Jump to content
OlegAndr

ИСПДн (ФЗ №152 «О персональных данных»)

Recommended Posts

Поскольку оно использует шифрование, то на ПК где оно установлено нужно устанавливать средство антивирусной

защиты имеющее сертификат ФСБ. АВС Windows Workstation MP4 имеет такой мертификат.

Партнёру через которого приобретался этот продукт был задан вопрос: как рассматривать

требования п. 1.5 формуляра - условия действия сертификата?

И был получен ответ от ЛК:

«Все делать в соответствии с документацией к продукту.»

Т.е. имеется ввиду что настройки регламенты и т.п. должны быть все согласованы, и они уже согласованы централизованно со стороны ЛК.

 

Поскольку оно использует шифрование, то на ПК где оно установлено нужно устанавливать средство антивирусной

защиты имеющее сертификат ФСБ.

- это где такое требование?

 

Наша документация показывает вам какие настройки МОЖНО делать в продукте. Какие НУЖНО делать - это решаем не мы.

Конфиденциальная инфа я так понимаю под защиту ФСБ не попадает.

 

 

Share this post


Link to post
Беда в том, что защищаем персональные данные по 152 ФЗ, к гос. тайне ни какого отношения не имеем и соответственно куратора у нас нет.

Требование использовать сертифицированный в ФСБ антивирус вытекает из правил эксплуатации СКЗИ Криптопро, поэтому все требования, описанные в вашем Формуляре нам надо бы соблюдать. Можно ли у вас как-то получить ТУ на используемое нами Антивирусное средство?

Как и в предыдущем случае крипта тянет за собой требования ФСБ?

В любом случае гостайны у вас нет, куратора нет, => можете сами определять уровень защиты.

Share this post


Link to post
Уже скоро июль. Как там идёт сертификация?

 

KSC, которы управляет антивирусами на компьютерах, для которых они (антивирусы) требуются сертифицированные, тоже нужен сертифицированный?

Завершается.

KSC не совсем СЗИ, хотя сертификаты на него тоже выдаются. К сожалению его сертификация затягивается, к июлю можем не успеть.

Share this post


Link to post
- это где такое требование?

 

Наша документация показывает вам какие настройки МОЖНО делать в продукте. Какие НУЖНО делать - это решаем не мы.

Конфиденциальная инфа я так понимаю под защиту ФСБ не попадает.

 

Ну например, очень популярное Крипто-Про CSP

ФОРМУЛЯР

ЖТЯИ.00050-02 30 01

Раздел 2, пункт 4

СКЗИ ЖТЯИ. 00050-02 должно использоваться со средствами антивирусной защиты, сертифицированными ФСБ России. Класс антивирусных средств защиты определяется условиями эксплуатации СКЗИ в автоматизированных системах.

 

А насчёт попадает/не попадает это всё относительно. Всё что связано с использованием криптографии, должно подчиняться требованиям ФСБ,

поэтому и задаём Вам вопросы.

Share this post


Link to post

Как вы правильно заметили это требования ФСБ и приписка в формуляре тоже требование ФСБ, как и в формуляре у КриптоПро, как я думаю. По применению требований ФСБ надо спрашивать ФСБ.

Share this post


Link to post

Спасибо за информацию, Ваша позиция ясна. А что на счет ТУ, его можно получить?

Share this post


Link to post
Как и в предыдущем случае крипта тянет за собой требования ФСБ?

В любом случае гостайны у вас нет, куратора нет, => можете сами определять уровень защиты.

 

Да, тянет, поскольку имеет сертификат фсб. Мы у себя уже и так определились с необходимостью использовать сертифицированный АВС, вопрос возник применительно к конкретному продукту.

Share this post


Link to post

Вообще-то от нас последнее время требует чтобы в формуляр включались все вещи из ТУ которые потребные заказчику, поэтому формуляры невероятно разрослись.

Теперь туда в том числе входят функциональные возможности, требования по эксплуатации, контрольные суммы установленных файлов.

Share this post


Link to post

Олег, я, к сожалению, не знаю, что от вас конкретно требуют включать в Формуляр. Возвращаюсь к своему вопросу : Мы можем получить ТУ или закрытая информация?

Share this post


Link to post

Мы можем предоставить выписку из ТУ. Какую информацию вы хотите там получить?

Share this post


Link to post

Интересует следующая информация, если она содержится в ТУ:

Технические требования

Требования по безопасности

Указания по эксплуатации

Указания по обновлению баз данных компьютерных вирусов

Требования к документации на изделие и порядок действий при обнаружении вирусов (если это обозначено в ТУ)

И, желательно, скан титульной страницы ТУ.

 

 

Share this post


Link to post

Технические требования изложены в документации, оттуда попадают в ТУ.

Указания по эксплуатации тоже оттуда, но добавляться пункт, что пользователь не имеет права обновлять бинарные модули продукта через автобновление.

Остальных пунктов в ТУ нет.

В ТУ я описываю функциональные возможности продукта. Надо кстати заметить что не все ФВ попадают в ТУ.

Ту делается в основном для сертфикации ФСТЭК, а не ФСБ. Требований ФСБ там нет.

Более того, для следующих версий продуктов ТУ вообще не будет. Будет Задание по безопасности.

Share this post


Link to post

Примеры документов отправил в личку. В принципе выписки из ТУ можно будет опубликовать на сайте.

Share this post


Link to post

Получен сертификат на ФСТЭК на KES8.

 

К сожалению в процессе сертификации регулятором было решено что при защите данных, подлежащими охране (конфиденциальная информация, персональные данные, секретная информация) использование облачных сервисов запрещено, что нашло отражение в сертификате.

На рабочих станциях не обрабатывающих закрытую информацию использование KSN допустимо.

 

Сертифицированная версия KES8 будет доступна к заказу после появления сертифицированной версии Security Center, работы над ним еще продолжаются.

post-206082-1343915755_thumb.png

Share this post


Link to post

"Отдельная версия" -это слишком большой цикл тестирования. В следующих версиях вернемся к этому вопросу.

Вообще информация передаваемая в KSN этой версией даже при включении ну никак не попадает в раздел конфиденциальных - даже имя файла не передается.

Share this post


Link to post
"Отдельная версия" -это слишком большой цикл тестирования. В следующих версиях вернемся к этому вопросу.

Вообще информация передаваемая в KSN этой версией даже при включении ну никак не попадает в раздел конфиденциальных - даже имя файла не передается.

Сложно судить о том, что именно передаётся в ЛК и в каком количестве, ведь это контролируют и определяют только программисты/разработчики самой ЛК и кто знает в какой момент "концепция изменится". В персональных продуктах, к примеру, передаётся множество всякой информации в KSN, в том числе и имена файлов.

Share this post


Link to post

Да, в разных продуктах передаются разные наборы информации.

Давайте так спрошу: как именно я должен продемонстрировать что именно передаётся чтобы не осталось вопросов?

Стороннее исследование?

Как часть процесса сертификации (опять же есть вероятность что вся KSN будет отключена для сертифицированной версии).

Сниф трафика?

 

Вопрос не риторический.

Share this post


Link to post

Добрый день!

 

Используем KS 8.0 Exchange Servers, версия 8.0.5614.0 сертификат соответствия ФСТЭК №2567 до 9 февраля 2015г.

Возникли проблемы, связанные с большим объемом трафика, в результате общения с техподдержкой нам порекомендовали обновить до версии 8.2.124, также имеющую сертификат ФСТЭК. Сказали, что мы используем снятую с поддержки версию.

Подскажите, пожалуйста, действительно ли версия 8.0.5614.0 снята с поддержки? Распространяется ли действие сертификата №2567 на версию 8.2.124 и как правильно перейти на эту версию с сохранением сертификата ФСТЭК?

Share this post


Link to post
Да, в разных продуктах передаются разные наборы информации.

Давайте так спрошу: как именно я должен продемонстрировать что именно передаётся чтобы не осталось вопросов?

Стороннее исследование?

Как часть процесса сертификации (опять же есть вероятность что вся KSN будет отключена для сертифицированной версии).

Сниф трафика?

 

Вопрос не риторический.

Стороннее исследование было бы наилучшим вариантом (однако сторонняя организация должна быть независимой и авторитетной). Хотя скорее всего данный вопрос уже неактуален так как сертификат получила версия только с полностью отключенным KSN.

Share this post


Link to post
Стороннее исследование было бы наилучшим вариантом (однако сторонняя организация должна быть независимой и авторитетной). Хотя скорее всего данный вопрос уже неактуален так как сертификат получила версия только с полностью отключенным KSN.

Будут и следующие версии. В настоящий момент основной причиной отключения были алгоритмы использующиеся в системе KSN а не передаваемые данные.

 

Share this post


Link to post
Будут и следующие версии. В настоящий момент основной причиной отключения были алгоритмы использующиеся в системе KSN а не передаваемые данные.

Ну да, а пока филиалах (где нет usergate) переустанавливаемся на ssep, при действующих ключах каспера.

Share this post


Link to post

А что именно подвигает сменить? Собственно ни у одного продукта сертифицированных облаков пока нет, насколько мы знаем.

Share this post


Link to post

Вопрос по Kaspersky Endpoint 8:

 

Приобретен Kaspersky Стартовый Certified Media Pack + Kaspersky Endpoint Security для бизнеса - Стартовый.

В формуляре Kaspersky Endpoint 8 для Windows (из Kaspersky Стартовый Certified Media Pack) указано:

1.6 Сертификаты на изделие действительны при выполнении следующих условий:

б) Для сертификатов соответствия ФСТЭК России - если программа эксплуатируется с отключенным обновлением программных модулей."

 

При установке с дистрибутива Kaspersky Стартовый Certified Media Pack и указании файла лицензии возникает ошибка "Файл ключа не подходит для данной программы. Нельзя активировать Kaspersky Endpoint Security 8 for Windows с помощью файла ключа для другой программы".

 

Соответственно необходимо обновлять модули программы, но их нельзя обновлять, как указанно в формуляре.

Как же теперь использовать Сертифицированный дистрибутив и лицензии?

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.