tag:blogger.com,1999:blog-6761422180668784528.post4765634861280872862..comments2020-01-09T04:20:42.840-08:00Comments on Без опаски: Истории о сертификацииМихаил Новокрещеновhttp://www.blogger.com/profile/16903730639021891273noreply@blogger.comBlogger17125tag:blogger.com,1999:blog-6761422180668784528.post-4037713096676416192018-02-10T07:21:38.541-08:002018-02-10T07:21:38.541-08:00Сертификация в России<a href="http://www.rospromtest.ru/" rel="nofollow">Сертификация в России</a>273https://www.blogger.com/profile/10481666832113962178noreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-68003499393925399482012-10-14T06:47:21.172-07:002012-10-14T06:47:21.172-07:00Бог терпел и нам велел ))Бог терпел и нам велел ))Михаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-17117692232243756202012-10-14T06:40:07.711-07:002012-10-14T06:40:07.711-07:00Вот почитай интересный проект документа с вопросам...Вот почитай интересный проект документа с вопросами для ФСТЭК, думаю будет интересно<br />http://goo.gl/EJOp9Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-23895741669904351372012-10-14T06:24:06.033-07:002012-10-14T06:24:06.033-07:00Именно это и напрягаетИменно это и напрягаетAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-36190039956180198622012-10-14T06:07:45.492-07:002012-10-14T06:07:45.492-07:00Насчет датчика - в том-то и дело, что программа бы...Насчет датчика - в том-то и дело, что программа была реализована единым модулем как система генерации паролей (в ней использовался обычный встроенный программный псевдослучайный датчик) и в таком виде была подана на сертификацию. И вот все равно не дали сертифицировать.Михаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-43971378285019618382012-10-14T06:01:42.339-07:002012-10-14T06:01:42.339-07:00Вот ещё пример - в ФСБ требования по системам обна...Вот ещё пример - в ФСБ требования по системам обнаружения атак существуют уже, однако ФСТЭК успешно позволяло сертифицировать СОВ у себя на ТУ (до выхода требований к СОВ). Почему в данном случае они не отказывали?Михаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-25250103156590705142012-10-14T05:44:24.786-07:002012-10-14T05:44:24.786-07:00А кто говорит что должен? ФСТЭК не говорит... Если...А кто говорит что должен? ФСТЭК не говорит... Если разработчик хочет генератор псевдослучайных чисел (последовательностей) и хочет затем его сертифицировать - то это к ФСБ... видимо об этом речь. Однако, если взять например ФИКС (поделка ЦБИ) то там для подсчета КС ранее использовался алгоритм не гостовый а "прошедший широкую апробацию". В последних версиях уже используется в том числе гостовый...http://www.cbi-info.ru/groups/page-344.htm<br />при этом сертификат ФСТЭК только на НДВ-2 !<br />В формуляре заявлен ГОСТ по которому вроде бы как должна быть сертификация ФСБ. Такого сертификата я не наблюдаю. <br />Получается, что кому то можно, кому то нельзя ;)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-36691937127282135202012-10-14T05:11:42.777-07:002012-10-14T05:11:42.777-07:00Вот сразу с первого пункта у меня возникает вопрос...Вот сразу с первого пункта у меня возникает вопрос - почему датчик случайных числе я должен реализовывать в соответствии с требованиями ФСБ, если там они предъявляются для датчиков, используемых для генерации ключевой информации? У меня же датчик используется для других целей, значит положения этого документа на него не должны распространяться.<br />Михаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-21996574425864849092012-10-14T04:27:05.921-07:002012-10-14T04:27:05.921-07:00В части "regost.ru" - это их личное мнен...В части "regost.ru" - это их личное мнение и источник так себе...<br />Вот по пункту 2 копнем глубже.<br /><br />Итак есть некая поделка - "генератор паролей". Вероятно, думаю вы уточните, состоит из двух модулей:<br />1 - ПДСЧ (генератор случайных чисел по ГОСТ) = криптуха<br />2 - некая прикладная программа которая использует результаты ПДСЧ для формирования паролей, удобного вывода, может быть даже применения в системе и т.п.<br /><br />Так вот, если в составе изделия "генератор паролей" обе части - ФСТЭК не уполномочен проверять ПДСЧ и отсылает в ФСБ.<br /><br />Есть еще такой документ кроме 199... <br /><br />Положение<br />о сертификации средств защиты информации<br />Утверждено постановлением Правительства Российской Федерации от 26 июня 1995 г. № 608<br />(с изменениями и дополнениями от 23 апреля 1996 г. № 509; от 29 марта 1999 г. № 342; от 17 декабря 2004 г. № 808)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-3911218437660935952012-10-14T01:33:31.297-07:002012-10-14T01:33:31.297-07:00И вот кстати только-что случайно наткнулся - http:...И вот кстати только-что случайно наткнулся - http://regost.ru/sertifikat-sootvetstviya-fstek/<br /><br />К объектам, для которых оформляется сертификат соответствия ФСТЭК, относятся следующие:<br />...<br />- системы генерации паролей для доступа к информационным ресурсам;<br /><br />ПАРАДОКС!!! ))<br />Михаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-2791427693867639102012-10-14T01:28:08.726-07:002012-10-14T01:28:08.726-07:00Насчет п.2, мне все-таки непонятно каким образом п...Насчет п.2, мне все-таки непонятно каким образом пароли могут относиться к ключевой информации в криптографии? В этой связи вспомнился ещё 1 парадоксальный момент - сертифицировать генератор паролей во ФСТЭК не дали, а вот средство контроля целостности - пожалуйста, хотя вот уж здесь-то как раз по логике вещей вотчина ФСБ.Михаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-60348777415205294462012-10-14T01:22:27.333-07:002012-10-14T01:22:27.333-07:00Спасибо, если что - буду иметь ввиду..Спасибо, если что - буду иметь ввиду..Михаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-23895506749431551932012-10-13T11:29:10.894-07:002012-10-13T11:29:10.894-07:00По историям:
1 - Конечно нужно "прогонять&quo...По историям:<br />1 - Конечно нужно "прогонять" проект по нескольким ИЛ.<br />2 - Крипта - все верно ФСТЭК отправил в ФСБ.<br />3 - Это не бонус. Это стандартная процедура. см. http://goo.gl/5aQiC<br />На викисеке эта особенность прокомментирована.<br /><br />Если что - обращайтесь, это моя тема...Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-32946765789281877752012-08-29T02:18:25.470-07:002012-08-29T02:18:25.470-07:00Так уж получилось, что специфика заказчиков, с кот...Так уж получилось, что специфика заказчиков, с которыми мы работаем требует использования сертифицированных средств защиты. Понятно, что можно заложить генератор без сертификата и не объявлять его средством защиты, но документация тогда получается некрасивая. Была возможность заложить в бюджет работы сертификацию, мы решили это сделать. А в Минобороны сертифицированный генератор паролей вообще востребованная вещь.Михаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-18099262507010619532012-08-28T23:58:45.349-07:002012-08-28T23:58:45.349-07:00Михаил, а зачем сертифицировать генератор паролей?...Михаил, а зачем сертифицировать генератор паролей? Я честно не понимаю.Anonymoushttps://www.blogger.com/profile/10222158197459992752noreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-75911626141452173712012-08-28T05:02:26.736-07:002012-08-28T05:02:26.736-07:00Уговорил ))
Тариф на ТУ фиксированный + тариф на о...Уговорил ))<br />Тариф на ТУ фиксированный + тариф на отсутствие НДВ, он идет уже исходя из размера исходников. У нас цены получились 350 и 700 тыш рублей, сертифицировали партии. Причем цена для количества экземпляров до 200, насколько я помню, была неизменной. Так что можно не стесняться, только болванки успеть нарезать..Михаил Новокрещеновhttps://www.blogger.com/profile/16903730639021891273noreply@blogger.comtag:blogger.com,1999:blog-6761422180668784528.post-75646245883685320692012-08-28T04:36:21.751-07:002012-08-28T04:36:21.751-07:00вторая история понравилась.. и вывод абсолютно вер...вторая история понравилась.. и вывод абсолютно верный!<br /><br />т.к. названий продуктов все равно нет, то можно и раскрыть стоимость сертификации.. для самых любопытных =) Artem Ageevhttps://www.blogger.com/profile/11188931211885446895noreply@blogger.com