Bankir.Ru
10 декабря, суббота 02:13

Объявление

Свернуть
Пока нет объявлений.

SWIFTNet и лицензии ФСБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • SWIFTNet и лицензии ФСБ

    Всем добрый день!
    Приближается начало практических мероприятий по переходу на SWIFTNet, 16 октября прииходим на семинар в уважаемую организацию "Альянс Факторс" и слушаем, что же нам предстоит сделать. По началу казалось, что ожидаемые проблемы из разряда допустимых. Но под конец вышел на сцену г-н Даниил Штайн, ген. директор "Руссвифта", т.е. самый главный по поставкам VPNBox'ов и SNL'ей, и тут с удивлением узнаем две неожиданные вещи:
    1. Оказывается, приобретая CardReader'ы и оборудование SecureX25, мы брали на себя обязательство получить лицензию ФАПСИ на это оборудование.
    2. Необходимое для работы со SWIFTNet оборудование будет поставляться только при наличии у банка лицензии ФСБ или оформленной заявки на ее получение.
    Прихожу на работу, читаю старый договор, по которому поставлялось ныне действующее оборудование SWIFT'а, - нет там никакого упоминания про лицензии и обязательства их получить. Выходит, товарищ неравду сказал...
    Читаю Закон 128-ФЗ " О лицензировании отдельных видов деятельности" и по нему выходит, что не нужны нам никакие лицензии: мы же только зксплуатируем получаемое шифровальное оборудование, а лицензируются распространение, разработка, производство, тех.обслуживание шифросредств, а так же услуги по шифрованию. Это ясно видно из ст.17 Закона, наша деятельность под эту статью не попадает.
    Как же все это понимать? Получается, что организация, уполномоченная российским представительством SWIFT поставлять в Россию оборудование, необходимое для миграции на SWIFTNet, за три недели до начала e-ordering выдвигает к российским членам SWIFT явно противозаконные требования, ставя процесс миграции, таким образом, под угрозу срыва.
    Как уважаемые коллеги собираются действовать в такой ситуации?
    И как руководство Российской ассоциации членов SWIFT отностися к тому, что авторизованный поставщик - компания "Руссвифт" выдвигает какие-то дополнительные условия поставки оборудования?

    С уважением,
    Александр

  • #2
    AlZik
    По всей видимости, это одно из негласных условий получения лицензии на ввоз VPNBox-ов, чтобы не выдавать VPNBox-ы, пока банк не получит лицензию, либо не начнет процесс лицензирования. Требовать такую лицензию неправомерно, согласен. Однако 1300 руб. против угрозы остаться без SWIFT-а, сомнительная цена.
    Самое "интересное", что при проверке банка на получение лицензии, будут проверять наличие других лицензий, в т.ч. и на банк-клиент, нам уже об этом объявили. Так что бегом к юристам и читать 128-ФЗ и банкир.ру
    Жить надо так, чтоб тебя помнили сволочи!

    Комментарий


    • #3
      AlZik
      Необходимое для работы со SWIFTNet оборудование будет поставляться только при наличии у банка лицензии ФСБ или оформленной заявки на ее получение.
      Если интерпретировать законы по уму, то лицензия ФАПСИ/ФСБ на свифт не нужна, ибо он ну никак не сертифицирован. А заставляют получать лицензию с одной простой целью: это фактически получение обязательства от банка использовать свифт только по прямому назначениею, а не шифровать им все подряд.

      не нужны нам никакие лицензии: мы же только зксплуатируем получаемое шифровальное оборудование
      Уже не применительно к свифту, а просто справедливости для
      Раз эксплуатируете, значит занимаетесь техническим обслуживанием. А это подлежит лицензированию.
      Earl Vlad Drakula. ///

      Комментарий


      • #4
        hugevlad
        Раз эксплуатируете, значит занимаетесь техническим обслужи
        Неверно, может быть и так что есть договор с провайдером, который занимается обслуживанием, и имеет соотв. лицензию.
        Жить надо так, чтоб тебя помнили сволочи!

        Комментарий


        • #5
          Действительно!
          Если я управляю автомобилем и безаварийно на нем езжу (т.е. эксплуатирую), совсем не обязательно, что я же его диагностирую\чиню\заправляю (т.е. сопровождаю и технически обслуживаю)

          А зачем при этом еще и Клиент-Банковские лицензии проверять?
          К SWIFTу тут какое отношение?
          Рад бы в Рай, да... реаниматоры не пускают!

          Комментарий


          • #6
            Dr.Little К SWIFTу тут какое отношение?
            Ни какого, до кучи. Просто перед получением лицензии могет прийти комиссия для проверки. И может задать вопросик.
            Жить надо так, чтоб тебя помнили сволочи!

            Комментарий


            • #7
              alanf
              Неверно, может быть и так что есть договор с провайдером, который занимается обслуживанием, и имеет соотв. лицензию.
              Теоретически - да. Но практически в нашей стране и более невинные вещи на аутсорсинг боятся отдавать. Посему этот вариант я всерьез и не рассматриваю...
              Earl Vlad Drakula. ///

              Комментарий


              • #8
                hugevlad
                Но практически в нашей стране
                Я Вам не теорию двигаю, а практику. Думаю, многие банки, которые "тянут" SWIFT, способны платить в среднем 40-50 баксов прову, чтобы тот админил их VPNBox-ы. А чего боятся, деньги ведь отправляете по SWIFT-у, причем даже не свои, а клиентские, ни кто ни чего не боится, а риски раскидать трудно.
                Ну ладно, куда-то я левее пошел...
                Жить надо так, чтоб тебя помнили сволочи!

                Комментарий


                • #9
                  alanf
                  Я Вам не теорию двигаю, а практику. Думаю, многие банки, которые "тянут" SWIFT, способны платить в среднем 40-50 баксов прову, чтобы тот админил их VPNBox-ы.
                  Так Вы думаете, что так может быть, или все-таки о практике?
                  Дело не в 50 баксах, а в менталитете "ну его нафиг, на всякий случай, лучше сами поадминим, так спокойнее".
                  Earl Vlad Drakula. ///

                  Комментарий


                  • #10
                    Дело не в 50 баксах, а в менталитете "ну его нафиг, на всякий случай, лучше сами поадминим, так спокойнее".
                    А если сами админим, то уже на это лицензия нужна??
                    Рад бы в Рай, да... реаниматоры не пускают!

                    Комментарий


                    • #11
                      Dr.Little
                      В законе написано, что лицензировать средства криптографии необходимо в том случае, если речь идет об публичной информационной системе или пользователями которой являются госучреждения. В данном случае мы имеем дело с корпоративной информационной системой, которой рулит SWIFT, он и устанавливает в ней правила, а вы, как пользователь, с ними соглашаетесь или нет.
                      Жить надо так, чтоб тебя помнили сволочи!

                      Комментарий


                      • #12
                        В законе написано, что лицензировать средства криптографии необходимо в том случае, если речь идет об публичной информационной системе или пользователями которой являются госучреждения.

                        Закон 128-ФЗ, Статя 1, пункт 2:
                        2. Действие настоящего Федерального закона не распространяется на следующие виды деятельности:
                        деятельность кредитных организаций; ...

                        А как же быть с этим пунктом?

                        Комментарий


                        • #13
                          alanf
                          В законе написано, что лицензировать средства криптографии необходимо в том случае, если речь идет об публичной информационной системе или пользователями которой являются госучреждения.
                          Если уж цитировать, то правильно. Лицензируется деятельность, а криптосредства могут только сертифицироваться.
                          Собственно, когда я писал Если интерпретировать законы по уму то имел ввиду именно эту интерпретацию (что на свифт лицензия не нужна).

                          oleg_s
                          . Действие настоящего Федерального закона не распространяется на следующие виды деятельности:
                          деятельность кредитных организаций; ...

                          А как же быть с этим пунктом?


                          Никак. Речь идет о лицензии основной деятельности КО (банковской). Деятельность по защите информации подлежит лицензированию незаивимо от основного профиля конторы. Но касательно свифта - песня отдельная (см. выше).
                          Earl Vlad Drakula. ///

                          Комментарий


                          • #14
                            hugevlad Самое смешное , что лицензия на техническое обслуживание (использование ) Вербы - ОВ не требуется , хотя продукт распространяется ЦБ и используется для криптозащиты отправляемой отчетности и требует гораздо большего технического обслуживания.

                            Комментарий


                            • #15
                              AlZik На том же семинаре говорилось , что техническое обслуживание VPN box' ов будет производить "РУССВИФТ" за 30 условных енотов с банка в месяц. Но в чем будет заключаться это тех. обслуживание и зачем тогда лицензия банку вразумительно объяснено не было. Я считаю, что РУССВИФТ создал себе еще одну кормушку, при этом не желая брать на себя никакой ответственности. Ведь лицензия на тех. обслуживание у них есть , а VPN box входит в зону ответственности сети SWIFTNET, а не как не банка, и управляется SWIFTом.

                              Комментарий


                              • #16
                                BMB
                                VPN box входит в зону ответственности сети SWIFTNET, а не как не банка, и управляется SWIFTом.

                                Чуть-чуть не так. SWIFTом ни чего не управляется, а просто первоначально конфигуряецца. Техническое обслуживание выполняют и провайдеры (кажецца все они получили лицензии). Так что, если поручаешь им, то есс-но они (VPNBox-ы) подпадают под зону ответственности провайдеров.
                                Жить надо так, чтоб тебя помнили сволочи!

                                Комментарий


                                • #17
                                  -
                                  Жить надо так, чтоб тебя помнили сволочи!

                                  Комментарий


                                  • #18
                                    BMB
                                    Самое смешное , что лицензия на техническое обслуживание (использование ) Вербы - ОВ не требуется ,
                                    Вообще-то требуется, согласно того же закона. А то, что ЦБ ее раздает не спрашивая лицензии - его личное дело Тем более, что у ЦБ у самого нет лицензии ФАПСИ
                                    Earl Vlad Drakula. ///

                                    Комментарий


                                    • #19
                                      hugevlad В соотвествии с Постановлением Правительства № 691 от 23.09.02
                                      3. Деятельность по техническому обслуживанию шифровальных (криптографических) средств включает в себя:
                                      а) монтаж, установку, наладку шифровальных (криптографических) средств;
                                      б) ремонт, сервисное обслуживание шифровальных (криптографических) средств;
                                      в) утилизацию и уничтожение шифровальных (криптографических) средств;
                                      г) работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд).

                                      Комментарий


                                      • #20
                                        alanf Вопрос : О каком тех. обслуживании речь ? Прийти и смахнуть пыль с VPNbox. На сколько я понял из семинара, вся конфигурация прописывается жестко и SWIFTом, на основании нашей заявки вплоть до адресов. В случае трабла РОССВИФТ обещал отправять VPN на переплавку (перепрошивку) в SWIFT. А провайдеры только подряжают РССВИФТ как субподрядчика.

                                        Комментарий


                                        • #21
                                          Вся беда в своеобразном толковании ФСБ (а раньше - ФАПСИ) термина "техническое обслуживание". Под этим понимается обыкновенная эксплуатация. Ну а значит, лицензия необходима в ссответствии с ФЗ "О лицензировании отдельных видов деятельности" (alanf перепутал с Законом "Об ЭЦП"). Спорить с ними можно, судиться и т.д., но это всё равно что телёнку бодаться с дубом. Времени в обрез, да и на Штайна они тоже наверняка давят - не зря он включил обязательство получить лицензию в обязательный пакет документов. ИМХО это не тот случай, когда стоит судиться с государством. Цена вопроса слишком высока.
                                          Мы год назад получали эти лицензии, тогда ещё у ФАПСИ. Проблем никаких не возникло, кроме кучи бумажек и бюрократии. Ушло где-то полтора месяца. Но сейчас будет сложнее, т.к. ФСБшники сами приходят проверять, как у вас всё работает, и ещё докапываются до системы "Банк-Клиент" и требуют лицензировать её СКЗИ. А это уже гораздо сложнее, особенно если СКЗИ не сертифицированная.
                                          Если не уверены в своих силах - обращайтесь к Горелову, поможет.

                                          Комментарий


                                          • #22
                                            2 ax3:
                                            Спасибо, а кто такой Горелов?

                                            Комментарий


                                            • #23
                                              Горелов Игорь Дмитриевич - личность, широко известная в узких кругах.
                                              Фирмы "СББ-АРБ" ("Системы банковской безопасности"), "Безопасность Финансовых коммуникаций".
                                              Оказывает консультационные услуги в области лицензирования, и недорого. Рекомендую (и я, и Россвифт ).
                                              (095) 241-84-32

                                              Комментарий


                                              • #24
                                                NetScreen 5XT VPN box продает в Москве "LANIT" без вскяких обязательств.
                                                Если бы знать, как его прошить под SWIFT...
                                                Цена, кстати, в 2 раза ниже.

                                                Комментарий


                                                • #25
                                                  А почем нынче помогает г.Горелов? Год назад брал по 1200 у.е.

                                                  Комментарий


                                                  • #26
                                                    idc5614 SWIFT продает со своей прошивкой, поэтому в 2 раза дороже , поэтому лицензия ФСБ, поэтому помощь г. Горелова за 1200 ужасных енотов.

                                                    Комментарий


                                                    • #27
                                                      Господа, подскажите, пож-та, кто-нибудь уже оформил подобные лицензии? Интересует вопрос проверки Банка ФСБ на готовность работы со средствами криптографической защиты. Какие документы, внутренние положения требовались?
                                                      заранее тэнк ю

                                                      Комментарий


                                                      • #28
                                                        TCH
                                                        Есть проверенные слухи что ФСБ не даёт лицензию на SWIFT без наличия лицензии на используемые СКЗИ в системах типа Клиент-Банк и д.р.
                                                        из документов вам будут нужны: должностные иструкции, положения подразделений, договора на Кб и ИБ, инструкции/положения связанные с информационной безопасностью, копии дипломов/свидетельств о всевозможных курсах по работе со СКЗИ
                                                        С уважением

                                                        SunDog

                                                        Комментарий


                                                        • #29
                                                          idc5614 - о ценах спросите самого Горелова. Да, год назад стоило 1200 у.е. Но сейчас всё сложнее, ФСБ лютует вовсю. Так что может оказаться дороже, дольше или труднее.
                                                          SunDog - подтверждаю, тоже имею такую информацию от дружественных банков. Всё гораздо круче, чем во времена ФАПСИ. Ребята ещё не наигрались...

                                                          Комментарий

                                                          Пользователи, просматривающие эту тему

                                                          Свернуть

                                                          Присутствует 1. Участников: 0, гостей: 1.

                                                          Обработка...
                                                          X