Bankir.Ru
8 декабря, четверг 05:05

Объявление

Свернуть
Пока нет объявлений.

Как доказать ФАПСИ правомерность использования имеющегося HSM при работе с МПС???

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Как доказать ФАПСИ правомерность использования имеющегося HSM при работе с МПС???

    Всем привет!

    Есть ФАПСИ и есть работа банка по выпуску и обслуживанию карт МПС. Банк лицензирует в ФАПСИ свою деятельность по защите информации, в том числе (не для кого не секрет, что при работе с МПС используется аппаратный HSM) по выпуску и обслуживанию банковских карт в части использования средств криптографической защиты. Как доказать ФАПСИ правомерность использования того или иного аппаратного HSM? В каких официальных документах МПС есть (а может и нет) перечень используемого оборудования или что-нибудь в этом роде?

    С уважением, Robot

    P.S. Safe Review от МПС в банке не было, а лицензию хочется
    С уважением,
    Robot

    "Быть получше худшего еще не значит быть хорошим"
    Публий Сир

  • #2
    А как Вы его (HSM) приобрели без лицензии?

    Комментарий


    • #3
      Robot
      Аккуратней! Ибо вопрос ставится с точностью до наоборот.
      Это ФАПСИ по вашей заявке, если будет все в порядке, любезно разрешает приобрести (или даже ввезти в страну) HSM конкретной модели, а также заниматься с ним подобающей деятельностью. Лицензия Агенства и будет основой правомерности.
      В доках МПС вряд ли, там просто требование по использованию аппаратного модуля. Я надеюсь не собираетесь удивить ФАПСИ новым устройством, а по общепризнанным они не должны шибко придираться.

      Комментарий


      • #4
        asnik
        Ибо вопрос ставится с точностью до наоборот.
        Немного поясню, почему все встало с ног на голову. Дело в том, что HSM в уважаемое учреждение попал вместе с технологическим решением ... так сказать в "нагрузку". Грубо говоря, железяку сдали в аренду в придачу к проданному софту (чтобы побыстрее и подешевле запуститься). Соответственно банк не запрашивал разрешения на ввоз HSM и не получал лицензию на эксплуатацию шифровальной техники. Кстати необходимость лицензирования эксплуатации HSM-ов уже обсуждалась на форуме и получила неоднозначные оценки: вроде как необязательно, но от греха подальше лучше лицензировать.
        Так бы и работал этот HSM, но в один прекрасный момент банк решил получить по полной программе лицензии ФАПСИ. Естественно в банке был проведен аудит всех работающих программно-аппаратных комплексов. И когда офицер ФАПСИ, увидев HSM, спросил - как это сюда попало и на основании чего работает, банк отправил офицера к арендодателю. Арендодатель (может быть) ввозил в страну HSM не как криптоустройство а как... скажем сетевую плату.
        МПС прекрасно знает об использовании данного технологического решения. Осталось дело за малым - легализовать "сетевую плату". Вот и ставится вопрос: как с помощью МПС "доказать" ФАПСИ, что "сетевая плата" - это HSM? и как на него получить лицензию по эксплуатации?
        В желании получить лицензию на эксплуатацию нет ничего криминального. Банк законов не нарушал. Он как раз стал инициатором приведения в порядок отношений с надзорным органом. А ФАПСИ скорее всего, встало в позу: а как “оно” сюда вообще попало, т.е. факт выдачи лицензии напрямую связывает с легальностью ввоза.
        Я думаю, что Арендодатель, как “честный мужчина” должен помочь банку в этом вопросе.

        Комментарий


        • #5
          угу, логично

          Комментарий


          • #6
            интересно чем кончится
            sincerely yours

            Комментарий


            • #7
              Дед Мороз
              В такой постановке задача неразрешима. Придется ставить все обратно с головы на ноги: запросить разрешение на ввоз и договориваться с "честным мужчиной" чтобы ввез вместо HSM, скажем сетевую плату, а по документам проходит как HSM.

              Комментарий


              • #8
                Orbestra
                Нет, вы не правы. Прав Дед Мороз. Именно так как он говорит.
                А именно: если уж попал HSM в банк не как криптосредство - необходимо (можно) без всякого мухлежа получить лицензию ФАПСИ на эксплуатацию несертифицированного им (ФАПСИ) оборудования.
                Прецеденты таких действий есть. В конце концов офицеры тоже хотят кушать.

                Комментарий


                • #9
                  Всем привет!
                  Я эту задачу уже решал -
                  легализовывал уже ввезенное оборудование и именно HSM.
                  Далее
                  офицеры в ФАПСИ взяток не берут,
                  а получать лицензию можно только через ввоз, причем с оплатой НДС, и оплату услуг таможни (вот кто кушает)
                  Могу посодействовать
                  Planner

                  Комментарий


                  • #10
                    Planner
                    офицеры в ФАПСИ взяток не берут
                    А кто говорил, что берут?!!!

                    Комментарий


                    • #11
                      3Card

                      В принципе Planner мою мысль подтвердил. А схемы "ввоза" м.б. разные. А вот какая может быть лицензиия от ФАПСИ на эксплуатацию криптоустройства им же (ФАПСИ) не сертифицированного совершенно непонятно.

                      Комментарий


                      • #12
                        Лицензируется только как "оборудование, предназначенное для авторизации пластиковых карт соласно требованиям международных платежных систем". Опять - таки рисуете схему, описания, пишете приказы, согласно представленным документам от сертификационного центра, всего-то штуки за 4000$
                        Planner

                        Комментарий


                        • #13
                          Orbestra
                          Сертификат и лицензия на эксплуатацию - разные вещи. Если бы ФАПСИ не оставило себе такую лазейку в Указе 334 - оно загнало бы всех (и себя в угол).
                          Тогда необходимо было бы:
                          - ликвидировать все компании сотовой связи GSM;
                          - ликвидировать все платежные системы с использованием чиповых и магнитных карт;
                          - выключить REUTERS и S.W.I.F.T и много чего другого.
                          Но ФАПСИ этого не делает. Потому что офицеры тоже хотят кушать.

                          Комментарий


                          • #14
                            Все правильно, сертификационный центр сертифицирует систему, а не лицензирует (это я промахнулс), лицензия нужна на ввоз. Но без лицензии нельзя нормально сертифицировать. Поэтому появляется необходимость заново ввезти. Кстати, если имеются требования международной системы, то ФАПСИ давет разрешение на ввоз несертифицированного оборудования.
                            Кстати, это они делают БЕСПЛАТНО. Деньги берут в департаменте нетарифного регулирования, при оформлении...
                            Planner

                            Комментарий


                            • #15
                              Planner
                              ФАПСИ лицензирует использование (эксплуатацию) несертифицированного им оборудования (и необязательно ввозимого, но уже и ввезенного, либо произведенного в РФ).
                              ФАПСИ также иногда сертифицирует произведенное в РФ оборудование (Вербы, Криптоны и пр.) и тогда лицензия на его использование уже не нужна.

                              Комментарий


                              • #16
                                Абсолютно верно
                                Planner

                                Комментарий


                                • #17
                                  Всем привет!

                                  Сильно поможете если скажете в каких доках VISA Int. сказано, что Racal это круто и все такое?

                                  Заранее благодарен, Robot
                                  С уважением,
                                  Robot

                                  "Быть получше худшего еще не значит быть хорошим"
                                  Публий Сир

                                  Комментарий

                                  Пользователи, просматривающие эту тему

                                  Свернуть

                                  Присутствует 1. Участников: 0, гостей: 1.

                                  Обработка...
                                  X