Bankir.Ru
11 декабря, воскресенье 09:14

Объявление

Свернуть
Пока нет объявлений.

Предоставление услуг в области шифрования информации

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Предоставление услуг в области шифрования информации

    Коллеги! Для организации нового сервиса желательно осуществления безопасной передачи данных. Встал вопрос о приобретении серверного сертификата. К сожалению, ничего о том, как к этому относится ФАПСИ, не нашла.
    Подскажите, нужно ли на ssl приобретать лицензию (указ 334 Президента), если да, то где и как.
    Заранее спасибо за помощь.
    Екатерина Видова.

  • #2
    Если следовать букве закона, то требуется приобретать лицензию даже на эксплуатацию Word, так как тот содержит в себе функцию шифрации/дешифрации.

    Тоже самое SSL, точнее программные средства, его реализующие.

    Хуже всего, что про SSL в ГОСТах ничего нет, так что, даже если Вы захотите, то вряд ли сможете получить лицензию ФАПСИ на эксплуатацию соответствующего ПО.

    Это бессмысленная и патовая ситуация, не нужно искать тут разумный выход.

    Комментарий


    • #3
      Wildket
      Извините, но я - юрист, и что такое ssl не понимаю. Объясните пожалуйста. Мы сейчас ФАПСИшные лицензии как раз получаем, так что, может быть, смогу помочь
      "Нет более верного признака дурного устройства городов, чем обилие в них
      юристов и врачей" Платон

      Комментарий


      • #4
        Спасибо за ответ!

        AKI: SSL- протокол для безопасной передачи данных (в тч для шифрования трафика). Для установления такого соединения исп-ся сертификаты.


        716-ый: на сколько я понимаю, в данном случае все действуют на свой страх и риск: вроде не запрещено, но и не разрешено....((

        Комментарий


        • #5
          Дак вот и нет, в соответствии с последней редакцией ФЗ о лицензировании (указ президента 334 уже не вспоминаем)
          вроде как подлижит сертификации даже эксплуатация средств шифрования.

          Правильнее было бы ссылку дать из закона, но я думаю - сами найдете, я сейчас тороплюсь, если что -завтра

          Комментарий


          • #6
            Но про свой старх и риск - это правильно.
            Ведь тут как, есть закон, а есть здравый смысл.
            Если будет закон, что все по улице без одежды ходить, так ведь никто же всерьез это не воспримет.

            примерно так и тут

            Комментарий


            • #7
              Про здравый смысл - это хорошо.
              Только все равно не ясно - попадаем мы под статью, используя ssl или нет?(((

              Комментарий


              • #8
                Wildket

                Вся проблема-то не в том, чтобы не попасть под статью, а в том, как потом с клиентами судиться, ежели что. Хотя статья тоже есть. И даже в УК.
                Но вопрос споров с клиентами волнует гораздо больше. Так?
                Я Вам в Би-мэйл вышлю старое свое заключение, там по-моему все на тему сертификации и лицензирования всяких Клиент-банков было.
                "Нет более верного признака дурного устройства городов, чем обилие в них
                юристов и врачей" Платон

                Комментарий


                • #9
                  AKI :
                  Спасибо, буду признательна!

                  На сколько я поняла, в нашем законодательстве как обычно ничего четко не указано....
                  Посему использование возможно, так как не оговорено иное, так получается?

                  Комментарий


                  • #10
                    Статья 17 Закона о лицензировании отдельных видов деятельности:
                    1) деятельность по распространению шифровальных средств;
                    2) деятельность по техническому обслуживанию шифровальных средств;
                    3) предоставление услуг в области шифрования информации;

                    Далее остается только гадать что означает конкретный вид деятельности, и что понимается под шифровальными средствами. Из этого на сегодняшний день все проблемы и возникают. Указ Президента ? 334 - незаконен, т.к. обязанность лицензирования конкретного вида деятельности может быть установлена только законом.

                    Смотрите также:
                    1)Порядок лицензирования услуг в области шифрования инфо
                    2) Лицензирование криптографической и шифровальной деят
                    3)Как мы не выбрали I-Bank.


                    С уважением, Forge.

                    Комментарий


                    • #11
                      Спасибо за цитату.
                      Теперь видите сами, что следуя букве закона, преступниками являются все, так как встроенные средства шифрации есть даже в самих операционных системах Windows 95/98/NT/2000.
                      Получается нонсенс.

                      Как-то я видел разъяснение регионального ФАПСИ (к сожалению не могу дать ссылку) о том, что они собираются считать шифровальным средством.

                      По их мнению таковым является программный продукт, основным назначением которого является шифрация/дешифрация.

                      При такой трактовке вопроса, Вам нечего бояться.
                      Например, вы используете Apache Web Server со встроенной поддержкой SSL. В этом случае шифрация/дешифрация не является основной функцией сервера.

                      Остается гадать, это позиция только регионального ФАПСИ или всего.

                      Комментарий


                      • #12
                        Forge

                        Спасибо за ссылки!

                        AKI

                        Спасибо!

                        716-ый

                        Про Ворд и Windows я с Вами абсолютно согласна.
                        А что касается аутентификации - тут тоже вроде ясно.....

                        Комментарий


                        • #13
                          AKI Можно тоже познакомиться с Вашим заключением, которое Вы упоминали 14.08.01 г. Скиньте, пож-та, по любым координатам из указанных в Профиле. Заранее благодарна.

                          Комментарий


                          • #14
                            neta

                            Смотрите в Б-мэйле.

                            С уважением,

                            Кирилл
                            "Нет более верного признака дурного устройства городов, чем обилие в них
                            юристов и врачей" Платон

                            Комментарий


                            • #15
                              AKI
                              Не могли бы Вы и мне выслать это заключение на е-майл или на б-майл.
                              С уважением,
                              Виталий

                              Комментарий


                              • #16
                                AKI
                                Огромное спасибо!

                                Комментарий


                                • #17
                                  Уважаемый AKI

                                  Если не трудно, киньте и мне Ваше заключение.
                                  Заранее Огромное СПАСИБО!

                                  Комментарий


                                  • #18
                                    Forge
                                    Далее остается только гадать что означает конкретный вид деятельности, и что понимается под шифровальными средствами.
                                    Четкое и однозначное определение есть в документе "Система сертификации СКЗИ POCC RU.0001.030001" от 15.11.93.
                                    А именно: наличие преобразования информации и секретного элемента.

                                    AKI
                                    Не сочтите за наглость, но можно мне тоже заключение?
                                    на bmail или vlad собака cybervlad.port5.com
                                    ("собаку" заменить на @ )
                                    Earl Vlad Drakula. ///

                                    Комментарий


                                    • #19
                                      hugevlad

                                      Какой статус у этого документа ? Действует ли он на сегодняшний день? В правовой базе я его не нашел.

                                      Если есть возможность, скиньте его, пожалуйста, на мой мейл.

                                      AKI
                                      Уважаемый, AKI, пришлите и мне заключение. Адрес в профайле.

                                      Заранее благодарю.

                                      С уважением, Forge.

                                      Комментарий


                                      • #20
                                        Через 6 месяцев с момента официального опубликования (11 февраля 2001 г.)вступит в силу новый ФЗ "О лицензировании отдельных видов деятельности" N 128-ФЗ от 08.08.2001 г. Старый закон о лицензировании отдельных видов деятельности N 158-ФЗ, на который была ссылка выше, утратит силу.

                                        Что мы имеем:

                                        Статья 17. Перечень видов деятельности, на осуществление которых требуются лицензии

                                        1) деятельность по распространению шифровальных (криптографических) средств;
                                        2) деятельность по техническому обслуживанию шифровальных (криптографических) средств;
                                        3) предоставление услуг в области шифрования информации;
                                        4) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
                                        5) деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;
                                        6) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
                                        7) деятельность по разработке и (или) производству средств защиты конфиденциальной информации;
                                        8) деятельность по технической защите конфиденциальной информации;
                                        9) разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность.

                                        Как и ожидалось, лицензирование деятельности по эксплуатации (использованию) шифровальных средств уйдет в небытие. Указ Президента N 334 Президента подлежит отмене. п.2 ст. 18 Закона - Лицензирование видов деятельности, не указанных в пункте 1 статьи 17 настоящего Федерального закона, прекращается со дня вступления в силу настоящего Федерального закона.

                                        Однако, действие настоящего Федерального закона не будет распространяться на деятельность, связанную с защитой государственной тайны (п.2 ст. 1 Закона)

                                        ФАПСИ, придется попыхтеть: Статья 3. Основные принципы осуществления лицензирования - 1) установление единого порядка лицензирования на территории Российской Федерации; 2)
                                        установление лицензионных требований и условий положениями о лицензировании конкретных видов деятельности. Положения о лицензировании конкретных видов деятельности будут утверждаться Правительством (ст. 5 Закона) Наконец, то ФАПСИ выйдет из подполья и займется разработкой столь необходимой нормативной базы, отличной от Приказов по выплате процентных надбавок своим сотрудникам и порядке оплаты изготовления и установки надгробных памятников.

                                        С уважением, Forge.

                                        Комментарий


                                        • #21
                                          Forge

                                          Какой статус у этого документа ? Действует ли он на сегодняшний день? В правовой базе я его не нашел.

                                          Если есть возможность, скиньте его, пожалуйста, на мой мейл.
                                          Документ действующий, его никто не отменял. Дабы не повторяться (интересно, видимо, многим) просто дам ссылку на него в интернет:
                                          http://www.security.ru/sert1.html

                                          Кстати, там еще "много вкусного" на эту тему:

                                          http://www.security.ru/law.html

                                          regards, Vlad.
                                          Earl Vlad Drakula. ///

                                          Комментарий


                                          • #22
                                            Forge

                                            Как и ожидалось, лицензирование деятельности по эксплуатации (использованию) шифровальных средств уйдет в небытие.
                                            Позволю себе не согласиться В такой формулировке лицензий никогда и не было, всегды были лицензии на техн. обслуживание, предоставление услуг и распространение. Причем, нужны они были только банку, а не клиентам, они как бы работали "под крышей" лицензий банка.

                                            ps. Лицензирование проходил относительно недавно, так что еще свежи воспоминания

                                            regards, Vlad.
                                            Earl Vlad Drakula. ///

                                            Комментарий


                                            • #23
                                              >> Позволю себе не согласиться

                                              Согласен и это не отрицаю. Я в свое время тоже доказывал, что требование в получении лицензии на использование шифровальных средств противоречит действующему законодательству. Но ФАПСИ и многие другие оппоненты говорили что такая лицензия необходима.

                                              Ссылались на:
                                              1) п. 4 Указа Президента РФ N 334 - В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации...

                                              2) п.36 Положения ФАПСИ утв. Приказом N 158 от 23.09.99 г. - Использование СКЗИ осуществляется лицами, имеющими лицензию ФАПСИ.

                                              3) литера "К" ст. 11 ФЗ "О ФАПСИ" N 4524-1 от 19.02.1993 г - ФАПСИ имеет право.... определять порядок разработки, производства, реализации, эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации в Российской Федерации; осуществлять в пределах своей компетенции лицензирование и сертификацию этих видов деятельности, товаров и услуг; - вот хитрые, правда ?

                                              4) п. 2 Приложения 1 к Положению о государственном лицензировании деятельности в области защиты информации утв. совместными решениями ФАПСИ и ГосТехКомиссии N 10/60 от 27.04.94/24.06.97 соответственно. - Лицензируется: Эксплуатация негосударственными предприятиями шифровальных средств,
                                              предназначенных для криптографической защиты
                                              информации, не содержащей сведений, составляющих
                                              государственную тайну.


                                              >> Причем, нужны они были только банку, а не клиентам.
                                              Если придерживаться логики Указа Президента N 334, то лицензию необходимо получать как банку, так и всем его клиентам, у которых установлена программная компонента, обеспечивающая шифрование передаваемой информации.

                                              To Hugevlad - спасибо за ссылки.

                                              С уважением, Forge.

                                              Комментарий


                                              • #24
                                                Пожалуй, я тоже дам ссылочку на документ. Авось поможет или запутает окончательно. http://www.parfenov.ru/?fapsi
                                                Дайвер

                                                Комментарий


                                                • #25
                                                  Forge

                                                  Согласен и это не отрицаю. Я в свое время тоже доказывал, что требование в получении лицензии на использование шифровальных средств противоречит действующему законодательству. Но ФАПСИ и многие другие оппоненты говорили что такая лицензия необходима
                                                  Они делали подмену понятия "тех. обслуживание" понятием "эксплуатация" или "использование". Денег всем хочется
                                                  Earl Vlad Drakula. ///

                                                  Комментарий


                                                  • #26
                                                    Кирилл

                                                    http://www.parfenov.ru/?fapsi
                                                    dns record not found

                                                    Ы?
                                                    Earl Vlad Drakula. ///

                                                    Комментарий


                                                    • #27
                                                      Аж даже перепугался. Нет, все работает.
                                                      Это приказ ФАПСИ ? 152 - http://www.parfenov.ru/?fapsi
                                                      Дайвер

                                                      Комментарий


                                                      • #28
                                                        AKI Не могли бы Вы сбросить свое заключение? Буду очень признателен.

                                                        Тут возник вопрос, нужна ли сертификация СКЗИ при его использовании исключительно при обмене информацией между структурными подразделениями банка. Я, основываясь на законе "Об информации..." ответил, что таковая не нужна, т.к. нет предоставления услуг.

                                                        Помогите, советом.
                                                        С уважением, Дмитрий

                                                        Комментарий


                                                        • #29
                                                          Аж даже перепугался. Нет, все работает.
                                                          Это приказ ФАПСИ N 152 - http://www.parfenov.ru/?fapsi



                                                          Кто скажет о его сфере действия? Кому он направлен? Кто его должен выполнять?

                                                          Комментарий


                                                          • #30
                                                            все-таки, не могу найти однозначного ответа, с февраля 2002 г. нужно ли получать банку лицензию ФАПСИ, если банк оказывается услуги, связанные с использованием ЭЦП? Под эту формулировку по-моему попадают услуги Банк-Клиент.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X