HTTPS (SSL) и ФСТЭК (ФСБ)
 

Привет всем.
Встал вопрос о приобретении сертификата для HTTPS-соединения. (Один сайт сайт попадает по К-2, другой под К-3)
Не смог найти информации сети о сертифицированных сертификатов.
Насколько я знаю - все УЦ находятся за рубежом и им плевать на наши ФЗ152 и т. п.
Так ли это?

DruOleg, наверное не совсем так - скорее всего в рамках нашего законодательства использование сертификатов зарубежных УЦ, не прошедших обязательную регистрацию в наших органах ФСТЭК и не получивших различные сертификаты и т.п. не будет считаться легитимным в рамках защиты информации.

Это не так.
В своевремя мы специально обращались в ФСБ за разъяснением и получили следующие ответы (все нижеследующее касается только гражданского применения, т.е. уровень данных не выше ДСП):
- ФСБ (а ФСТЭК не имеет отношение к криптоалгоритмам) никак не регламентирует алгоритмы используемые для идентификации/аутентификации ПОЛЬЗОВАТЕЛЕЙ.
Более того, в руководящих документах нет такого понятия как аутентификация/авторизация СЕРВЕРОВ, соответсвенно серверные сертификаты так же никак не регламентируются.

- Единственный случай когда наше законодательство регламентирует примененение сертификатов это Закон о цифровой подписи, но это юридическое применение, а не меры по защите информации.

Кстати, Закон о персональных данных и соответствующие приказы ФСТЭК никак не упоминают явные требования к усиленной аутентификации. Просто упоминается, что "могет быть".

Требования к АС класифицированной на К3 идентичны требованиям к Г1. В К2 чуть больше, но все равно ничего фатального.