на оба, и делать дело, а не играться с бумажками. А тем, кому нравится играться с бумажками, почему бы не оставить эту возможность?
С удовольствием бы, но…

Статья 171. Незаконное предпринимательство
1. Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, — наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо арестом на срок до шести месяцев.

2. То же деяние:
б) сопряженное с извлечением дохода в особо крупном размере, — наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового.
Но ведь это легко исправить.
9,5 правил ведения безопасного IT-бизнеса в России. Там в конце написано.
Я был бы за, если бы не:
1. уже было поручение президента. Димон был послан…
2. как воздух не хватает четкого разделения что разрешено а что нет, ибо положение ПКЗ-2005 от иностранной крипты открещивается и она попадает в серую зону. если эта серая зона будет прояснена, то и половина вопросов отпадет сама собой.

ФСТЭК действительно более открыт чем ФСБ, но боюсь это всё несколько нереально. Сейчас сообществу предстоит отбивать новое положение по криптозащите перс данных, это важнее.

Sign up to leave a comment.

Articles