Приказ ФСБ РФ № 795 от 27 декабря 2011 года

Question

[Евгений]

Здравствуйте.
Обрисую ситуацию: работаю в одной фирме разработчиком, основной заказчик — крупная гос. компания.
Для этой компании вот уже допиливаем последнии штрихи в софте, скоро будет внедрение. И тут мне тыкнули в этот приказ, мол, чтобы всё по уму было. Я этот приказ полистал, и ровным счётом ничего не понял. Сам софт пишем на .NET. Известно, что использование средств криптозащиты не сертифицированных ФСБ/ФАПСИ запрещено, если речь идет о работе с гостайной или конфиденциальной информацией в гос. организациях.

Собственно вопросы:
1) Криптографические провайдеры из System.Security.Cryptography сертефицированы ФСБ/ФАПСИ?
2) Что я должен осознать или сделать прочитав этот приказ? :)
3) Ребята, если есть опыт защиты информации/написания софта для гос. команий и т.д., поделитесь пожалуйста.

P.S. 2 и 3 вопросы не обязательно в рамках .NET
P.S.S. Собственно сам приказ

Answer 1

[Maxim Kuzovlev]

Боюсь что Вам придется смотреть в сторону продуктов от КриптоПро

Comments

[Евгений]

Спасибо за ответ! Но хотелось бы не таким радикальным методом решить проблему :) Сетевое соединение идет через SSL, нельзя ли как0нибудь обойтись подписанными сертификатами?

[Ivan Komarov]

cryptocom.ru/products/openvpn.html

Answer 2

[Maximus43]

Содержимое приказа похоже на требования к EV SSL сертификату, за исключением пунктов 18, 29 и 30. Там описаны очень специфичные для PKI расширения, с заполнением которых могут быть сложности.
По п.2. Надо сгенерить запрос на сертификат с учетом требований приказа. Сама генерация запроса (PKCS10) возможна в OpenSSL при правильном конфиге. А подписывать сертификат придется у авторизованных ЦС. После этого сертификат можно использовать о назначению.

Answer 3

[Chii]

Я почему-то категорически уверена, что РАСПО с этим приказом сталкивалось и уже начало думать, что же с ним делать. Советую обратиться к ним за советом, дядьки там дружелюбные, наверняка не откажут в совете.

Answer 4

[Андрей]

В настоящее время то, где применять и где не применять сертифицированную криптографию, решает ПП-957. Ему уже 5 лет. В частности:

…
д) реализация криптографических алгоритмов, рекомендованных лицензирующим органом, в разрабатываемых шифровальных (криптографических) средствах, применяемых в информационно-телекоммуникационных системах и сетях критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг с использованием шифровальных (криптографических) средств для государственных и муниципальных нужд;
…

Comments

[Роман]

ПП-957 уже не действует. Взамен — ПП-313

Answer 5

[Андрей]

Приказ ФСБ готовит почву для введения квалифицированной электронной подписи. До нее еще долго — не менее года. Как минимум еще даже нет требований к аккредитованным удостоверяющим центрам, не то что их самих. Так что то, на что Вы ссылаетесь — это просто планомерная проработка нового 63-ФЗ в деталях — работа на будущее.

Answer 6

[Андрей]

P.P.S. Если SSL используется только как транспорт, т.е. обе стороны разрабатываются Вами, то есть бесплатный сертифицированный криптопровайдер VIPNet CSP. Но «обвязку» придется делать самим в этом случае.

Answer 7

[Роман]

Если тема еще актуальна, то на данный момент произошла куча изменений, связанных с 63-ФЗ в общем и с 795 приказом в частности.

Очень много ответов на очень много вопросов можно найти на форуме ООО КриптоПро.

Если лень — спрашивайте. На что смогу — отвечу