Bankir.Ru
11 декабря, воскресенье 14:55

Объявление

Свернуть
Пока нет объявлений.

Практическое лицензирование СКЗИ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Практическое лицензирование СКЗИ

    Коллеги, наш банк озаботился лицензированием СКЗИ...
    В качестве пробного шара решено пройти этот путь на примере активно эксплуатируемой Вербы, а потом повторить данный процесс для СКЗИ, применяемых в системе дистанционного банковского обслуживания.

    Для справки: совместное лицензирование криптозащиты для обоих направлений позволит сэкономить немногим больше килорубля, но вполне возможно увеличит продолжительность процедуры.

    Огромная просьба тем, кто эту гнусность уже прошел - поделитесь разработанными в Ваших банках регламентами (нормативными документами) - уж очень не хочется тратить время на повторное изобретение велосипеда.
    Судя по всему там, как минимум, должны быть регламенты, описывающие:
    - механизмы допуска в помещение;
    - его (помещения) охраны;
    - хранения ключей от помещения и сейфов;
    - механизмы передачи, изготовления и возврата ключевого материала;
    - регламенты обучения и периодического тестирования персонала и ответственных лиц;
    - регламентирование мероприятий, направленных на обеспечение функционирования и безопасности СКЗИ и на безопасность информации, защищаемой этими СКЗИ.

    - возможно что-то еще, что я упустил при написании этого поста.

    Информация нужна, как обычно, вчера.

    e-mail просматривается регулярно.

    Спасибо дочитавшим до этого места.

    В случае случайного нестирания отправителем фамилий, наименований и другой конфиденциальной информации обязуюсь забыть ее сразу же на этапе прочтения.


    Александр

  • #2
    Уважаемый Александр.
    Обычно данную процедуру проходят через фирмы, которые специализируются на оказании таких услуг и за вас готовят все документы. И не надо изобретать велосипед. Цены там не такие уж сумасшедшие.
    С уважением.

    Комментарий


    • #3
      Sergey_Murugov
      Для определения объема документов надо как минимум представлять их названия, дабы представить руководству мотивацию к рекомендациям о предпочтительности того или иного решения, прикинуть трудозатраты, дабы то же самое руководство смогло оценить себестоимость изготовления этого своими силами.

      Как минимум нужен список документов с краткой расшифровкой содержимого.

      Да и я не думаю, что эти фирмы нормально опишут разбор конфликтных ситуаций.... тут я бы попытался обобщить опыт.

      А сумасшедшесть цены определяется суммой сопоставимой с 1-1,5 к$ за лицензию.

      В любом случае - благодарю за комментарий

      SY

      Комментарий


      • #4
        Уважаемый Александр.
        Две ремарки
        1. Насколько я помню при получении Лицензии первый раз требуется указание типа СКЗИ (в вашем случае Верба) далее вы вправе использовать все что сертифицированно ФАПСИ. Поэтому про второе СКЗИ лучше нигде не упоминать.
        2. Перечень бумажек - инструкций - регламентов определяется не вами, а лицензионным органом ФАПСИ/ФСБ и фирмы которые оказывают так называемые консультационные услуги все это знают.
        В любом случае "за спрос денег не берут". Обратитесь к ним и задайте все эти вопросы, а потом можите через "посредника" и не работать, но опыт показывает, что лучше заплатить и быстрее и хлопот меньше. Насколько я помню цена не зависит от числа лицензий, раньше ФАПСИ банкам выдавали так называемый "банковский комплект" кажется из трех лицензий.
        Желаю удачи.

        Комментарий


        • #5
          Уважаемый Сергей!
          Позволю себе прокомментировать.
          Спрос был, причем, насколько я понял чуть ли не в самом лицензирующем органе.
          Получен пространный документ, который содержит весьма общий перечень проблем, которые должны быть отражены в упомянутых документах. Этот перечень нуждается в полной реорганизации по задачам и направлениям. У меня получилось 4 регламента:
          - обеспечения режима секретности и сохранности железа и ключевого материала
          - регламент рабооты со СКЗИ (операции с ключами, разбоор конфликтов и тп)
          - регламент работы с занятым персоналом (ответственные и исполнители - обучение и тестирование, уровни ответственности)
          - регламенты обмена информацией (описание защищаемых каналов, разбор конфликтов и тп).

          Для того, чтоб убедить в необходимости заказа услуги оформления на стороне, надо оценить трудозатраты. Я вполне допускаю, что список не полон.

          Что касаетсявторого СКЗИ - при возникновении конфликтных ситуаций я не уверен, что отсутствие второго СКЗИ в лицензии не будет одним из немаловажных аргументов дискуссии.

          По поводу цены - оплачивается во первых каждая лицензия (как Вы справедливо отметили, их три штуки) в размере, если мне не изменяет память 300р, и оплачивается "рассмотрение заявления" в размере 1000р, помоему. Повторная процедура удваивает сумму, хотя на общем фоне это мелочи....

          Спасибо.

          Комментарий


          • #6
            2 ALL необходимы реквизиты Центра лицензирования и сертификации по защите гос.тайны ФСБ России для оплаты "рассмотрение заявления" на получение лицензии на использование СКЗИ

            Заранее спасибо
            Константин Ивашкин[/B]

            Комментарий


            • #7
              Реквизиты для оплаты рассмотрения заявления можно найти в письме своей налоговой или запросить у них.

              У нас балансовый не совпадал с указанными в письме. Главное - наименование (точнее его суть) счета в информ. письме налоговой "Доходы b>федерального/b> бюджета".

              В принципе можно позвонитьв ФСБ и попытаться уточнить. Меня оттуда переадресовали в налоговую.

              Удачного процесса.

              Комментарий


              • #8
                Читаю топик и удивляюсь вопросам. Работа в Центре ФСБ РФ по лицензированию, сертификации и защите гостайны (сейчас так называется), ИМХО, поставлена очень хорошо.

                Звоните, спрашиваете, Вам всё объясняют. Не ясно - звоните повторно. Если банк в Москве - вообще лучше договориться по телефону и приехать в гости. Центр находится в 1 мин. ходьбы от выхода из метро "Молодежная". И уже на месте по всем вопросам всё прояснить. С ручкой и бумагой, дабы всё записать.

                Единственный совет - не шифроваться и не прикидываться дурачком. Честно скажите какие СКЗИ и в каких прикладных решениях сейчас реально используете. Если что-то нелегитимное, типа ЛАН-Крипто или Экселенса - порекомендуют составить план и в течение года перейти на любое из существующих сертифицированных ФАПСИ СКЗИ.

                Благо сейчас не середина-конец 90-ых, когда господствовала одна единственая Верба с космическими ценами. Рынок предлагает с десяток хороших достойных сертифицированных решений на любой вкус и финансы.

                Мы (БИФИТ), например, выбрали и поставляем iBank 2 с уже встроенной сертифицированной ФАПСИ криптобиблиотекой "Крипто-Си". У наших коллег-конкурентов из БССа вариантов больше - Crypto-Pro, Message-Pro, Верба. Может еще что-то, не помню. Такая же ситуация и у других разработчиков систем электронного банкинга. В самодельный Банк-Клиент при наличие в банке разработчиков системы вообще нет вопросов встроить СКЗИ. Тем более с помощью разработчиков СКЗИ.

                Сбор за рассмотрение Заявления в Центре ФСБ России платится исключительно в федеральный бюджет в размере 300 руб. В случае БИФИТа (ГНИ 19)были:
                - КБК - 1020431
                - Получатель - УФК МФ РФ по г. Москве
                - Основание платежа - "ТП"
                - Тип пдатежа - "НС"
                - Налоговый период - МС.02.2004

                Но главное - КБК верный указать.

                Вчера (02.02.2004) сам лично платил (бухгалтера не было на месте, надо было срочно, поэтому платежку сам заполнял). Все реквизиты по уплате сбора можно смотреть на www.mosnalog.ru. Только выберите свою налоговую

                Что касается денег за консалтинг... Ну попробуйте сами разработать, сформулировать и написать все документы. Может в случае уважаемого Barklay'я так действиительно лучше. С другой стороны даже если пользоваться услугами консалтинговых компаний всё равно придется погружаться во все тонкости, что, как показывает опыт, всегда ОЧЕНЬ полезно. Ибо всех конкретных специфик конкретного банка консалтинговая компания знать не может.

                Кстати, ситуация с документами консалтинговых компаний мне до боли напоминает MBA в Гарварде - ничего супернового не узнаешь, но мозги вправляют в нужном направлении, всё по полочкам раскладывают. После чего становится всё ясно и понятно, как дважды-два
                С уважением, Репан Димитрий
                Компания "БИФИТ" - www.bifit.com

                Комментарий


                • #9
                  Barklay
                  Хорошо, что появилась такая тема. Скажите, что вас привело к тому, что ваш банк решил лицензировать СКЗИ ?..
                  Хотелось бы выяснить при каких условиях это обязательно и достаточные условия для того, что обойтись.. В том смысле, что это реальное нарушение, которое выявит любая проверка.
                  Ходят слухи, что пользование свифтом тоже надо будет лицензировать...
                  Мы тоже озадачены возникающими проблемами при использовании систем клиент-банк.

                  Комментарий


                  • #10
                    2 ALL
                    Вопрос поднятый в топике весьма интересный. И на сегодняшний день не имеет практически значимого ответа. Причина в следующем.
                    После формальной ликвидации ФАПСИ в прошлом году, система лицензирования как таковая с юридической точки зрения отсутствует. Постановлением правительства № 691 утверждены положения о лицензировании в соответствующих областях, но при этом в этих положениях (см. по тексту) лицензиаром (лицензирующим органом) явно определено ФАПСИ. В силу этого данные положения не действуют. Ситуацию можно было бы разрулить следующим образом. Первое - изменить положения о лицензировании целиком, но это длинный процесс согласования, второе - принять постановление правительства о о внесении изменений в положения, и или о передаче функций по лицензированию в ФСБ, ничего этого не сделано. В связи с этим все, что сейчас выдается от имени ФСБ нелегитимно. Глупо обвинять в этом само ведомство. Дело в том, что хотя Димитрий и пишет, что Центр находится в 1 мин. ходьбы от выхода из метро "Молодежная". , это не верно, сам центр находится подругому адресу, а на "Молодежной" всего лишь бывший центр лицензирования ФАПСИ. Эти ребята с удовольствием получат деньги и выдадут лицензию (иногда даже на бланке ФАПСИ), но юридической силы она не имеет. Точно также, как не имеет выданные в 2002-2003 годах несколько т.н. "временных разрешений на деятельность удостоверяющих центров".
                    Теперь, что касается того, что некоторые называют "нелегитимными средствами", спорить по этому поводу достаточно бесмысленно, но ИМХО "легитимность" определяется не по желанию отдельных личностей, или ведомств, а на основании действующего закона. Следовательно все средства Российского производства, присутствующие на рынке (и не удаляемые с него прокуратурой и антимонопольными комитетом) равно легитимны. Говорить о достоинствах "сертифицированности" по требованиям, имеющим гриф секретности, и не предъявляемым пользователям, по сравнению со средствами сертифицированными на соответствие стандартам (например "ЛАН Крипто") тоже достаточно смешно.
                    Теперь по сути. Банк, который правильно поставил дело не занимается производством, распространением и обслуживанием т.н. шифровальных средств (кстати СКЗИ это термин не связанный с шифровальными средствами юридически, это отдельная тема и грамотно писать именно о шифровальных средствах) лицензируемой деятельностью в крайнем случае занимается субподрядная организация. Банк, лишь эксплуатирует шифровальные средства на что (см. ФЗ) лицензия не нужна. Наличие же лицензии дает возможность еще одному контролирующему органу засунуть нос в ваш бизнес. А это очень сомнительное удовольствие. Именно поэтому многие организации предпочитают использовать средства "кодирования", "аутентификации" и т.д. но не шифровальные средства.
                    И последнее, в феврале, апреле и летом будут вноситься поправки в закон о лицензировании и с большой вероятностью, обсуждаемые виды деятельности вообще будут выведены из под лицензирования.

                    С уважением
                    Алексей Волчков[/B]

                    Комментарий


                    • #11
                      la5
                      Скажите, что вас привело к тому, что ваш банк решил лицензировать СКЗИ ?..
                      Читаем закон "О лицензировании отдельных видов деятельности" и узнаем, что техническое обслуживание и распространение шифровальных средств подлежат лицензированию. Равно как и оказание услуг в области шифрования.
                      Потом открываем КоАП и находим статьи (12.12 и 12.13, если склероз не изменяет) о наказаниях за оказание услуг без лицензий.
                      Думаем, готовы ли мы выжить в ситуации с конфискацией сервера (там сказано "конфискация шифровальных средств", но думаю очевидно, что вынесут просто все компы). Если мы не хотим такой ситуации, то выходов два:
                      - пуститься в юридическую казуистику, пытаясь доказать соотв. органам, что это не шифрование и не криптография, а "коды подтверждения достоверности", "кодирование" и т.п. Если любите экстрим и имеете крутых юристов - пожалуйста
                      - получить лицензии. Цена вопроса: 300 рублей за заявление, по 1000 за каждый бланк лицензии, ну а стоимость экспертизы - договорная. Если голова на плечах, в 2 килобакса уложиться легко. Согласитесь, небольшие деньги за спокойствие и приведенную по ходу пьесы в порядок систему информационной безопасности банка.
                      Earl Vlad Drakula. ///

                      Комментарий


                      • #12
                        2 ALL
                        Вопрос поднятый в топике весьма интересный. И на сегодняшний день не имеет практически значимого ответа. Причина в следующем.
                        После формальной ликвидации ФАПСИ в прошлом году, система лицензирования как таковая с юридической точки зрения отсутствует. Постановлением правительства № 691 утверждены положения о лицензировании в соответствующих областях, но при этом в этих положениях (см. по тексту) лицензиаром (лицензирующим органом) явно определено ФАПСИ. В силу этого данные положения не действуют. Ситуацию можно было бы разрулить следующим образом. Первое - изменить положения о лицензировании целиком, но это длинный процесс согласования, второе - принять постановление правительства о о внесении изменений в положения, и или о передаче функций по лицензированию в ФСБ, ничего этого не сделано. В связи с этим все, что сейчас выдается от имени ФСБ нелегитимно. Глупо обвинять в этом само ведомство. Дело в том, что хотя Димитрий и пишет, что Центр находится в 1 мин. ходьбы от выхода из метро "Молодежная". , это не верно, сам центр находится подругому адресу, а на "Молодежной" всего лишь бывший центр лицензирования ФАПСИ. Эти ребята с удовольствием получат деньги и выдадут лицензию (иногда даже на бланке ФАПСИ), но юридической силы она не имеет. Точно также, как не имеет выданные в 2002-2003 годах несколько т.н. "временных разрешений на деятельность удостоверяющих центров".
                        Теперь, что касается того, что некоторые называют "нелегитимными средствами", спорить по этому поводу достаточно бесмысленно, но ИМХО "легитимность" определяется не по желанию отдельных личностей, или ведомств, а на основании действующего закона. Следовательно все средства Российского производства, присутствующие на рынке (и не удаляемые с него прокуратурой и антимонопольными комитетом) равно легитимны. Говорить о достоинствах "сертифицированности" по требованиям, имеющим гриф секретности, и не предъявляемым пользователям, по сравнению со средствами сертифицированными на соответствие стандартам (например "ЛАН Крипто") тоже достаточно смешно.
                        Теперь по сути. Банк, который правильно поставил дело не занимается производством, распространением и обслуживанием т.н. шифровальных средств (кстати СКЗИ это термин не связанный с шифровальными средствами юридически, это отдельная тема и грамотно писать именно о шифровальных средствах) лицензируемой деятельностью в крайнем случае занимается субподрядная организация. Банк, лишь эксплуатирует шифровальные средства на что (см. ФЗ) лицензия не нужна. Наличие же лицензии дает возможность еще одному контролирующему органу засунуть нос в ваш бизнес. А это очень сомнительное удовольствие. Именно поэтому многие организации предпочитают использовать средства "кодирования", "аутентификации" и т.д. но не шифровальные средства.
                        И последнее, в феврале, апреле и летом будут вноситься поправки в закон о лицензировании и с большой вероятностью, обсуждаемые виды деятельности вообще будут выведены из под лицензирования.

                        С уважением
                        Алексей Волчков[/B]

                        Комментарий


                        • #13
                          Alexei Volchkov
                          лицензируемой деятельностью в крайнем случае занимается субподрядная организация.
                          Алексей, это замечательная идея, но организационно-технически ее сложно сделать. Закулючит банк с ООО "Солнышко" (лицензиатом) договор на тех. обслуживание сети конф. связи (сервера Клиент-Банк и клиентских рабочих мест), а также на распространение СКЗИ. Но ведь открытый ключ (забудем пока про з-н об ЭЦП с его сертификатами) клиент все равно должен в банк тащить? Кроме того, бедному клиенту для заключения договора надо прийти в банк, потом для получения СКЗи придется обращаться в "Солнышко", а потом сгенерировать ключики и снова идти в банк. Плюс в такой схеме (разные юрлица) проблематично передавать СКЗИ клиенту бесплатно.
                          Одним словом, лучше уж до конца стоять, что "это - не шифровальные средства!"

                          И последнее, в феврале, апреле и летом будут вноситься поправки в закон о лицензировании и с большой вероятностью, обсуждаемые виды деятельности вообще будут выведены из под лицензирования.
                          Интересная информация. Если не военная тайна, откуда дровишки?

                          А вообще, если это произойдет, то непонятно, радоваться или наоборот. С одной стороны, меньше заморочек. С другой - хлынет куча студенческих поделок, занимающихся "шифрацией и криптованием". А поскольку далеко не все могут отличить нормальный продукт от snake oil, будет веселуха.
                          Earl Vlad Drakula. ///

                          Комментарий


                          • #14
                            hugevlad
                            Спасибо за ответ.. Мой вопрос исходил от того, насколько "многоэшелонной должна быть оборона кассового узла - может наличность в кассе того не стоит".. Мне кажется, тут надо работать юристам.
                            Что касается того, что это, по ходу, приведет в порядок сопутствующие службы - это действительно здорово.

                            Теперь по поводу "Солнышка". Ведь это удобно. Предположим, вы крупный банк с филиалами по всей стране, и вам либо лицензировать каждое отделение или все равно ехать в головную контору.. Ежели вы хотите иметь десяток другой дистанционных клиентов - придется организовывать службу, которая не окупится, а будет обеспечивать спокойствие.

                            Где бы найти перечень пред"являемых требований, для получения лицензий?

                            Комментарий


                            • #15
                              la5
                              Выдержка из положения о лицензировании деятельности по обслуживанию


                              4. Лицензионные требования и условия:
                              4.1. Соблюдение законодательства Российской Федерации, экологических, санитарно-эпидемиологических, гигиенических, противопожарных норм и правил.
                              4.2. Выполнение требований нормативных правовых актов, методических документов, регламентирующих осуществление лицензируемого вида деятельности, издаваемых ФАПСИ.
                              4.3. Наличие условий, обеспечивающих сохранность конфиденциальности информации, ставшей известной или доверенной лицензиату в процессе осуществления лицензируемого вида деятельности.
                              4.4. Согласование с ФАПСИ предполагаемых к использованию при осуществлении лицензируемого вида деятельности типов шифровальных (криптографических) средств (с предоставлением технической документации и/или образцов шифровальных (криптографических) средств, которые не имеют сертификата ФАПСИ).
                              4.5. Шифровальные (криптографические) средства иностранного производства должны быть ввезены на территорию Российской Федерации на основании отдельного решения ФАПСИ по лицензии федерального органа исполнительной власти, на который Правительством Российской Федерации непосредственно возложены координация и регулирование внешнеторговой деятельности. При осуществлении лицензируемого вида деятельности в отношении шифровальных (криптографических) средств иностранного производства лицензиат обязан предоставлять по отдельным запросам лицензирующего органа образцы этих средств, а также нормативно - эксплуатационную документацию, определяющую их состав и условия эксплуатации, с легализованным переводом на русский язык.
                              4.6. Наличие системы поэкземплярного учета шифровальных (криптографических) средств, технической, технологической и эксплуатационной документации к ним.
                              4.7. Объекты, используемые при осуществлении лицензируемого вида деятельности, должны удовлетворять следующим условиям:
                              - объекты, используемые для осуществления лицензируемого вида деятельности лицензиата должны принадлежать лицензиату на правах собственности, находиться в аренде, хозяйственном ведении или оперативном управлении;
                              - помещения для проведения работ по лицензируемому виду деятельности должны соответствовать по производственной площади, состоянию и обеспечиваемым в них условиям (температура, влажность, чистота воздуха, освещенность, защита от излучений магнитного, электрического и других полей, снабжению электроэнергией, воздухом, теплом и т.д.) требованиям технической и нормативной документации, регламентирующей порядок проведения соответствующих работ.
                              - размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены шифровальные средства, предназначенные для осуществления функций по техническому обслуживанию шифровальных (криптографических) средств, должны обеспечивать безопасность шифровальных (криптографических) средств и исключения неконтролируемого доступа к ним (при наличии факторов облегченного физического проникновения, окна оборудуются металлическими решетками, ставнями, охранной сигнализацией, входные двери - надежными замками и охранной сигнализацией);
                              - хранение отдельных узлов и блоков, инсталляционных дискет, дистрибутивов программных и программно-аппаратных шифровальных (криптографических) средств, нормативной и эксплуатационной документации к ним, должно осуществляться в металлических шкафах (хранилищах, сейфах), оборудованных внутренними замками с двумя экземплярами ключей; дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного лица, назначенного руководством лицензиата;
                              - испытательное и контрольно-измерительное оборудование должно соответствовать требованиям технической и технологической документации; все оборудование должно содержаться в условиях, обеспечивающих его сохранность и защиту от повреждения;
                              - испытательное оборудование и средства измерения должны быть обеспечены аттестацией и поверкой;
                              - оборудование должно быть исправным, техническое состояние его должно периодически контролироваться; для оборудования, требующего периодического технического обслуживания должны быть разработаны и утверждены графики по техническому обслуживанию;
                              - каждая единица используемого оборудования и средств измерения должна быть зарегистрирована по соответствующей форме (лист, карта и др.);
                              - средства обработки информации, предназначенные для осуществления лицензируемого вида деятельности и автоматизированного учета, должны быть аттестованы в соответствии с требованиями по защите информации.
                              4.8. Наличие разработанной лицензиатом нормативной и методической базы, регламентирующей порядок осуществления лицензируемого вида деятельности:
                              - приказов или иных распорядительных документов лицензиата, устанавливающих полномочия должностных лиц, ответственных за разработку и практическое внедрение мероприятий по организации работ по лицензируемому виду деятельности, обеспечению функционирования и безопасности используемого при этом оборудования и средств;
                              - приказов, определяющих порядок допуска лиц к выполнению конкретные работ и услуг, составляющих лицензируемый вид деятельности;
                              - инструкций, разработанных с учетом специфики и конкретных условий функционирования лицензиата, регламентирующих допуск в помещения, в которых размещены или хранятся шифровальные (криптографические) средства, и обеспечение режимных требований в них;
                              - практическое осуществление конкретных работ и услуг по лицензируемому виду деятельности должны быть отражены в специально разработанных организационно-распорядительных документах, утвержденных руководством лицензиата.
                              4.9. Наличие квалифицированного персонала:
                              - наличие у руководителя организации и (или) лица уполномоченного им руководить работами по лицензируемому виду деятельности, высшего образования и (или) профессиональной подготовки в области защиты информации, наличие знаний о принципах обеспечения безопасности информации с применением шифровальных (криптографических) средств, о роли и месте организационных и правовых мер в обеспечении информационной безопасности, о правовых режимах конфиденциальной информации, о методах и средствах защиты информации;
                              - наличие у лиц, руководящих работами по лицензируемому виду деятельности высшее техническое образование и (или) профессиональной подготовки в области защиты информации, знаний и практических навыков по проверке работоспособности шифровальных (криптографических) средств, организации их учета; хранения и доставки, работе со средствами вычислительной техники;
                              - наличие у лиц, выполняющих конкретные работы по лицензируемому вида деятельности, образования и (или) профессиональной подготовки, соответствующей выполняемым работам;
                              - наличие стажа в области защиты информации для руководящих работников не менее трех лет.


                              Типовые требования

                              Приложение №1



                              Типовые требования
                              к предприятиям на право осуществления деятельности в области защиты информации, предъявляемые ФАПСИ

                              К заявителям на право получения лицензий предъявляются нормативно-правовые требования, а также требования по:

                              уровню квалификации и требуемой номенклатуре профессий персонала;
                              технической и технологической оснащенности и производственным помещениям;
                              наличию режимного секретного органа и обеспечению охраны материальных ценностей и секретов заказчика (при необходимости, в зависимости от лицензируемого вида деятельности).
                              1. Нормативно-правовые требования

                              1.1. Предприятия, получающие лицензию ФАПСИ на разработку и производство средств криптографической защиты информации (СКЗИ), в обязательном порядке (если это особо не оговорено разрешительной частью лицензии) реализуют криптографические алгоритмы, являющиеся государственными стандартами либо утвержденные постановлением Правительства Российской Федерации, либо рекомендуемые ФАПСИ к реализации для шифртехники соответствующего типа и класса.

                              1.2. Все изделия, предназначенные для государственных структур или для обработки информации, содержащей сведения, составляющие государственную тайну, разрабатываемые, производимые и реализуемые предприятиями, имеющими лицензию ФАПСИ на соответствующий вид деятельности, должны проходить испытания по требованиям безопасности, осуществляемые только сертификационными испытательными лабораториями (центрами), аккредитуемыми для этих целей ФАПСИ. Не допускается производство и реализация изделий, не имеющих сертификата, подтверждающего их соответствие требованиям безопасности.

                              1.3. Технические решения, используемые в разрабатываемых и производимых СКЗИ, должны предусматривать реализацию протоколов разных уровней, позволяющих включить данное СКЗИ, а также сети и системы, построенные на его базе, в общегосударственные сети и системы.

                              1.4. Предприятия, получающие лицензию ФАПСИ, представляют в ФАПСИ ежегодный отчет о своей деятельности, отражающий ход разработки, производства и реализацию изделий, их технические и технико-экономические характеристики, количество и качество осуществленных мероприятий и предоставленных услуг.

                              1.5. Предприятия обязаны допускать сотрудников ФАПСИ, имеющих соответствующие полномочия, на свою территорию и снабжать этих сотрудников всей необходимой, по представлению ФАПСИ, информацией.

                              1.6. Предприятия, нарушающие действующее законодательство Российской Федерации, нормативные акты, регламентирующие порядок лицензирования деятельности и порядок сертификации продукции, продукция которых не соответствует требованиям безопасности, не соблюдающие режимные требования и другие положения настоящих требований, лишаются выданных им лицензий.

                              1.7. Лицензия на деятельность по сертификации СКЗИ по требованиям безопасности может быть выдана только предприятиям, являющимся специализированными организациями. Требования к таким предприятиям определяются "Положением о сертификационном испытательном центре СКЗИ".

                              1.8. Для выполнения работ по видам деятельности, на которые выдается лицензия, предприятия с согласия ФАПСИ могут привлекать на правах субподряда другие предприятия, как правило, также имеющие лицензию на данный вид деятельности.

                              1.9. Лицензиаты несут юридическую и финансовую ответственность за полноту и качество выполнения работ и обеспечение сохранности государственных и коммерческих секретов, доверенных им в ходе практической деятельности.

                              2. Требования по технической и технологической оснащенности и производственным помещениям

                              2.1. Каждый определенный в заявке вид работ должен быть обеспечен соответствующими производственными мощностями и площадями, техническими средствами измерений и контроля, технологической оснасткой и инструментом.

                              Предприятие должно располагать современными информационно-вычислительными комплексами, оснащенными развитыми аппаратными и программными средствами.

                              2.2. Обеспечение техническими средствами должно по объему и качеству соответствовать действующим на момент заявления нормативно-методическим материалам. Каждое аппаратное и программное средство должно быть в полном объеме снабжено соответствующей документацией.

                              2.3. Каждое техническое средство должно быть зарегистрировано и аттестовано на возможность его эксплуатации в заявленной области, а каждое специализированное помещение должно иметь заключение на возможность проведения в нем определенных работ (аттестовано) с учетом режимных требований и возможных аппаратных и программных закладок.

                              Специальная техника, предназначенная для выявления электронных устройств перехвата информации, должна иметь аттестат ФАПСИ.

                              2.4. Все технические средства должны быть обеспечены возможностью ремонта. Для аппаратуры, требующей периодического технического обслуживания, должны иметься соответствующие инструкции и графики технического обслуживания. Все оборудование и контрольно-измерительная аппаратура должны содержаться в условиях, обеспечивающих их сохранность и защиту от повреждений.

                              2.5. Предприятия, занимающиеся разработкой, производством и исследованиями средств шифрования, должны располагать отладочными стендами, позволяющими осуществлять моделирование работы разрабатываемой, производимой или исследуемой аппаратуры, съем необходимой информации с различных точек аппаратуры в произвольный момент времени ее работы.

                              2.6. Для разработчиков и изготовителей аппаратуры необходимо наличие оснащенного опытного производства либо партнера, на условиях аренды предоставляющего мощности своего опытного производства.

                              2.7. Должны быть определены партнеры, осуществляющие поставку элементной базы и отдельных комплектующих изделий для предприятия.

                              2.8. Предприятие должно располагать своими возможностями для проведения ремонтно-восстановительных работ. При необходимости возможно использование мощностей других организаций на условиях аренды при соблюдении соответствующих режимных требований.

                              2.9. Помещения предприятия по своим производственным площадям, оборудованию их специальными средствами и обеспечиваемым в них условиям (температура, влажность, чистота воздуха, освещенность, звуко- и виброизоляция, защита от излучений магнитного, электрического и других полей, снабжение электроэнергией, воздухом, теплом и т.д.) должны соответствовать требованиям применяемых методик по заявляемому направлению деятельности, санитарным нормам и правилам, требованиям безопасности труда и охраны окружающей среды.

                              2.10. Должен контролироваться и регламентироваться доступ в различные помещения для проведения работ.

                              3. Требования по уровню квалификации специалистов

                              3.1. Предприятие должно располагать штатом сотрудников, количественный состав, профессиональная подготовка, опыт работы и квалификация которых должны быть на уровне, позволяющем решать весь комплекс задач по заявляемым видам деятельности.

                              Расстановка кадров должна быть закреплена в соответствующей организационной структуре предприятия и требуемой номенклатуре профессий, утвержденных его руководителем. Уровень квалификации каждого специалиста должен быть подтвержден документально.

                              3.2. Для каждого структурного подразделения и каждого специалиста должны быть определены функциональные обязанности, изложенные в документальной форме, устанавливающие круг решаемых задач, возлагаемые функции, права, обязанности, ответственность и требования по режиму секретности для данной категории подразделений и специалистов. Для специалистов должны быть изложены конкретные требования по образованию, техническим знаниям и опыту работы.

                              Каждый сотрудник обязан знать и выполнять указанные должностные требования.

                              3.3. При проведении специальной экспертизы заявителя экспертная комиссия проводит выборочную аттестацию сотрудников по оценке их уровня квалификации.

                              3.4. При отсутствии на предприятии требуемых специалистов должны быть представлены документы, подтверждающие возможности привлечения сотрудников других предприятий и организаций для выполнения отдельных работ.

                              3.5. Специалисты предприятия должны иметь опыт практической работы в заявляемой области, периодически повышать свою квалификацию, осваивать смежные профессии по профилю своей деятельности.

                              3.6. На предприятии должна быть предусмотрена и иметься возможность обеспечения повышения уровня квалификации персонала.

                              3.7. Руководитель предприятия или лица, уполномоченные на руководство заявленными видами работ, должны иметь опыт работы в сфере защиты информации не менее 5 лет, руководители среднего звена - не менее 2 лет.

                              3.8. Специалисты предприятий должны знать:

                              основные руководящие документы по разработке, производству, эксплуатации и реализации средств криптографической защиты данных, по обеспечению защиты информации и оценке ее качества, по выявлению технических средств скрытого съема информации как в государственных организациях и учреждениях, так и негосударственных структурах;
                              основы криптографии и инженерной криптографии;
                              устройство, технические характеристики, принципы работы различных типов шифровальных средств и работающих с ними совместно технических средств (по направлениям работы); основные системотехнические и схемотехнические решения, архитектурно-логическое и конструктивное построение средств и систем криптографической защиты информации;
                              методы проектирования и разработки, особенности производства шифровальных средств;
                              возможные каналы утечки секретной информации при ее обработке, передаче и хранении с использованием СКЗИ. Методы исследования шифровальной аппаратуры и работающего совместно с ней оборудования;
                              принципы работы и технические характеристики необходимой измерительной, контрольной и испытательной аппаратуры, средств и комплексов вычислительной техники, используемых при разработке, производстве, исследованиях и испытаниях СКЗИ;
                              основные методы и средства контроля и специальной защиты СКЗИ. Методы и методики специальных исследований;
                              возможные каналы утечки информации из помещений и технических средств, причины их возникновения, необходимое аппаратурное оснащение для защиты информации и контроля ее защищенности;
                              перспективы и направления развития средств криптографической защиты информации и технических средств информатики.
                              3.9. Специалисты предприятий должны уметь:

                              пользоваться на практике всем имеющимся и требуемым методическим инструментарием, включая и использование различных информационно-вычислительных комплексов;
                              проводить полный цикл разработки, производства или исследований СКЗИ по требованиям безопасности;
                              планировать проводимые работы, рассчитывать потребные для этого ресурсы, временные и материальные затраты;
                              планировать и организовывать мероприятия по обеспечению информационной безопасности объектов и защите технических средств от утечки;
                              определять состав и структуру защиты информации, ее организационное и аппаратное обеспечение, выявлять возможные каналы утечки информации, определять характеристики и параметры контролируемых помещений и технических средств и проводить их анализ;
                              самостоятельно готовить отчетные материалы по результатам проведенной работы;
                              взаимодействовать со специалистами других предприятий и организаций, государственных органов по лицензированию.
                              4. Требования по режиму секретности и охране

                              4.1. При использовании в процессе осуществления лицензируемой деятельности информации, содержащей сведения, составляющие государственную тайну, предприятие должно иметь лицензию (разрешение) на допуск к работам со сведениями, составляющими государственную тайну.

                              4.2. В целях обеспечения сохранности материальных ценностей заказчика и его коммерческих и других секретов, а также обеспечения заявителя секретной нормативно-методической документацией на предприятии должен быть предусмотрен режимно-секретный орган (орган обеспечения безопасности информации) и обеспечена надежная охрана. Допускается отсутствие у заявителя собственных указанных служб при условии обеспечения его услугами таких служб предприятием, у которого арендуются помещения.

                              4.3. Размещение, охрана и специальное оборудование помещений, в которых установлены технические средства разработки, производства и хранятся документы, должны обеспечивать их сохранность и невозможность не контролированного проникновения в эти помещения, прослушивания ведущихся там переговоров и просмотра помещений посторонними лицами.

                              Такие помещения должны находиться в контролируемой зоне, иметь прочные входные двери, на которые устанавливаются автоматические замки. Двери и окна оборудуются охранной сигнализацией. Окна на первых и последних этажах зданий, а также рядом с балконами, пожарными лестницами оборудуются внутренними металлическими решетками.

                              4.4. В отдельные помещения должен быть реализован доступ с использованием автоматизированных систем контроля и разграничения полномочий.

                              4.5. Для хранения секретных документов должны устанавливаться надежные металлические шкафы с двумя комплектами ключей.

                              4.6. По окончании рабочего дня помещения, в которых проводятся работы с секретными материалами, опечатываются, а те из них, которые отнесены к наиболее важным участкам, ставятся на сигнализацию, извещатели которой должны выходить на пост ведомственной или вневедомственной охраны.

                              4.7. Секретное делопроизводство должно быть организовано и осуществляться в соответствии с нормативными документами.



                              Пример лицензии



                              ЛИЦЕНЗИЯ
                              Регистрационный № ЛФ/06 -1023 от "02" марта 2000 г.
                              Действительна до "01" марта 2003 г.
                              Федеральное агентство правительственной связи и информации при Президенте Российской Федерации
                              Предоставляет обществу с ограниченной ответственностью коммерческий банк "ПЛАТИНА"(наименование юридического лица), 113035, г. Москва, ул. Садовническая, д. 13(местонахождение юридического лица)
                              право осуществлять деятельность по техническому обслуживанию шифровальных средств, предназначенных для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну, при ее обработке, хранении и передаче по каналам связи, в его платежной системе электронных платежей "CyberPlat - ASSIST" типа "Банк-Клиент".
                              ОСОБЫЕ УСЛОВИЯ ЛИЦЕНЗИИ:
                              1. Лицензия предоставляет право обществу с ограниченной ответственностью коммерческий банк "ПЛАТИНА" осуществлять деятельность с использованием шифровальных средств (средств криптографической защиты информации), сертифицированных ФАПСИ по уровню защиты информации "С". Перечень шифровальных средств, а также состав работ и услуг по указанному в лицензии виду деятельности согласуются с ФАПСИ.
                              2. Действие лицензии распространяется только на Департамент платежных средств "КиберПлат" общества с ограниченной ответственностью коммерческий банк "ПЛАТИНА", расположенный по адресу: 113035, г. Москва, ул. Садовническая, д. 13.
                              3. Лицензия дает право пользователям платежной системы электронных платежей "CyberPlat - ASSIST" типа "Банк-Клиент" общества с ограниченной ответственностью коммерческий банк "ПЛАТИНА" осуществлять техническое обслуживание сертифицированных ФАПСИ шифровальных средств, приобретенных у организаций, имеющих лицензии ФАПСИ на распространение шифровальных средств, на основании заключенных ими с обществом с ограниченной ответственностью коммерческий банк "ПЛАТИНА" договоров, без получения отдельных лицензий ФАПСИ.
                              В указанных договорах должны быть установлены обязанности сторон по обеспечению безопасности при техническом обслуживании шифровальных средств, а также содержаться обязательства пользователей платежной системы электронных платежей "CyberPlat - ASSIST" типа "Банк-Клиент" общества с ограниченной ответственностью коммерческий банк "ПЛАТИНА" использовать предоставленные шифровальные средства только в названной системе без права их продажи или передачи каким-либо другим способом иным физическим и юридическим лицам, обеспечивать возможность контроля со стороны федеральных органов правительственной связи и информации за соблюдением требований и условий осуществления лицензионной деятельности.
                              Лицензия не освобождает общество с ограниченной ответственностью коммерческий банк "ПЛАТИНА" и пользователей его платежной системы электронных платежей "CyberPlat - ASSIST" типа "Банк-Клиент" от необходимости получения отдельных лицензий ФАПСИ на право технического обслуживания шифровальных средств в других системах.
                              4. Техническое обслуживание сертифицированных ФАПСИ шифровальных средств должно осуществляться в соответствии с условиями сертификатов на данные шифровальные средства.
                              5. Право технического обслуживания в части установки (инсталляции) сертифицированных ФАПСИ шифровальных средств в платежной системе электронных платежей "CyberPlat - ASSIST" типа "Банк-Клиент" общества с ограниченной ответственностью коммерческий банк "ПЛАТИНА" предоставляется его сотрудникам, прошедшим соответствующую подготовку по техническому обслуживанию конкретных шифровальных средств. Допуск сотрудников осуществляется на основании приказов по обществу с ограниченной ответственностью коммерческий банк "ПЛАТИНА".
                              6. Предоставление прав на занятие указанным в лицензии видом деятельности филиалам и представительствам общества с ограниченной ответственностью коммерческий банк "ПЛАТИНА" осуществляется в соответствии с отдельным решением ФАПСИ.
                              7. Вхождение общества с ограниченной ответственностью коммерческий банк "ПЛАТИНА" в объединения, союзы или ассоциации с другими организациями для осуществления указанного в лицензии вида деятельности согласуется с ФАПСИ.
                              8. Открытие зарубежных филиалов и представительств общества с ограниченной ответственностью коммерческий банк "ПЛАТИНА" для осуществления указанного в лицензии вида деятельности согласуется с ФАПСИ.
                              9. Общество с ограниченной ответственностью коммерческий банк "ПЛАТИНА" обязано обеспечивать конфиденциальность информации, доверенной ему в ходе практической деятельности в рамках лицензии.
                              10. Контроль за выполнением требований и условий осуществления разрешенного лицензией вида деятельности и условий сертификатов на шифровальные средства осуществляют федеральные органы правительственной связи и информации.
                              11. Общество с ограниченной ответственностью коммерческий банк "ПЛАТИНА" обязано ежегодно представлять в Лицензионный и сертификационный центр ФАПСИ сведения о составе пользователей его платежной системы электронных платежей "CyberPlat - ASSIST" типа "Банк-Клиент" и обобщенные сведения о деятельности в рамках лицензии.

                              Заместитель генерального директора
                              Федерального агентства

                              В.А.Пярин

                              Настоящая лицензия внесена "02" марта 2000 г. в Государственный реестр лицензий Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

                              Начальник отдела Лицензионного и
                              сертификационного центра ФАПСИ

                              А.Н.Ковалев





                              ЛИЦЕНЗИЯ
                              Регистрационный № ЛФ/07-2154 от 26 ноября 2001 г.
                              Действительна до 26 ноября 2004 г.
                              Федеральное агентство правительственной связи и информации при Президенте Российской Федерации предоставляет
                              (наименование юридического лица
                              закрытому акционерному обществу
                              "Московское отделение Пензенского научно-исследовательского электротехнического института"
                              (местонахождение юридического лица
                              127018, г. Москва, ул. Образцова, д. 38
                              право осуществлять деятельность по техническому обслуживанию шифровальных средств:
                              1. Монтаж, наладка, установка, сервисное обслуживание, ремонт шифровальных средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну.
                              2. Монтаж, наладка, установка, сервисное обслуживание, ремонт защищенных с использованием шифровальных средств информационных систем, систем и комплексов телекоммуникаций, не связанных с обработкой сведений, составляющих государственную тайну.
                              3. Работы, связанные с выполнением правил пользования (инструкций), регламентирующих техническое (сервисное) обслуживание шифровальных средств в процессе контроля правильности их функционирования, распределения, смены и уничтожения криптографических ключей, восстановления сетей связи после компрометации ключей, обработки информации, не содержащей сведений, составляющих государственную тайну, обеспечения иных требований безопасности.
                              ОСОБЫЕ УСЛОВИЯ ЛИЦЕНЗИИ:
                              1. Действие лицензии распространяется только на сертифицированные ФАПСИ шифровальные средства.
                              2. Перечень шифровальных средств и порядок проведения работ по пунктам 1 и 2 лицензии согласуются с ФАПСИ.
                              3. Проведение работ по пункту 3 лицензии осуществляется только в рамках организованных закрытым акционерным обществом "Московское отделение Пензенского научно-исследовательского электротехнического института" систем электронного документооборота и сетей передачи данных.
                              4. Лицензия дает право пользователям систем электронного документооборота и сетей передачи данных закрытого акционерного общества "Московское отделение Пензенского научно-исследовательского электротехнического института" осуществлять работы, связанные с выполнением правил пользования при техническом обслуживании сертифицированных ФАПСИ шифровальных средств, приобретенных у организаций, имеющих лицензии ФАПСИ на распространение шифровальных средств, на основании заключенных ими с закрытым акционерным обществом "Московское отделение Пензенского научно-исследовательского электротехнического института" договоров, без получения отдельных лицензий ФАПСИ.
                              В указанных договорах должны быть установлены обязанности сторон по обеспечению безопасности при техническом обслуживании шифровальных средств, а также содержаться обязательства пользователей систем электронного документооборота и сетей передачи данных закрытого акционерного общества "Московское отделение Пензенского научно-исследовательского электротехнического института" использовать шифровальные средства только в соответствующих системах и сетях без права их продажи или передачи каким-либо другим способом иным физическим и юридическим лицам, обеспечивать возможность контроля со стороны федеральных органов правительственной связи и информации за соблюдением требований и условий осуществления лицензионной деятельности.
                              Лицензия не освобождает закрытое акционерное общество "Московское отделение Пензенского научно-исследовательского электротехнического института" и пользователей его систем электронного документооборота и сетей передачи данных от необходимости получения отдельных лицензий ФАПСИ на право осуществления работ, связанных с выполнением правил пользования при техническом обслуживании шифровальных средств в других системах.
                              5. Осуществление работ, связанных с выполнение правил пользования при техническом обслуживании сертифицированных ФАПСИ шифровальных средств, должно осуществляться в соответствии с условиями сертификатов на данные шифровальные средства.
                              6. Право проведения работ по пунктам 1 и 2 лицензии предоставляется сотрудникам закрытого акционерного общества "Московское отделение Пензенского научно-исследовательского электротехнического института", прошедшим соответствующую подготовку по техническому обслуживанию конкретных шифровальных средств. Допуск сотрудников осуществляется на основании приказов по закрытому акционерному обществу "Московское отделение Пензенского научно-исследовательского электротехнического института".
                              7. Проведение работ по указанному в лицензии виду деятельности в интересах иных государств, иностранных организаций и физических лиц в каждом конкретном случае осуществляется в соответствии с отдельным решением ФАПСИ.
                              8. Предоставление прав на занятие указанным в лицензии видом деятельности филиалам и представительствам закрытого акционерного общества "Московское отделение Пензенского научно-исследовательского электротехнического института" осуществляется в соответствии с отдельным решением ФАПСИ.
                              9. Вхождение закрытого акционерного общества "Московское отделение Пензенского научно-исследовательского электротехнического института" в союзы или ассоциации с другими организациями для осуществления указанного в лицензии вида деятельности согласуется с ФАПСИ.
                              10. Открытие зарубежных филиалов и представительств закрытого акционерного общества "Московское отделение Пензенского научно-исследовательского электротехнического института" для осуществления указанного в лицензии вида деятельности согласуется с ФАПСИ.
                              11. Привлечение закрытым акционерным обществом "Московское отделение Пензенского научно-исследовательского электротехнического института" субподрядчиков и соисполнителей для проведения конкретных работ по указанному в лицензии виду деятельности согласуется с ФАПСИ.
                              12. Закрытое акционерное общество "Московское отделение Пензенского научно-исследовательского электротехнического института" обязано обеспечить конфиденциальность информации, доверенной ему в ходе практической деятельности в рамках лицензии.
                              13. Контроль выполнения требований и условий осуществления указанного в лицензии вида деятельности осуществляют федеральные органы правительственной связи и информации.
                              14. Закрытое акционерное общество " Московское отделение Пензенского научно-исследовательского электротехнического института" обязано ежегодно представлять в Лицензионный и сертификационный центр ФАПСИ обобщенные сведения о деятельности в рамках лицензии.
                              Заместитель генерального директора Федерального агенства
                              В. А. Пярин

                              Настоящая лицензия внесена 26 ноября 2001 г. в Государственный реестр лицензий Федерального агенства правительственной связи и информации при Президенте Российской Федерации.
                              Начальник Лицензионного и сертификационного центра ФАПСИ
                              О. А. Беззубцев





                              В общем полная вешалка.

                              Алексей.

                              Комментарий


                              • #16
                                Alexei Volchkov
                                Спасибо, Алексей. Будем иметь представление.

                                Йо

                                Комментарий


                                • #17
                                  Уважаемый la5!

                                  Получив исчерпывающие картину с колокольни самого ярого и, IMHO, рьяного оппозиционера ФАПСИ и "борца за декмократию" , имеет смысл перестраховаться - то есть ознакомиться с мнением другой стороны - Центра ФСБ РФ по лицензированию, сертификации и защите гостайны.

                                  Если дело касается лично Вашей персоны, или Вы просто в академических целях интересуетесь текущей ситуацией, то чтением данного форума можно ограничиться.

                                  Ежели за Вашей спиной стоит организация в лице коммерческого банка, то имеет смысл не рисковать, не создавать мин замедленного действия, которые имеют привычку взрываться в самые неподходящие моменты, но проявить ответственность и всё-таки поинтересоваться мнением сотрудников Центра ФСБ РФ. Благо телефон в банке - не проблема. И уже потом - делать окончательные выводу - нужны Вашему банку Лицензии ФСБ или не нужны. Вот и всё.
                                  С уважением, Репан Димитрий
                                  Компания "БИФИТ" - www.bifit.com

                                  Комментарий


                                  • #18
                                    всё-таки поинтересоваться мнением сотрудников Центра ФСБ РФ.

                                    Интересоваться мнением органа, который получает деньги за "выполнение работ", о необходимости проведения оных работ дело заведомо бесмыссленное. Однозначно ответят, что надо и по полному профилю. Практика здесь такова. Не буду лукавить, если скажу, что потребители четко разделились на два лагеря (этак процентов по 50 в каждом). Первые получают дицензии и связанные с ними проблемы, вторые не получают лицензии и получают проблемы иного плана, которые впрочем легко решаются грамотным юристом. Первые же проблемы Вам придется тащить до прекращения действия лицензии. Крупные компании, такие, как Газпром, Росэнергоатом и др. приняли свои собственные стандарты на защиту информации, и пользуются ими (эти стандарты зарегистрированы в качествае ОСТ), Вы также можете их использовать.

                                    Алексей Волчков

                                    P.S. Если у кого имеет смысл спрашивать о необходимости лицензирования, то явно не у лицензиатов и лицензиара.

                                    Комментарий


                                    • #19
                                      отправил Волчков
                                      Не буду лукавить, если скажу, что потребители четко разделились на два лагеря (этак процентов по 50 в каждом).
                                      Полноте, барин! Да откуда ж ТАКИЕ цифры?! Описываемая Вами ситуация была лет 10..12 назад. В пору необузданной, романтической "демократии". Но давно всё уже поменялось. IMHO, 95% к 5% в лучшем, оптимистичном для Волчкова & K случае.

                                      95% банков-реалистов, которые давно приняли и соблюдают предложенные государством законы, ну а оставшиеся 5% находятся в состоянии выбора, питая иллюзии пободаться с государевой махиной, и внимающие провокационным речам "борцов за демократию".

                                      Или мало примера полуторагодовой давности, кажись, с новороссийским филиалом одного из известных российских банков?! Так там был самый мягкий из мягких вариантов развития событий.

                                      Но сейчас ФАПСИ полностью влилось в ФСБ РФ (за исключением эксплутационщиков-спецсвязистов, перешедших в ФСО). А в руководстве ФСБ не математики-теоретики, а контрразведчики-практики с еще той, советской (в хорошем смысле) школой менеджмента.

                                      В общем давно пора завязывать с агитационными говорильниками, митингами, всякими бредовыми революциями и полностью сконцентрироваться непосредственно на основном виде деятельности, на бизнесе, на работе...
                                      Последний раз редактировалось Димитрий; 16.02.2004, 19:34.
                                      С уважением, Репан Димитрий
                                      Компания "БИФИТ" - www.bifit.com

                                      Комментарий


                                      • #20
                                        Димитрий
                                        Для того чтобы оперировать цифрами надо ими владеть. Эмоциональными наездами ничего не решить. А цифры говорят в подтверждение отнюдь не Вашей позиции.
                                        За то что Вы не владеете вопросом говорит Ваш постинг. Вы пишите Описываемая Вами ситуация была лет 10..12 назад. Между прочим небезызвестный указ № 334 подписан только в 1995 году, а лет 10 назад, то есть в 1994 году, только была создана первая "приближенная к телу" фирма МО ПНИЭИ. Поэтому примерно до 1996 года на рынке (который нас интересует) было то самое разделение 95% процентов субъектов не имело лицензий, а 95% продуктов не имело сертификатов.
                                        Сейчас ситуация изменилась именно так, как я написал (это кстати можно промониторить через поставки крупных игроков "Диасофт", "BSS" и иже с ними).
                                        Я не учитываю, то что многие региональные банки работают на чем-то самописном или условно бесплатном, типа PGP. Между прочим цифры, близкие к приведенным мною были в отчетах Gartner Group и IDC.
                                        Поэтому, прежде, чем шашкой махать, предлагаю Вам ознакомиться с тематикой.

                                        Кстати Ваше невладение темой, приводит еще к одной по меньшей мере странной цитате - Или мало примера полуторагодовой давности, кажись, с новороссийским филиалом одного из известных российских банков?! Так там был самый мягкий из мягких вариантов развития событий. . Если Вы владеете полными данными о событии, то должны знать, что история классическим образом закончилась ничем.

                                        А в руководстве ФСБ не математики-теоретики, а контрразведчики-практики с еще той, советской (в хорошем смысле) школой менеджмента.
                                        И это говорит только об одном, что пригревать у себя бездельников-лицензиаторов от ФАПСИ, которые не решают основной задачи - обеспечения безопасности "правительственной связи", а только создают нездоровый имидж для всей организации они не будут.

                                        И последнее Вы абсолютно правы, когда пишите, что пора завязывать с агитационными говорильниками, митингами, всякими бредовыми революциями и полностью сконцентрироваться непосредственно на основном виде деятельности, на бизнесе, на работе.. Вот и сконцентрируйтесь на своей работе, и перестаньте засорять людям головы. А я сконцентрируюсь на своей. Кстати концентрация, поможет Вам избежать досадных проколов в Вашей работе, которые с завидной регулярностью проявляются (особенно в области безопасности Ваших решений).

                                        Алексей Волчков.

                                        Комментарий


                                        • #21
                                          отправил Волчков
                                          Если Вы владеете полными данными о событии, то должны знать, что история классическим образом закончилась ничем.
                                          Согласен - ничем существенным для руководителя того новороссийского филиала. Если не считать суда, нервов и штрафа в 200 МРОТов

                                          Вот и сконцентрируйтесь на своей работе, и перестаньте засорять людям головы. А я сконцентрируюсь на своей.
                                          Кто бы говорил
                                          С уважением, Репан Димитрий
                                          Компания "БИФИТ" - www.bifit.com

                                          Комментарий


                                          • #22
                                            Димитрий
                                            Опять эмоции и истерика по поводу 200 (ажно целых двухсот МРОТ). Да будет Вам известно, что это всего то 20 000 (всего двадцать тысяч) рублей. При цене лицензирования минимум 60 000, это можно проделывать трижды. А если бы банк озаботился юридической поддержкой - бесплатной (юрист свой у него должен быть), то ничего этого не было бы,а если бы банк был еще более грамотный, то представителей усопшего ведомства и на порог бы не пустил.

                                            Так что продолжайте концентрироваться, может Вы и сможете что-то сказать в области, где есть люди, гораздо компетентнее Вас.

                                            Алексей Волчков

                                            Комментарий


                                            • #23
                                              Алексай, я специально написал сумму штрафа в самом конце.

                                              Совершенно очевидно, что 20 тыс. руб., что 60 тыс. руб. - это деньги одного порядка. Это - по большому счету копейки с колокольни банковского бизнеса и ежемесячных банковских расходов.

                                              Вопрос как всегда не в деньгах. Деньги, как показывает опыт, это самый простой и самый дешевый бизнес-ресурс.

                                              Вопрос как раз в потерянном времени, в потраченных нервах и здоровье руководства, в потеряном темпе работы, в имидже банка.


                                              Повторюсь, каждый должен заниматься своим делом: банк - предоставлять финансовые услуги, разработчик - разрабатывать решения, ну а "борцы за демократию и свободу" - продолжать профессионально бороться и пропагандировать всем свои "профессиональные" консалтинговые услуги
                                              С уважением, Репан Димитрий
                                              Компания "БИФИТ" - www.bifit.com

                                              Комментарий


                                              • #24
                                                Димитрий
                                                Повторюсь, каждый должен заниматься своим делом: банк - предоставлять финансовые услуги, разработчик - разрабатывать решения, ну а "борцы за демократию и свободу" - продолжать профессионально бороться и пропагандировать всем свои "профессиональные" консалтинговые услуги

                                                Именно к этому и призываю. К тому же быть последовательным "борцом за демократию и свободу" , лучше, чем непоследовательным разработчиком. А профессиональные консалтинговые услуги ассоциация "РусКрипто" и я лично оказываем совершенно безвозмездно.

                                                Вот несколько примеров Вашей последовательности (цитаты из ваших постингов). Желающие могут найти все в этом форуме

                                                Я не предствляю себе банк, который бы использовал в своем Интернет-Банкинге сертифицированное ФАПСИ СКЗИ

                                                Действительно, как Лицензиат ФАПСИ я совершенно в курсе, что по нормативным документам должен вестись учет распространения СКЗИ

                                                Гриф секретности присутствует на документах ФАПСИ. Например на "Требованиях ФАПСИ к СКЗИ"

                                                В логику бизнеса такая "разрешительная" схема работы с сертифицированными СКЗИ вписывается плохо. Совершенно очевидны финансовые, временные и трудовые издержки банков на учеты, отчеты и т.д.

                                                Целесообразность получения самих Лицензий ФАПСИ для банков на вскидку вроде и не очевидна. Опять же финансовые, трудовые и временные затраты.

                                                Свой выбор мы остановили на ПБЗИ "Базис-защита" v.1.0 (Сертификат соответствия ФАПСИ № СФ/114-0334 от 26 мая 2000г.) разработки компании "Анкорт"

                                                Мы (БИФИТ), например, выбрали и поставляем iBank 2 с уже встроенной сертифицированной ФАПСИ криптобиблиотекой "Крипто-Си".


                                                Плюрализм в одной голове - шизофрения (С) М.М. Жванецкий

                                                Алексей.
                                                [/I]

                                                Комментарий


                                                • #25
                                                  Приёмы типа "космонавты и педерасты" давно взяты на вооружение профессиональным борцом Волчковым А.

                                                  Что касается встраивания в iBank различных сертифицированных ФАПСИ СКЗИ.

                                                  Сначала, в 2000 году в iBank 2 была встроена поддержка ПБЗИ "Базис-защита" v.1 разработки компании "Анкорт".

                                                  В конце 2002 года в связи с приближением окончания действия сертификата ФАПСИ на Базис-защиту, в iBank 2 была встроена поддержка новой версии СКЗИ от Анкорта - ПБЗИ "Базис-2000".

                                                  В августе 2003 года было принято решение о расширении поддержки в iBank 2 других СКЗИ. В конце 2003 года в iBank 2 была добавлена поддержка ПБЗИ "Крипто-Си" разработки компании "КриптоЭкс".

                                                  С технической точки зрения криптоиблиотека получилась чрезвычайно удачной. При разработке Крипто-Си были учтены особенности работы нативной криптобиблиотеки в многопоточных серверных приложениях на многопроцессорных серверах.

                                                  В Крипто-Си была добавлена криптография на эллиптических кривых - DHEC, новый ГОСТ на ЭЦП Р34.10-2001, была добавлена поддержка работы на процессорах SPARC.

                                                  Крипто-Си успешно прошла тестовые испытания и была сертифицирована ФАПСИ для работы на следующих платформах:
                                                  - x86 - Windows 95/98/Me/NT/2000/XP
                                                  - x86 - Linux, FreeBSD, Solaris, UnixWare, OpenServer
                                                  - SPARC - Solaris, Linux


                                                  Ну а в Форуме "Главный борец за демократию" бесится, что поделки от Волчкова&K не встраиваются в бифитовские решения

                                                  Получайте, борец Волчков, Лицензии ФСБ на работу с гостайной и на разработку СКЗИ, согласовывайте ТЗ, разрабатывайте СКЗИ (только студентов-первокурсников к программированию не привлекайте - задора и самоуверенности у них, как правило, много, а вот реального опыта программирования - чрезвычайно мало), проводите работы по оптимизации СКЗИ для серверных платформ, проводите независимые сертификационные испытания, получайте сертификат, принимайте конкурентную ценовую политику, и вперед - возможно тогда Ваше решение окажется реально, а не виртуально восстребованым рынком
                                                  Последний раз редактировалось Димитрий; 17.02.2004, 16:20.
                                                  С уважением, Репан Димитрий
                                                  Компания "БИФИТ" - www.bifit.com

                                                  Комментарий


                                                  • #26
                                                    Димитрий
                                                    Зашло солнце за тучу, а ум за разум (С) М.М. Жванецкий

                                                    Кто Вам сказал, что я что-то продвигаю на рынок и зачем мне лицензии и сертификат, о каком моем решении Вы говорите, и что мне нужно оптимизировать.

                                                    Когда Вы говорите, порой кажется, что Вы бредите (С) Леонид Гайдай


                                                    Обсуждается вопрос необходимости лицензирования, Вы ведете себя в этом вопросе с последовательностью флюгера, то оно надо, то оно не надо, аналогично выстроена и Ваша техническая политика, то у нас все свое, то оно плохо, то встроим то , то интегрируем это. Можно вести себя и так - это Ваш бизнес , но при этом не выступайте экпертом в той области в которой Вы мало компетентны. Иначе вы просто запутаете ситуацию, моя же роль проблему препарировать и показать пути решения. Discernit sapiens res, quas confundit asellus (С) Цицерон.

                                                    Алексей Волчков[/I]

                                                    Комментарий


                                                    • #27
                                                      отправил Волчков
                                                      Кто Вам сказал, что я что-то продвигаю на рынок и зачем мне лицензии и сертификат, о каком моем решении Вы говорите, и что мне нужно оптимизировать.
                                                      Алексей, глупо дистанциороваться от г-на Лебедева и ЛАН-Крипто

                                                      В 2001 году в офисе ЛАН-Крипто мы встречались не один раз при погружении сотрудников ЛАН-Крипто (коим представил Вас г-н Лебедев) в исходники iBank'а 1.8.

                                                      А уж КАК ВЫ ТРЕБОВАЛИ ПОСТАВЛЯТЬ iBank ТОЛЬКО С ЛАНКРИПТОВСКОЙ КРИПТОГРАФИЕЙ на той памятной встрече 8-го августа в офисе ЛАН-Крипто, а потом через неделю с пеной у рта раздавали интервью Компьютерре и прочим СМИ что такого не было и мы даже не встречались...

                                                      В общем будь-те хоть в чем-то последовательны. Уж если впряглись с г-ном Лебедевым быть оппозиционерами - играйте свою клоунаду до конца. А мы потешимся
                                                      Последний раз редактировалось Димитрий; 17.02.2004, 17:43.
                                                      С уважением, Репан Димитрий
                                                      Компания "БИФИТ" - www.bifit.com

                                                      Комментарий


                                                      • #28
                                                        Димитрий
                                                        Как Вас представить? Представьте меня в ванне Шутка юмора.

                                                        Сотрудником ЛАН Крипто коим представил меня г-н Лебедев, равно как и иных коммерческих фирм, занимающихся криптографией не был и быть пока не собираюсь. Тезис, о том, что я Вам якобы предлагал ПОСТАВЛЯТЬ iBank ТОЛЬКО С ЛАНКРИПТОВСКОЙ КРИПТОГРАИФИЕЙ рожден Вашей ххх фантазией (вместо ххх подходят любые эпитеты - бурной, воспаленной, развитой и т.д).

                                                        И несмотря ни на что есть тезис с которым нельзя не согласиться В общем будь-те хоть в чем-то последовательны только относится он не ко мне а к Вам.

                                                        Алексей.

                                                        Комментарий


                                                        • #29
                                                          Господа, если кто недавно проходил лицензирование - напишите, пожалуйста:
                                                          1. Адрес Центра ФСБ РФ по лицензированию, сертификации и защите гостайны.
                                                          2. ФИО руководителя
                                                          3. Платежки при получении 2 лицензий делается 4 штуки (2 по 1000 руб и 2 по 300 руб) или 3 (1 по 1000 руб и 2 по 300 руб)?
                                                          4. Что конкретно пишется в платежках?

                                                          Комментарий


                                                          • #30
                                                            Неужто никто за последний год не лицензировался? Слабо верится. Ну поделитесь информацией

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X