Bankir.Ru
10 декабря, суббота 23:35

Объявление

Свернуть
Пока нет объявлений.

Возвращаясь к лицензиям ФАПСИ для банков в области криптографии

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Возвращаясь к лицензиям ФАПСИ для банков в области криптографии

    Не так давно эта тема обсуждалась - применение законов 1-ФЗ "Об ЭЦП" и 128-ФЗ "О лицензировании отделных видов деятельности"
    Почитал я все это - да и не понял...
    Окончательного вывода - нету...
    Меня интересует система Клиент-банк, закупленная у сторонней фирмы, использующая RSA, система обмена данными по эл. почте с клиентами с применением "КриптоБанк" и система эл. торгов Quik-брокер с использованием ЭЦП (в данном случае КриптоПро-CSP)
    Все эти системы являются по определению корпоративными - доступ к ним имеет определенный круг организаций.

    Вопрос - нужно ли нашему Банку получать лицензии ФАПСИ на распространение, обслуживание средств криптозащиты, и оказание услуг в области ЭЦП.

    Рекомендовалось ждать комментариев ЦБ, ФАПСИ - но мнения единого я сейчас не вижу...

  • #2
    2AlexEye : Рекомендовалось ждать комментариев ЦБ, ФАПСИ - но мнения единого я сейчас не вижу...
    ...функции Федерального агентства правительственной связи и информатизации (ФАПСИ), расформированного Указом Президента РФ, переданы ФСБ и Минобороны РФ...
    Какое уж тут единое мнение - то ли к военным обращаться, то ли в КГБ ...
    WBR, Александр Турчин

    Комментарий


    • #3
      Обращаться надо в отдел лицензирования в Лицензионный и сертификационный центр ФАПСИ, что в Москве у м. Молодежная.

      До 1-го июля 2003 г. ФАПСИ работает в обычном режиме. Если надо контактное лицо и телефон - вышлю мылом.
      С уважением, Репан Димитрий
      Компания "БИФИТ" - www.bifit.com

      Комментарий


      • #4
        Димитрий
        Ну а теперь куда обращаться?
        Рад бы в Рай, да... реаниматоры не пускают!

        Комментарий


        • #5
          Dr.Little
          А теперь обращаться в ФСБ, там создан отдел лицензирования.
          С уважением

          SunDog

          Комментарий


          • #6
            неужто полегчает?
            "Проект закона предусматривает упразднение лицензирования следующих видов деятельности: разработка, производство, ремонт и испытание авиационной техники, в том числе авиационной техники двойного назначения; деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей..."
            http://www.rbc.ru/fnews/20040520115750.shtml?

            Комментарий


            • #7
              dd
              Проект закона предусматривает упразднение лицензирования следующих видов деятельности:
              Должен же и на нашей улице когда-то перевернуться камаз с пряниками

              Комментарий


              • #8
                all_in_one Должен же и на нашей улице когда-то перевернуться камаз с пряниками
                Хм.. ИМХО лучше не станет. Появится большое количество дешевых продуктов сомнительного качества. Больше ничего не измениться. Разумеется ИМХО и еще 33 раза ИМХО.
                В каждой программе есть по крайней мере одна ошибка

                Комментарий


                • #9
                  Big_Mike продуктов и сейчас куча... просто чтобы использовать что-то (тот же экселенс), сейчас надо бумажку иметь... а на качество эта бумажка не влияет, разве что на качество цены...

                  Комментарий


                  • #10
                    Big_Mike
                    ИМХО лучше не станет. Появится большое количество дешевых продуктов сомнительного качества.
                    Ну, у нас ведь не базар, в конце концов, где кругом одни мошенники Ведущие производители средств защиты так ими и останутся. Кто там новый появится -- это их дело, пусть репутацию заработают. А вот упразднение лицензирования позволит снизить цену на качественные продукты. Как, впрочем, и появление большого количества дешёвых продуктов сомнительного качества
                    Кстати, положа руку на сердце, я лично не считаю, что лицензирование -- единственный способ добиться от производителей криптосистем совершенства. Зато маразмов это добавляет -- будь здоров. Сначала добавляют по требованию ФАПСИ какую-нибудь ужасно секурную фичу (например, АНКАД -- обязательно дискету доставать после проверки подписи). А как же -- ФАПСИ требует, у них так заведено, видимо. И затем втихую за дополнительные деньги предлагают свои же побочные продукты для обхождения этого маразма (FastDisk за 15$, в котором можно, используя недокументированные фичи, хранить ключи для подписей хоть где -- хоть на брелке, хоть на FAT32, и ничего доставать не надо).

                    dd
                    а на качество эта бумажка не влияет, разве что на качество цены...
                    Это точно.

                    И потом. К примеру, возьмём ГТК. Важна ли информация, которую мы передаём по их каналам? Ну, вроде, да. Контракты там, платежи. И чем эта система защищена? Вспомним и посмеёмся. А я что-то не слышал громких случаев, чтобы какое-то предприятие или банк были скомпрометированы из-за слабости защиты файлика pswlistb.dbf Так что дело не в лицензировании, а в организации. Лучше бы ЦБ РФ подробнее проверял банки на соблюдение норм безопасности, создав соотвествующую инструкцию (вроде хотят).

                    Комментарий


                    • #11
                      У меня ещё такой вопрос. В законе 128-ФЗ "О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ" есть такой пункт,
                      "Статья 1. Сфера применения настоящего Федерального закона:
                      ...
                      2. Действие настоящего Федерального закона не распространяется на следующие виды деятельности:
                      деятельность кредитных организаций;..."

                      Как это понимать? Какой закон на банки распространяется? Все, кто говорит, что надо получать лицензию ФСБ, ссылаются на этот закон. А из него, как я понимаю, следует то, что у банков никакой необходимости в этой лицензии нет. Запутался я, короче..

                      Комментарий


                      • #12
                        Dr.Shooter п.2 говорит тебе о том, что _профильная_ деятельность кр.орг. не поддаётся регулированию этим законом.

                        Комментарий


                        • #13
                          dd, ок. А куда [поконкретней, пожалуйста ] нам надо обращаться за лицензией? Влияет ли то, что мы находимся не в Москве?

                          PS. И дадут ли нам лицензию, если мы используем не сертифицированную ФАПСИ СКЗИ?

                          Комментарий


                          • #14
                            Dr.Shooter да пока никуда, судя по всему, обращаться не надо (особенно учитывая грядущие перемены в законах)... другое дело, если от вас кто-то что-то требует - тогда с ними конкретно и говорите

                            Комментарий


                            • #15
                              Сообщение от dd
                              Dr.Shooter да пока никуда, судя по всему, обращаться не надо (особенно учитывая грядущие перемены в законах)... другое дело, если от вас кто-то что-то требует - тогда с ними конкретно и говорите
                              А можно о грядущих переменах поподробнее?
                              (или ткните, плз, носом туда, где это обсуждалось )

                              wbr
                              Danone

                              Комментарий


                              • #16
                                danOne Это обсуждалось в этом же треде См сообщение №6

                                Комментарий


                                • #17
                                  Сообщение от Dr.Shooter
                                  danOne Это обсуждалось в этом же треде См сообщение №6
                                  Ну надо же!
                                  Пасиб, что не больно ткнули

                                  Комментарий


                                  • #18
                                    Поднимаю тему. Кто-нибудь из присутствующих проходил проверку на наличие-отсутствие лицензии (лицензированного софта)? Как аргументируют проверяющие необходимость ее наличия? На что именно ссылаются? И - до кучи, - где прописан порядок выдачи лицензий на работу с СКЗИ?

                                    Комментарий


                                    • #19
                                      Роман У нас, в принципе, массовых проверок софта на лицензионность не было. Вот, разве что ЦБ во время своих проверок, проверяет лицензионность софта, установленных на АСБР'овских машинах. Аргументируют оч. просто - по требованим ЦБ, данный софт должен быть лицензионно чистым

                                      Комментарий


                                      • #20
                                        Роман
                                        где прописан порядок выдачи лицензий на работу с СКЗИ?
                                        Положение о лицензировании... от 23 сентября 2002го. № 691
                                        Кто-нибудь из присутствующих проходил проверку на наличие-отсутствие лицензии (лицензированного софта)? Как аргументируют проверяющие необходимость ее наличия?
                                        Вообщем то софт надо иметь лицензионный это по определению, а то как то не серьёзненько получается.
                                        С уважением

                                        SunDog

                                        Комментарий


                                        • #21
                                          SunDog Спасибо за ссылочку. Хотел уточнить - мы об одном и том же говорим? Меня волнует, как относятся проверяющие к использованию нелицензированной криптозащиты в системах банк-клиент. Для полноты картины - фирма-разработчик системы, конечно же, имеет все необходимые лицензии...

                                          Комментарий


                                          • #22
                                            Роман
                                            Плохо относятся лично мы имели проблемы в получении лицензии на SWIFT, до тех пор пока не пообещали перейти на сертифицированное СКЗИ и собственно получали сразу 2 лицензии и на SWIFT и на СКЗИ
                                            С уважением

                                            SunDog

                                            Комментарий


                                            • #23
                                              Господа, на основании какого НПА функции по лицензированию переданы ФСБ РФ?

                                              В консультанте висит законопроект, исключающий следующий абзац ст. 17 закона о лицензировании: «деятельность по выдаче сертификатов ключей…», при этом распространение, техническое обслуживание шифровальных средств и предоставление услуг в области шифрования информации по прежнему лицензируется.
                                              Таким образом, обязанность Банков получать сертификаты и лицензии останется после принятия соответствующего закона?

                                              Комментарий


                                              • #24
                                                Указ (П)резидента №308 от 11.03.2003
                                                ---
                                                3. Передать Федеральной службе безопасности Российской Федерации, Службе внешней разведки Российской Федерации и Службе специальной связи и информации при Федеральной службе охраны Российской Федерации функции упраздняемого Федерального агентства правительственной связи и информации при Президенте Российской Федерации.
                                                ---

                                                Да, обязанность останется, увы.

                                                Комментарий


                                                • #25
                                                  Newtown Да, обязанность останется, увы.
                                                  Да какая обязанность!, они закон и акты подзаконные натягивают на внутренние системы, закрытые и корпоративные (фактически). Пусть для начала сам SWIFT сертифицируют, а потом требуют лицензии на использование и обслуживание(!) сертифицированного продукта. Кто-нить видел сертификат? У разработчиков SWIFT-а он есть? у продуктов есть?
                                                  Почему не требуют сертификат на использование и обслуживание Вербы ЦБ-шной?
                                                  Когда начинаешь доказывать, в ответ: "а ну-ка покажите договор с охраной, а лицензии у них есть, покажите договор аренды помещения, а УВО..." и т.п., т.е. контраргументы сомнительны и пахнет запугиванием. Юристов надо чесать.
                                                  Жить надо так, чтоб тебя помнили сволочи!

                                                  Комментарий


                                                  • #26
                                                    Newtown Спасибо, указ я видел.
                                                    В тексте самого документа сказано, что вышеуказанным органам следует предоставить предложения о распределении полномочий ФАПСИ между собой. Интересует именно подтверждение того, что полномочия по лицензированию перешли к ФСБ.

                                                    alanf
                                                    контраргументы сомнительны и пахнет запугиванием

                                                    По формальным признакам подтянуть банк к административной ответственности не сложно. Кроме этого сделки в рамках осуществления такой деятельности без лицензии могут быть признаны недействительными в порядке ст. 173 ГК. Контролирующие органы могут инициировать проверки банка и т.д. Риски все же есть…

                                                    Комментарий


                                                    • #27
                                                      Коллеги, позвольте слегка отклониться от основной темы.

                                                      В свете всего вышесказанного как можно решить проблему перехода на УФЭБС, которые, как известно, требуют простановки/проверки ЭЦП на ЭД в ОДБ? Те, кто использует ОДБ собственной разработки, сталкиваются с проблемой получения лицензии на встраивание СКЗИ в ОДБ. У тех, кто использует ОДБ сторонних разработчиков, на первый взгляд проблем нет. На самом деле, с той же проблемой сталкиваются сами сторонние разработчики. По слухам, даже ведущие разработчики ОДБ не спешат с получением таких лицензий. А назначенный ЦБ срок (февраль 2005) не за горами. Что делать?

                                                      Комментарий


                                                      • #28
                                                        Почему не требуют сертификат на использование и обслуживание Вербы ЦБ-шной?
                                                        Как не требуют? У нас он имеется, мы Вербу в Банк-Клиенте используем. И у ЦБ имеется (как у поставщика).


                                                        2 alanf
                                                        Указ №960 от 11.08.03
                                                        25) осуществляет регулирование в области разработки, производства, реализации, эксплуатации, ввоза в Российскую Федерацию и вывоза из Российской Федерации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, а также в области предоставления на территории Российской Федерации услуг по шифрованию информации и выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах;
                                                        А лицензия выдается не на конкретный продукт, а на вид деятельности. Мы без особых проблем прошли уже 3 проверки именно по данной тематике. У нас 5 лицензий (еще ФАПСИшных), и придраться ни к чему не удалось.

                                                        Комментарий

                                                        Пользователи, просматривающие эту тему

                                                        Свернуть

                                                        Присутствует 1. Участников: 0, гостей: 1.

                                                        Обработка...
                                                        X