[xoxmodav]

DruOleg, наверное не совсем так - скорее всего в рамках нашего законодательства использование сертификатов зарубежных УЦ, не прошедших обязательную регистрацию в наших органах ФСТЭК и не получивших различные сертификаты и т.п. не будет считаться легитимным в рамках защиты информации.

[kim-aa]

Цитата xoxmodav:

DruOleg, наверное не совсем так - скорее всего в рамках нашего законодательства использование сертификатов зарубежных УЦ, не прошедших обязательную регистрацию в наших органах ФСТЭК и не получивших различные сертификаты и т.п. не будет считаться легитимным в рамках защиты информации. »

Это не так.
В своевремя мы специально обращались в ФСБ за разъяснением и получили следующие ответы (все нижеследующее касается только гражданского применения, т.е. уровень данных не выше ДСП):
- ФСБ (а ФСТЭК не имеет отношение к криптоалгоритмам) никак не регламентирует алгоритмы используемые для идентификации/аутентификации ПОЛЬЗОВАТЕЛЕЙ.
Более того, в руководящих документах нет такого понятия как аутентификация/авторизация СЕРВЕРОВ, соответсвенно серверные сертификаты так же никак не регламентируются.

- Единственный случай когда наше законодательство регламентирует примененение сертификатов это Закон о цифровой подписи, но это юридическое применение, а не меры по защите информации.

Кстати, Закон о персональных данных и соответствующие приказы ФСТЭК никак не упоминают явные требования к усиленной аутентификации. Просто упоминается, что "могет быть".

Требования к АС класифицированной на К3 идентичны требованиям к Г1. В К2 чуть больше, но все равно ничего фатального.