Bankir.Ru
8 декабря, четверг 03:08

Объявление

Свернуть
Пока нет объявлений.

Шифрование - лицензирование , сертификация...........

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Шифрование - лицензирование , сертификация...........

    Вопрос к представителям банков или представителям соответствующих организаций.
    Какие средства шифрования можно использовать и какую лицензию должен иметь банк при использовании системы Интернет - Банк ?
    В моем представлении это выглядит так :
    ( поправьте пожалуйста если что не так )
    Средства шифрования могут использоваться только прошедшие сертификацию в ФАПСИ.
    ( на данный момент это только Верба - или нет ? )
    Каким образом, тогда разработчики Интернет-банков предлагают свои системы с шифрованием не имеющим сертификата.
    К примеру Сигнал-Ком - имеет сертификат гостехкомисии о соответствии ГОСТУ.
    Это является достаточным условием или нет ?
    Или к примеру IBANK от Бифита - насколько я представляю там шифрование на основе SSL.
    Разве SSL значит что нибудь в нашей стране ?
    Теперь по поводу лицензирования:
    Банк должен получить лицензию на распространение этих средств опять же в ФАПСИ или нет ? ( по закону вроде бы даже наши клиенты должны получать лицензию на использование этих средств ).
    И еще один момент.
    Какие санкции могут применяться к банкам невыполнившим эти условия ?
    Буду признателен любым разьяснениям по этим вопросам и любым ссылкам на данную тему.



  • #2
    почитай http://www.lancrypto.com/lawprog.htm

    Комментарий


    • #3
      В том то и дело, что перелопачен
      уже весь Интернет. И Лан-Крипто тоже.
      И все уверения разработчиков
      данных продуктов понятны и ясны.
      Но пока так никто и не смог
      переубедить наших юристов в том , что
      мы не должны получать лицензию и использовать
      только сертифицированные продукты.

      Вопрос остается открытым.


      Комментарий


      • #4
        Отправил AGE 07-26-2000 09:43 AM
        Вопрос к представителям банков или представителям соответствующих организаций.
        Какие средства шифрования можно использовать и какую лицензию должен иметь банк при использовании системы Интернет - Банк ?
        Все позиции по вопросу Лицензирования деятельности и использовании только сертифицированных ФАПСИ криптографических средств делятся на два лагеря.

        Лагерь ФАПСИ, в котором все постоянно твердят о необходимости вообще Лицензирования всего и всех, и использования только сертифицированных средств (читай только ФАПСИшных).

        И лагерь умеренных, которые постоянно с Законами (ГК и др.) в руках, постоянно на всех выступлениях доказывают, что можно успешно жить и работать не следуя позиции первого лагеря. В лагере "умеренных" одни используют вообще все, что душе угодно, в том числе и буржуйское крипто, даже при обслуживании государевых структур, в которых действительно еще встречаются гостайны. Это приверженцы идеи "Либерализации гражданской криптографии". Другие, более консервативны, стремятся использовать софт, реализующией российские ГОСТЫ (пусть и не сертифицированный), а для обслуживания государевых организаций с Первыми отделами тратятся на Вербу и Лицензию для банка.

        Вот так все счастливо и живут :-)

        Каким образом, тогда разработчики Интернет-банков предлагают свои системы с шифрованием не имеющим сертификата.
        Разработчики систем для Интернет-Банкинга НЕ ПРЕДЛАГАЮТ средств шифрования, они предлагают ПРИКЛАДНЫЕ СИСТЕМЫ, задачи и функции которых совершенно отличны от задач средств шифрования и защиты от НСД. Это как Windows NT - в ней есть криптографические компоненты, но это же прикладной продукт, решающий совершенно другие, отличные от средств шифрования, задачи!!!

        Мне очень импонирует мысль, высказанная как-то года три назад на семинаре в РОЦИТе Александром Галицким (Элвис+)- любое современно ПО без средств защиты не имеет право на существование. И Лицензию, если уж давать, то на право разработки ПО, а не на право разработки средств защиты.

        К примеру Сигнал-Ком - имеет сертификат гостехкомисии о соответствии ГОСТУ.
        Это является достаточным условием или нет ?
        Кому как ;-)

        Или к примеру IBANK от Бифита - насколько я представляю там шифрование на основе SSL.
        Разве SSL значит что нибудь в нашей стране ?
        Об iBank'е у Вас неверное представление. В iBank'е протокол SSL используется только в фазе загрузки в Web-браузер клиента html-страниц и Java-апплетов. При этом функция шифрования протокола SSL не используется. Используется только функция аутентификации Web-сервера банка (клиент подключился к Web-серверу банка, а не к злоумышленнику), и функция обеспечения целостности загружаемой информации - html-страниц и Java-апплетов.

        А вот в дальнейшем, при работе пользователя в Java-апплете, происходит взаимодействие между Java-апплетом пользователя и Сервером Приложения в банке. Здесь используется RSA 1024 бита на этапе согласования сеансовых ключей, и ГОСТы на сеансовых ключах для шифрования трафика и обеспечения его целостности. Здесь SSL уже нету. Аутентификация пользователя и ЭЦП под финансовыми документами происходит на верхнем уровне. Доказательным материалом при разрешении конфликтных ситуаций являются электронные документы с ЭЦП.

        Каждое взаимодействие - новая ТСР-сессия, новое защищенное соединение - новая прикладная транзакция. Время транзакции (ТСР-соединения) - максимум несколько секунд.

        Теперь по поводу лицензирования:
        Банк должен получить лицензию на распространение этих средств опять же в ФАПСИ или нет ? ( по закону вроде бы даже наши клиенты должны получать лицензию на использование этих средств ).
        Вы сейчас оглашаете точку зрения первого лагеря. Тогда как же, по Вашему, работает весь Российский Сбербанк при использовании своего, самописного Клиент-Сбербанка, в котором криптография не сертифицирована?! А ведь Сбербанк обслуживает достаточное количество государевых клиентов с государевыми тайнами. И ничего, работают ;-)

        И еще один момент.
        Какие санкции могут применяться к банкам невыполнившим эти условия ?
        Я уверен, что в списке возможных причин для наезда на любой банк со стороны нашего государства, наличие Лицензии ФАПСИ или использование несертифицированных средств в Банк-Клиенте, стоит на 195 месте! К любому банку быстрее по пожарной или санэпедимической части докапаются и закроют за день. Да хоть по причине "здание заминировано"!

        Вот так "весело" и живем...
        С уважением, Репан Димитрий
        Компания "БИФИТ" - www.bifit.com

        Комментарий


        • #5
          Огромное спасибо за ответ.

          Хорошо когда есть такая уверенность.
          Только как ни крути это все равно позиция разработчика.
          Где же у нас представители банков.

          Или все не лицензируются ? .

          Комментарий


          • #6
            Советую посмотреть вот такой документ:
            Временное Положение ЦБР от 10 февраля 1998 г. N 17-П
            "О порядке приема к исполнению поручений владельцев счетов,
            подписанных аналогами собственноручной подписи, при проведении
            безналичных расчетов кредитными организациями"
            Мне кажется, что Гражданского кодекса и 17-П достаточно, и ЦБ из всех участников обсуждений грядущего закона об ЭЦП занимает наиболее конструктивную позицию - узаконить то, что есть.


            Комментарий


            • #7
              Тема достаточно проста. ФАПСИ дает сертификат на конкретное средство шифрования, что оно соответсвует и оно рекомендовано. Лицензию тоже дает ФАПСИ, но на 1. разработку средств шифрования 2. на импорт средств 3. на продажу средств 4. на применение средств 5. на оказание услуг в области шифрования. Лицензия может быть дана на любое средство.
              Наиболее интересна лицензия на оказание услуг. В принципе любая компания, которая применяет средства для взаимодействия со своими клиентами (физ лицами или юр лицами) должна иметь эту лицензию. Независимо от того какие средства применяются

              Комментарий


              • #8
                >В принципе любая компания, которая >применяет средства для взаимодействия со >своими клиентами (физ лицами или юр лицами) >должна иметь эту лицензию. Независимо от >того какие средства применяются
                Все правильно. Но возьмем к примеру
                обычный Клиент-Банк(не интернетовский)
                Там ведь тоже используется шифрование.
                И этот клиент-банк есть в 9 из 10 банков.
                Но дай бог у 5 % из всех банков стоит сертифицированное шифрование и они имеют лицензию на работу с ним.
                То есть получается большинство банков нарушают закон ? Или нет ?


                Комментарий


                • #9
                  Отправил AGE 08-24-2000 06:05 PM
                  Все правильно. Но возьмем к примеру
                  обычный Клиент-Банк(не интернетовский)
                  Там ведь тоже используется шифрование.
                  И этот клиент-банк есть в 9 из 10 банков.
                  Но дай бог у 5 % из всех банков стоит сертифицированное шифрование и они имеют лицензию на работу с ним.
                  То есть получается большинство банков нарушают закон ? Или нет ?
                  Нарушают. В том, что нет лицензии на оказание услуг. Сертифицировано средство или нет - не принципиально. Если сертифицировано, то суд примет решение в пользу банка, если дойдет до разбирательств(Экспертами в криптостойкости будет ФАПСИ => применяли не сертифицированное => сами виноваты).

                  Комментарий


                  • #10
                    А у нас есть информация что лицензию ФАПСИ дает только на использование сертифицированных средств шифрования.

                    Может в разных регионах по-разному ?

                    Комментарий


                    • #11
                      Может быть какие-то ответы для Вас найдутся в рубрике ЗАКОНЫ на www.SiteSale.Ru?

                      Комментарий


                      • #12
                        Требования ФАПСИ о наличии лицензии на использование СКЗИ незаконны.
                        Подробнее см. http://www.libertarium.ru/libertarium/5416

                        Санкций к банкам на сегодняшний день не установлено. Ответственность вообще как таковая отсутствует. (см. статью А.Паламарчук, Н.Бут. "Законность" ╧ 6/2000.)

                        Есть правда ст.171 УК РФ (Незаконное предпринимательство), но уголовная ответственность за это деяние предполагает наличие крупного ущерба либо извлечение крупного дохода.(свыше 200 МРОТ).

                        Комментарий


                        • #13
                          >Санкций к банкам на сегодняшний день не >установлено. Ответственность вообще как >таковая отсутствует. (см. статью >А.Паламарчук, Н.Бут. "Законность" ╧ 6/2000.)

                          Вот это кстати не факт.
                          За нарушение закона о лицензировании
                          существует административная ответственность
                          на руководителя. Немалая кстати сумма.

                          А где можно найти этот журнал ?

                          Комментарий


                          • #14
                            > А где можно найти этот журнал ?

                            Журнал можно найти в базе Консультант Плюс Арбитраж - одно из последних пополнений.

                            Административная ответственность в КоАП на руковдителя действительно предусмотрена, но лишь за осуществление деятельности без лицензии для конкретных видов деятельности.
                            Одна из наиболее близких - ст.139.6 "Осуществление деятельности в области связи без лицензии." Но и она не может быть применена в рассматриваемом нами случае.(Имеется ввиду - деятельность по распространению шифровальных средств, их техническому обслуживанию и предоставлению услуг в области шифрования информации).
                            Что касается получения лицензии на использование шифровальных средств ( см. Указ Президента ╧ 334), то данный Указ противоречит ст. 49 ГК;абз. 2 ст.4,ст.5,ст.6 ФЗ "О введение в действие части 1-ой ГК", а так же Конституции РФ - ст.34, ст.35, п.3 ст.55, п.3 ст.56. То же касается Положения ФАПСИ ПКЗ-99 утв. Приказом ╧ 158 от 23.09.99 глава V "Порядок использования СКЗИ". Подробнее - см. Либертариум (ссылка выше).

                            Для БИФИТ-овского продукта применима именно лицензия на использование.

                            Лицензия на Деятельность по распространению шифровальных средств - касается разработчиков и распространителей этого продукта.Банки никаким образом не распространяют этот продукт среди своих клиентов, т.к клиент работает через обычный браузер - дискетка с АЦП в счет не принимается.
                            Лицензия на техническое использовние тоже неприменима - если и есть технические моменты, то они касаются настроек самого продукта, а не его криптографического блока.
                            Лицензия на предоставление услуг в области шифровальных средств - также сомнительна. Банк предоставляет клиентам свои услуги, но шифрование передаваемых данных имеет здесь лишь косвенное значение.

                            Однако у ФАПСИ свое мнение на этот счет. Мы обращались к ним с вопросом "что понимается под конкретным видом деятельности". Ответ был весьма интересен - "Вы инсталлируете этот продукт на свои машины, генерируете АЦП - это означает техническое использование - извольте получить лицензию на техническое обслуживание". "А дискетку с АЦП кто передает?... - извольте иметь лицензию на распространение".

                            Для пресечения таких вот доводов лицензиатов - необходимо конкретно расписывать значение каждого вида деятельности именно в Законе, а не во всяких Положениях и иных подзаконных актах. Да что говорить, определение "шифровальных средств" так же должно быть именно в Законе. На сегодняшний день - внятного определения в НПА так и не содержится.

                            Комментарий


                            • #15
                              В последнем абзаце, первое предложение "..таких вот доводов лицензиатов" - читать как " ..таких вот доводов лицензирующих органов".
                              Исправлено - автор.

                              Комментарий

                              Пользователи, просматривающие эту тему

                              Свернуть

                              Присутствует 1. Участников: 0, гостей: 1.

                              Обработка...
                              X