23 апреля, понедельник 14:42
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

АРМ КБР

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • saches, это не методические рекомендации, это тянет максимум на поясниловку какую-то (часть из которой была разослана по банкам inf_mci_17).

    Зашибись у них мозги работают "все кредитные организации ..(ещё дохрена лиц).. должны будут провести работы по встраиванию СКЗИ в свои АБС..."
    они нам работу придумали. слов нет.

    Вот СВИФТ всем продаёт коробочку, для использования которой не нужно особых знаний, а тут нате вам, встраивайте. Потом будут ходить и пенять нам, что не так встроили, аккорд не поставили, решеток на окнах нет...

    Комментарий


    • Сообщение от ost Посмотреть сообщение
      Потом будут ходить и пенять нам, что не так встроили, аккорд не поставили, решеток на окнах нет...
      В общем то и правильно бы сделали.
      В плане ИБ последнее время сильно уж расслабились все

      Комментарий


      • Сообщение от КрасКрипт Посмотреть сообщение
        В общем то и правильно бы сделали. В плане ИБ последнее время сильно уж расслабились все
        Это такой "тонкий" троллинг? КМК, у Вас позиция для этого не самая выгодная.
        Вы на свою лицензию ФСБ на криптографию, что на сайте висит, давно смотрели? почему-то мне кажется, что она немного "кривовата"....
        Т.к. Ваша компания занимается поставками ИС, защищенных криптографией, в лицензии должен присутствовать 8-ой вид деятельности(по 313-П) - Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.
        Т.е. 2-ой пункт - Разработка защищенных ИС....., как правило, всегда идет в паре с п.8 - Производство (и тиражирование)...

        А если это действительно так, то это чревато для Вашего ген дира 171 ст УК РФ -"Незаконное предпринимательство...." и,
        к сожалению, для банков использующих Вашу продукцию это то же может выйти боком.

        Ну и, естественно, вопрос про контроль корректности встраивания криптографии (по ПКЗ2005). Есть чем подтвердить?

        КМК, для наведения порядка в ИБ, начинать надо бы с вендоров.

        ЗЫ: Если не прав, готов извинится, т.к. понимаю, что вопросы достаточно серьезные.
        Последний раз редактировалось saches; 17.02.2017, 12:25.

        Комментарий


        • Сообщение от КрасКрипт Посмотреть сообщение
          В плане ИБ последнее время сильно уж расслабились все
          Это странное (на мой взгляд) утверждение. Особенно про "расслабились все".
          Читаю коллег и я бы не сказал, что расслабились, тем более "все".
          Сам тоже пока тружусь, некогда расслабляться...

          Комментарий


          • Сообщение от saches Посмотреть сообщение
            Это такой "тонкий" троллинг? КМК, у Вас позиция для этого не самая выгодная.
            Вы на свою лицензию ФСБ на криптографию давно смотрели? почему-то мне кажется, что она немного "кривовата"....
            И чем наша лицензия Вам так не понравилась? А то может уже надо срочно звонить в ФСБ и говорить что лицензии кривые выдают

            Комментарий


            • КрасКрипт
              Что не нравится, уже расписал. Лично мне не принципиально, на сколько правильно оформлена Ваша лицензия и, естественно, звонить я никуда не буду и не планировалось изначально.
              Прежде всего, хотел бы прояснить для себя, достаточно ли разработчику "систем, защищенных криптографией" не указывать в своей лицензии 8-ой пункт деятельности (в т.ч.).
              Да и вопрос вроде как обязательного контроля корректности встраивания имеется. Вроде бы такое требование у ФСБ есть, но практически никто с этим не заморачивается.
              Прошу понять правильно, т.к. все это стало особенно актуально в связи с новыми пожеланиями ЦБ по встраиванию криптографии в АБС.
              Щас же гонят- "давайте встраивайте", а потом начнут проверять бумажки насколько корректно все это было сделано.
              Известны же прецеденты, когда против пред правления в некоторых банках были возбуждены уголовные дела из-за отсутствия лицензии на криптографию, а ее неправильное оформление приравнивается к её отсутствию.

              Заранее прошу извинить, если был не прав.

              ЗЫ: и я бы еще добавил п. 17. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных систем.
              Последний раз редактировалось saches; 17.02.2017, 12:26.

              Комментарий


              • Касаемо заключения о корректности встраивания:
                Методические рекомендации
                по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
                (утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144)
                .........
                5 Требования к контролю встраивания криптосредства

                5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).
                Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.
                5.2. Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России.
                Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России.
                Получение заключения о корректности встраивания по срокам - порядка года и по деньгам около мульта рубликов. Сделать-то можно, но как Вы понимаете эти расходы так или иначе на клиентов будут переложены. Плюс после получения заключения доработка практически невозможна (иначе процесс получения заключения запустится по-новой)

                А касаемо пунктов в лицензии - наших пунктов вполне достаточно.

                Комментарий


                • Сообщение от КрасКрипт Посмотреть сообщение
                  5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).
                  Добавлю к этому "для собственных нужд" и я должен идти вперёд... иначе не успею к срокам.
                  Потом разберёмся !

                  Комментарий


                  • Сообщение от КрасКрипт Посмотреть сообщение
                    .....А касаемо пунктов в лицензии - наших пунктов вполне достаточно.
                    Ну и хорошо, когда все хорошо...

                    Сообщение от КрасКрипт Посмотреть сообщение
                    Методические рекомендации........
                    КМК, Вы не совсем туда смотрите, когда хотите убедится в необходимости проведения контроля корректности встраивания.
                    Смотреть прежде всего нужно в ПКЗ2005 (он же Приказ ФСБ №66) и формуляр той криптографии, которую вы планируете использовать. В формуляре на СКЗИ обычно все расписано, куда и в каких случаях обращаться.
                    Была еще и такая разъяснялка от ФСБ - http://www.fsb.ru/fsb/science/single.htm%21id%3D10437494%40fsbResearchart.html

                    А про сроки, стоимость и отнесение расходов все так, тут уж не поспоришь.

                    Кстати, спасибо, что напомнили про обработку персональных данных. По СТО БР ИББС, если криптография используется в ИСПДн (а любая АБС туда легко попадает) она должна быть не ниже КС2. Т.е. здравствуй "Аккорд"/"Соболь" и т.д. Или замечания ЦБ при проверках (если у проверяющих руки дойдут) и предписание устранить.
                    Хотя надо сказать, что похоже, что мы живем в единственной стране выпускающей и регламентирующей установку таких средств доверенной загрузки (СДЗ). Во всяком случае, про заграничных конкурентов для отечественных производителей СДЗ никогда не слышал.
                    Последний раз редактировалось saches; 17.02.2017, 15:06.

                    Комментарий


                    • А почему все же не вариант - "выгрузили из АБС на отдельную машину-поставили КА/ЗК-вернули в АБС-сверили-отправили в АРМ КБР"? В этом варианте и число допущенных к СКЗИ не растет лавинообразно, и техника попадающая под защиту малочисленна и методы ее защиты давно известны!
                      Дмитрий З.

                      Комментарий


                      • Zahar
                        Да вроде бы вариант, и может даже не плохой. Но мы пока обсуждаем этап "-поставили ЗК/КА".

                        Комментарий


                        • Сообщение от КрасКрипт Посмотреть сообщение
                          .............Плюс после получения заключения доработка практически невозможна (иначе процесс получения заключения запустится по-новой).
                          А вот по поводу этого, пожалую не соглашусь.
                          Как Вы думаете с этим справляются производители сертифицированного ПО, включая, операционки, антивирусы и прочее? Это же всё обновляется. Понятно, что это гимор, но было бы желание (и деньги конечно)....

                          Комментарий


                          • Насколько я понял, в новом АРМ КБР останется шифрование. Однако, по альбому УФЭБС шифрование применяется при формировании конверта КА, а КА вроде как должен теперь формироваться в АБС. Непонятно.

                            Комментарий


                            • Сообщение от idelta Посмотреть сообщение
                              Добавлю к этому "для собственных нужд" и я должен идти вперёд... иначе не успею к срокам.
                              Потом разберёмся !
                              немного не так. "для собственных нужд" в принципе не нужна лицензия, а для КС1 и КС2 не обязательна сертификация (если не предусмотрено ТЗ)

                              Сообщение от saches Посмотреть сообщение
                              Кстати, спасибо, что напомнили про обработку персональных данных. По СТО БР ИББС, если криптография используется в ИСПДн (а любая АБС туда легко попадает) она должна быть не ниже КС2. Т.е. здравствуй "Аккорд"/"Соболь" и т.д. Или замечания ЦБ при проверках (если у проверяющих руки дойдут) и предписание устранить.
                              Я не знаю как в Вашем регионе, а у нас это требование присутствует изначально.
                              И кстати замечу дополнительно, что серийный номер Аккорда/Соболя вписывается в формуляр на Сигнатуру.

                              Комментарий


                              • Сообщение от КрасКрипт Посмотреть сообщение
                                ...... а для КС1 и КС2 не обязательна сертификация (если не предусмотрено ТЗ)
                                Как-то это все сомнительно, не уточните, о чем это Вы? Не обязательна сертификация чего именно?

                                Сообщение от КрасКрипт Посмотреть сообщение
                                Я не знаю как в Вашем регионе, а у нас это требование присутствует изначально.
                                И кстати замечу дополнительно, что серийный номер Аккорда/Соболя вписывается в формуляр на Сигнатуру.
                                Это Вы мне про АРМ КБР рассказываете, а мой месседж был про АБС в т.ч.
                                И в формуляр, вообще, много чего вписывать положено, просто обычно, все на это забивают...
                                Последний раз редактировалось saches; 20.02.2017, 10:42.

                                Комментарий


                                • немного неточно высказался.
                                  Я имел в виду Заключение о корректности встраивания

                                  Комментарий


                                  • Сообщение от КрасКрипт Посмотреть сообщение
                                    немного неточно высказался. Я имел в виду Заключение о корректности встраивания
                                    Вынужден Вас разочаровать. Давайте посмотрим на действующий сертификат ФСБ на Сигнатуру - http://www.x509.ru/i/cert2681.jpg.
                                    В самом низу, читаем (немного сокращенный вариант) - "Безопасность информации обеспечивается при эксплуатации в соответствии с формуляром ВАМБ.00106-01 30 01."
                                    Далее, идем на сайт ЦБ, скачиваем документацию на Сигнатуру, открываем этот самый формуляр
                                    ВАМБ.00106-01 30 01, и в п.2.14.6 читаем:
                                    "
                                    б) .......... при встраивании АПК «Сигнатура-клиент» в прикладные системы должна быть проведена проверка выполнения пунктов 8 и 9 раздела II «Требований к средствам электронной подписи» по ТЗ, согласованному с 8 Центром ФСБ России."

                                    Я, конечно, понимаю, что это Ваша работа, и что строгость законов у нас компенсируется их несоблюдением, но это же не повод говорить о том, что таких требований нет.


                                    И аналогичные требования присутствуют в формулярах на любые сертифицированные криптобиблиотеки. Так что со встраиванием сертифицированной крипты, все достаточно однозначно.

                                    Комментарий


                                    • Сообщение от saches Посмотреть сообщение
                                      формуляр ВАМБ.00106-01 30 01, и в п.2.14.6 читаем: "б) .......... при встраивании АПК «Сигнатура-клиент» в прикладные системы должна быть проведена
                                      АПК? Аппаратно-программный комплекс?

                                      Комментарий


                                      • Сообщение от S-H Посмотреть сообщение
                                        АПК? Аппаратно-программный комплекс?
                                        Название, честно, не я придумывал. Но если есть какие-то сомнения по поводу того, о том ли СКЗИ идет речь, предлагаю заглянуть в проект методических указаний от ЦБ (давал ссылку ранее) по переносу ЗК/КА в АБС, где собственно сказано -
                                        "При выполнении работ по встраиванию СКАД "Сигнатура" в прикладное программное обеспечение АСК необходимо руководствоваться положениями, изложенными в документации на АПК "Сигнатура-клиент" версия 5....."

                                        Хотя, в принципе, любая реализация криптографии с КС2 и выше должна включать аппаратный датчик случайных чисел (ДСЧ), хотя бы в виде токена. Так что, некая аппаратная часть все же должна присутствовать.
                                        Последний раз редактировалось saches; 20.02.2017, 15:27.

                                        Комментарий


                                        • saches,
                                          на вашу нормативку отвечу другой нормативкой:
                                          Криптографическая защита файлов с ЭС должна обеспечиваться на основе использования СКЗИ, имеющих сертификат или временное разрешение ФСБ, либо временное разрешение Банка России.
                                          Взято из разделов "2.2.3 Профиль параметров защиты ЭС (пакета ЭС) с помощью ЗК" и "3.2.3 Профиль параметров защиты ЭС (пакета ЭС) с помощью КА" документа
                                          "Унифицированные форматы электронных банковских сообщений
                                          ЗАЩИТА ЭЛЕКТРОННЫХ СООБЩЕНИЙ
                                          (Пакетов ЭС)
                                          Версия 2015.4.0"
                                          т.е. из действующих форматов УФЭБС

                                          Комментарий


                                          • Сообщение от Crocky Посмотреть сообщение
                                            Однако, по альбому УФЭБС шифрование применяется при формировании конверта КА, а КА вроде как должен теперь формироваться в АБС. Непонятно.
                                            Внимательно посмотрите, процессы сжатия и шифрования опциональные их можно осуществлять, как при простановке КА и упаковки в конверт, так и после.

                                            Комментарий


                                            • S-H
                                              Читал,
                                              но описание форматов ЭС, больше ни на что, кроме как на описание форматов не тянет, т.е. описание УФЭБС это не нормативка.
                                              Кроме того, смотрим приложение с требованиями в 382-П:
                                              п. 58. Работы по обеспечению защиты информации с помощью СКЗИ проводятся в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи", Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 и технической документацией на СКЗИ

                                              п.59.
                                              В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа.

                                              Последний раз редактировалось saches; 20.02.2017, 16:20.

                                              Комментарий


                                              • Сообщение от saches Посмотреть сообщение
                                                указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа
                                                Например, временное разрешение Банка России...

                                                Чувствую, вся эта круговерть закончится пшиком - ЦБ не сможет обойти ФСБ, а банки не смогут работать по правилам ФСБ.
                                                И все вернется к прежней схеме.

                                                Комментарий


                                                • А скорее всего будет как с ДБО, вроде какая-то криптография там есть, а на сколько она там правильно работает, никто не заморачивается.....
                                                  Во всяком случае пока....

                                                  Комментарий


                                                  • Сообщение от saches Посмотреть сообщение
                                                    S-H
                                                    Читал,
                                                    но описание форматов ЭС, больше ни на что, кроме как на описание форматов не тянет, т.е. описание УФЭБС это не нормативка.
                                                    Альбом УФЭБС - это нормативный документ. Есть указание 2570-У, которым установлено прямо в самом первом пункте, что
                                                    1. Альбом УФЭБС представляет собой перечень и форматы электронных сообщений, а также описание структуры и реквизитов данных сообщений, порядка их формирования, требований по защите электронных сообщений, кодов структурного и логического контроля при осуществлении Банком России обмена электронными сообщениями с кредитными организациями (филиалами) и другими клиентами Банка России
                                                    и далее по тексту.
                                                    Если документ устанавливает порядок чего-то и требования к чему-то, и подлежит обязательному применению в определенных случаях, он является нормативным.
                                                    Обязательность использования альбома УФЭБС установлена Указанием Банка России, поэтому в иерархии нормативных актов его требования находятся на уровне актов федеральных органов власти. Это ниже, чем федеральные законы, указы президента, постановления правительства, но выше, чем любой региональный уровень или договор.

                                                    Коллизию в требованиях УФЭБС (2570-У) с требованиями пункта 2.9.1 382-П можно разрешить следующим образом:
                                                    Оба документа имеют один уровень в иерархии НПА (ст. 7 ФЗ О Банке России не устанавливает приоритетов между положениями, указаниями и инструкциями), т.е. ни один из них не перекрывает другой по старшинству. В этом случае применяется правило "частный НПА отменяет общий", т.е. один нормативный акт, регулирующий отношения в какой-то области, в рамках данной области приоритетнее такого же по уровню акта, регулирующего более широкую область, включающую область регулирования первого акта. 382-П регулирует платежные системы в терминах 161-ФЗ. 2570-У регулирует отношения в рамках платежной системы Банка России, входящей в понятие платежной системы по 161-ФЗ (384-П на это явно указывает). Поэтому 2570-У - частный акт по отношению к общему 382-П. И в рамках обмена платежками с ЦБ требования УФЭБС (применяемому на основании 2570-У) к СКЗИ имеют приоритет над требованиями к СКЗИ из 382-П.

                                                    Кроме того, надзор за соблюдением 382-П осуществляется Банком России. Ну не будут они клевать за отсутствие сертификата ФСБ, если сами дали временное разрешение на СКЗИ.

                                                    А вот методические рекомендации нормативным документом не являются до тех пор, пока не выйдет Положение, Указание или Инструкция Банка России, в которой будет написано, что КО обязаны действовать в соответствии с данными методическими рекомендациями.

                                                    Опять таки, пока нет НПА, согласно которым СКЗИ должно быть встроено именно в АБС, издеваться над АБС необходимости нет. Достаточно принять к сведению, что АРМ КБР больше брать на себя функции по формированию кодов и подписей не будет, и обеспечить их наличие в данных, подаваемых уже на вход в АРМ КБР.
                                                    Если обмен файловый, достаточно промежуточных средств со встроенными в них СКЗИ - даже такое ленивое решение ничего не нарушит, если сейчас все работает. Всего лишь еще одно звено в обмене.
                                                    Если кто-то реализовал интеграцию напрямую через БД, такие затейники могут и озаботиться встраиванием, но если лениво, АБС может перед подготовкой документов обращаться к отдельной достаточно защищенной системе, которая сформирует нужные ЗК/КА по каноническому виду платежей, и сохранить их в БД для последующей передачи в АРМ КБР. Только там лотерея может быть с приведением платежа к каноническому виду при выгрузке в подписалку и при выгрузке в АРМ.
                                                    Да и встраивание - понятие условное.

                                                    Комментарий


                                                    • Сообщение от Полковник Посмотреть сообщение
                                                      ......Коллизию в требованиях УФЭБС (2570-У) с требованиями пункта 2.9.1 382-П можно разрешить следующим образом:..........
                                                      Не соглашусь. Вот 2570-У, это некий нормативный документ - т.к. это целое Указание ЦБ РФ от 24.01.2011. А альбом УФЭБС, это даже не приложение к Указанию, а просто отдельный альбом форматов, который даже Консультант не стал включать в свою справочную базу нормативных документов.

                                                      Да и коллизии никакой нет, т.к. скорее всего, фраза про временные разрешения на СКЗИ была добавлена на тот случай, если Валидата не успеет в очередной раз обновить сертификат на Сигнатуру. А так, как сертификат действует до 2018 г, использование каких либо иных СКЗИ не подразумевается, хотя все меняется....

                                                      Сообщение от Полковник Посмотреть сообщение
                                                      ......Да и встраивание - понятие условное.
                                                      Конечно, все это можно считать условностью, до того момента ,как возникнет вопрос от ФСБ на тему исполнения правил эксплуатации СКЗИ.
                                                      Судя по слухам, пока только у госкомпаний интересуются и можно надеется, что пронесет.....
                                                      Последний раз редактировалось saches; 21.02.2017, 11:51.

                                                      Комментарий


                                                      • Сообщение от saches Посмотреть сообщение

                                                        Не соглашусь. Вот 2570-У, это некий нормативный документ - т.к. это целое Указание ЦБ РФ от 24.01.2011. А альбом УФЭБС, это даже не приложение к Указанию, а просто отдельный альбом форматов, который даже Консультант не стал включать в свою справочную базу нормативных документов.
                                                        Не соглашайтесь сколько хотите, ваше право. Я просто этому относительно недавно учился на втором высшем, память свежая, продаю "за что купил".

                                                        Наличие или отсутствие документа в справочно-правовых системах - не показатель. "Консультант Плюс" или "Гарант" не являются официальными источниками, в которых нормативные акты подлежат обязательному опубликованию. База "Консультанта" - результат творческого труда составителей по систематизации документов для облегчения работы юриста, не более.

                                                        Нормативным актом органа власти является документ, в том числе состоящий из нескольких частей, одновременно удовлетворяющий трем условиям:
                                                        а) обязательный к исполнению кругом лиц, индивидуально (поименно) не указанных. Конкретные банки в УФЭБС не перечислены.
                                                        Обязательность применения альбома участниками обмена установлена 2570-У, обязательность которого к применению установлена федеральным законом О ЦБ РФ, обязательность которого в свою очередь вытекает из конституции и федеральных конституционных законов о Федеральном собрании, которое закон о ЦБ приняло (госдура и совфед).
                                                        б) содержащий нормы права, т.е. предписания в определенных обстоятельствах (гипотеза) действовать или не действовать определенным образом (диспозиция), а если кто-то не послушается, будут последствия (санкция) как правило в виде наказания, но может быть и в виде потери какого-то субъективного права.
                                                        Текст
                                                        Криптографическая защита файлов с ЭС должна обеспечиваться на основе использования СКЗИ, имеющих сертификат или временное разрешение ФСБ, либо временное разрешение Банка России
                                                        - вполне себе норма с бланкетной санкцией (наказание за использование неподходящих СКЗИ находится в других пунктах или в других нормативных актах). Правила толкования (определения смысла) полей электронных документов - тоже правовые нормы. Вообще правовое регулирование очень похоже на декларативное или логическое программирование на каком-нибудь Прологе.
                                                        в) опуликованный в порядке, предусмотренном для данного документа, и вступивший в действие (порядок опубликования и вступления в действие Альбома установлен в 2570-У).

                                                        Требования по защите электронных сообщений являются составной частью Альбома и подлежат применению лицами, которым Альбом адресован (банками), при обмене с Банком России электронными сообщениями в рамках его платежной системы. На положения Альбома можно и в суде ссылаться, если будут поползновения от ФСБ. У госкомпаний в общем случае нет мегарегулятора с такими полномочиями по изданию нормативных актов, вот ФСБ на них и разевает свою зубастую пасть.

                                                        А вот методические рекомендации не обладают признаками а) и в), и наказать банк или его должностных лиц непосредственно за невыполнение рекомендаций ни ЦБ, ни ФСБ не могут. Разве что как-то "вне правового поля", т.е. по беспределу.

                                                        Комментарий


                                                        • Сообщение от Полковник Посмотреть сообщение
                                                          правовое регулирование очень похоже на декларативное или логическое программирование на каком-нибудь Прологе.
                                                          Интересная мысль.

                                                          А по структуре вашего вывода согласен. В любом случае вы же договор с ТУ БР заключаете, где прописана конкретика по СКЗИ. Теоретически вы можете согласовать иные СКЗИ (кстати, в первоначальном письме ЦБ о переносе функций подписи из АРМ КБР шла возможность использовать иные СКЗИ), но практически, если ЦБ не подпишет договор, вы не сможете с ним взаимодействовать в рамках ПС БР.
                                                          Кстати, указанная вами норма не устанавливает требование иметь именно действующей сертификат (иметь сертификат и иметь действующий сертификат всё же разные понятия), что важно, и т.к. формально сертификат соответствия действует в течение срока эксплуатации (хотя многие и не согласны с данной точной зрения), то это открывает ещё больше возможностей. Но для чего всё это?

                                                          Комментарий


                                                          • Сообщение от Полковник Посмотреть сообщение
                                                            .....Нормативным актом органа власти является документ, в том числе состоящий из нескольких частей, одновременно удовлетворяющий трем условиям:.....
                                                            Альбом УФЭБС не является нормативным актом ЦБ РФ, т.к. не соответствует П-519 от 15.09.1997 "О ПОРЯДКЕ ПОДГОТОВКИ И ВСТУПЛЕНИЯ В СИЛУ НОРМАТИВНЫХ АКТОВ БАНКА РОССИИ" и, соответственно, не может являться документом одного уровня иерархии с другими нормативными документами ЦБ, включая 382-П.

                                                            Сообщение от Полковник Посмотреть сообщение
                                                            ......Наличие или отсутствие документа в справочно-правовых системах - не показатель.....
                                                            Это косвенный показатель, того, что данный документ не является нормативным документом ЦБ, как и то, что альбом УФЭБС также отсутствует в перечне нормативных актов на сайте ЦБ.

                                                            Сообщение от Полковник Посмотреть сообщение
                                                            ......Текст - вполне себе норма с бланкетной санкцией.....
                                                            ..............Требования по защите электронных сообщений являются составной частью Альбома и подлежат применению лицами, которым Альбом адресован (банками), при обмене с Банком...........
                                                            А вот с этим согласен, как и с тем, что формально, это требование противоречит требованиям 382-П об обязательном использовании сертифицированной криптографии для защиты платежной информации. Но, пока у Сигнатуры действующий сертификат ФСБ до 30 июня 2018 г., необходимость использовать при обмене с ЦБ каких-либо СКЗИ с временными разрешениями ФСБ или ЦБ скорее всего не возникнет, если конечно наш мегарегулятор опять что-то не придумает, особенно с учетом того, что ФСБ вроде как больше не выдает сертификаты на криптобиблиотеки.
                                                            Последний раз редактировалось saches; 26.02.2017, 15:00.

                                                            Комментарий


                                                            • Сообщение от Zuz Посмотреть сообщение
                                                              В любом случае вы же договор с ТУ БР заключаете, где прописана конкретика по СКЗИ. Теоретически вы можете согласовать иные СКЗИ
                                                              А вот тут, к сожалению, не так. Договор - низшая ступень в иерархии источников права, ниже только внутренние нормативные акты организации (типа внутренних регламентов самого коммерческого банка). Договором между ЦБ и банками или между банками и клиентами нельзя установить права шире, чем они ограничены вышестоящим законодательством. Если указание ЦБ устанавливает для всех, кто обменивается в рамках договора, обязательность применения положений альбома, а в альбоме указана необходимость наличия сертификата у СКЗИ, договором выйти за рамки этого ограничения невозможно. Положения договора, выходящие за рамки дозволенного законодательством, не подлежат применению, хотя сам договор полностью силы не теряет от этого. Если указание ЦБ принято позже заключения договора, до его принятия действуют соответствующие нормы договора, после - нормы указания независимо от того, переписывался ли договор под новое указание для наведения порядка.
                                                              Положения и указания ЦБ, приказы ФСБ - это акты одного уровня, между ними можно разбираться так, как я написал выше - по сфере регулирования и по дате принятия. А договор однозначно уровнем ниже, и конфликт в нормах договора с актами ЦБ и ФСБ. Вообще правила такие: норма из акта более высокого уровня приоритетнее нормы из акта более низкого уровня, в рамках одного уровня норма из специального акта приоритетнее нормы из более общего, а если акты одного уровня и между ними нет отношения общий-специальный, приоритетнее тот, который принят позднее.

                                                              Сообщение от Zuz Посмотреть сообщение
                                                              Кстати, указанная вами норма не устанавливает требование иметь именно действующей сертификат (иметь сертификат и иметь действующий сертификат всё же разные понятия), что важно, и т.к. формально сертификат соответствия действует в течение срока эксплуатации (хотя многие и не согласны с данной точной зрения), то это открывает ещё больше возможностей. Но для чего всё это?
                                                              Судебная практика всегда в таких случаях под наличием сертификата понимает наличие именно действующего в момент использования СКЗИ сертификата. Ссылаться на игру слов не получится - напишут в решении про "неверное толкование норм материального права".

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X