Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   HTTPS (SSL) и ФСТЭК (ФСБ) (http://forum.oszone.net/showthread.php?t=258886)

DruOleg 18-04-2013 10:50 2134953

HTTPS (SSL) и ФСТЭК (ФСБ)
 
Привет всем.
Встал вопрос о приобретении сертификата для HTTPS-соединения. (Один сайт сайт попадает по К-2, другой под К-3)
Не смог найти информации сети о сертифицированных сертификатов.
Насколько я знаю - все УЦ находятся за рубежом и им плевать на наши ФЗ152 и т. п.
Так ли это?

xoxmodav 18-04-2013 20:17 2135338

DruOleg, наверное не совсем так - скорее всего в рамках нашего законодательства использование сертификатов зарубежных УЦ, не прошедших обязательную регистрацию в наших органах ФСТЭК и не получивших различные сертификаты и т.п. не будет считаться легитимным в рамках защиты информации.

kim-aa 20-04-2013 18:48 2136505

Цитата:

Цитата xoxmodav
DruOleg, наверное не совсем так - скорее всего в рамках нашего законодательства использование сертификатов зарубежных УЦ, не прошедших обязательную регистрацию в наших органах ФСТЭК и не получивших различные сертификаты и т.п. не будет считаться легитимным в рамках защиты информации. »

Это не так.
В своевремя мы специально обращались в ФСБ за разъяснением и получили следующие ответы (все нижеследующее касается только гражданского применения, т.е. уровень данных не выше ДСП):
- ФСБ (а ФСТЭК не имеет отношение к криптоалгоритмам) никак не регламентирует алгоритмы используемые для идентификации/аутентификации ПОЛЬЗОВАТЕЛЕЙ.
Более того, в руководящих документах нет такого понятия как аутентификация/авторизация СЕРВЕРОВ, соответсвенно серверные сертификаты так же никак не регламентируются.

- Единственный случай когда наше законодательство регламентирует примененение сертификатов это Закон о цифровой подписи, но это юридическое применение, а не меры по защите информации.

Кстати, Закон о персональных данных и соответствующие приказы ФСТЭК никак не упоминают явные требования к усиленной аутентификации. Просто упоминается, что "могет быть".

Требования к АС класифицированной на К3 идентичны требованиям к Г1. В К2 чуть больше, но все равно ничего фатального.


Время: 21:18.

Время: 21:18.
© OSzone.net 2001-