Задать вопрос
Профиль пользователя заблокирован сроком «навсегда» без указания причины
  • Как спрятаться сайту?

    @fdsc
    Ключевое слово - абузоустойчивый хостинг.
    Сервер всё равно найдут по IP, т.к. иначе не смогут к нему подключится.

    Можно использовать tor или i2p, но это без гарантий, а i2p ещё и тормоза страшные.
    Ответ написан
    Комментировать
  • Как подготовиться к проверке ФСТЭК по защите информации?

    @fdsc
    > Какие мероприятия необходимо в связи с этим провести?

    Если никаких мероприятий ещё не было сделано - то застрелится.
    Быстро там ничего не сделаешь.

    Дождитесь проверки, ФСТЭК составит акт о проверке с предписанием об устранении нарушений.

    1. Если ваша фирма лицензиат ФСТЭК, то делать вам ничего не надо, т.к. если вы не знаете, что делать, то этим занимаются другие специально обученные люди.
    2. Если ваша фирма не лицензиат ФСТЭК, но имеет соглашение о защите ИС с лицензиатом ФСТЭК, то делать тоже ничего не надо, только сообщить о факте проверки этим людям
    3. Если у вас нет ни лицензии, ни договора с лицензиатом - готовится к привлечению организации и должностных лиц к административной ответственности.
    Ответ написан
    Комментировать
  • Можно ли хранить зашифрованный дамп базы с персональными данными на незащищенном хранилище в интернете?

    @fdsc
    Верно написано, что можно, однако есть один нюанс. У вас должна быть лицензия ФСБ на соответствующие виды деятельности, иначе вы это делаете незаконно (либо договор с лицензиатом ФСБ на шифрование).

    Сами шифровать вы не имеете права даже сертифицированными средствами.
    Ответ написан
    Комментировать
  • Лицензирование при работе с ЭЦП

    @fdsc
    Кроме этого, вы подпадаете под пункты 7 и 8 этого поставноления, если сами производите информационную систему.
    7. Производство (тиражирование) шифровальных (криптографических) средств.
    8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.

    Поэтому если всё строго, то нужно получать лицензию. Обратите внимание, что не менее 2-х человек, имеющих опыт.

    Реально, мы, например, разрабатывали без лицензии. Если нигде не оформлять, что эта система криптографически защищена и ЭЦП ставится не для того, чтобы её использовать в суде, то ФСБ о вашей системе и вас не узнает и, соответственно, не привлечёт.
    Ответ написан
  • Лицензирование при работе с ЭЦП

    @fdsc
    Вообще-то, это большой вопрос, почему лицензия не нужна. Лицензия нужна на любую деятельность в сфере криптографии, в том числе на криптографическую защиту информации.
    Шифруя что-либо, в том числе сторонними средствами, вы подпадаете под соответствующий вид деятельности.

    ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
    ПОСТАНОВЛЕНИЕ
    от 16 апреля 2012 г. N 313

    base.consultant.ru/cons/cgi/online.cgi?req=doc;bas...

    3. Настоящее Положение не распространяется на деятельность с использованием:
    в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;
    г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;

    Как видно, пункт в) написан, как всегда в стиле "через забор ногу задерищенко". Таким образом, если речь идёт только об электронной подписи, то можно прочитать "Настоящее Положение не распространяется на деятельность с использованием товаров, имеющих электронную подпись"
    Аналогично, пункт г) довольно странно звучит. Т.е., по хорошему, видимо, не нужна, но что будет, если реально захотят привлечь и суд будет толковать эти пункты по своему. Ой....

    Если закрыть глаза на странную формулировку этих пунктов, тогда можно сказать, что, действительно, лицензия не нужна.
    Ответ написан
    Комментировать