Bankir.Ru
4 декабря, воскресенье 17:17

Объявление

Свернуть
Показать больше
Показать меньше

Статья в Эксперте

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Статья в Эксперте

    Очень своеобразное мнение об Интернет-Банкинге, разработчиках и Лицензировании в ФАПСИ вообще, и об "Интернетбанке" от "Северной Казны" в частности прозвучало в статье "Работая с банком, убедитесь в его полезности для вашего бизнеса" (беседа с начальником отдела клиентского обслуживания банка "Северная казна" Дмитрием Игониным) от 25 июня 2001г. Оригинал здесь http://www.expert.ru/ural/current/kazna.shtml

    Про рекламные уши умолчу. По сути согласен далеко не со всем. Мои комментарии - http://www.expert.ru/cgi-bin/webbbs_....pl?read=16625

    С уважением, Репан Димитрий
    Компания "БИФИТ"
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

  • #2
    Я, как человек, не по наслышке знающий банк "Северная Казна" и его программное обеспечение могу с уверенностью сказать, что у банка имеются все 3 сертификата ФАПСИ на средства криптозащиты.
    Поэтому, Дмитрий, не нужно лукавить насчет того, что ФАПСИ не могло выдать банку эти лицензии. Не нужно искажать информацию в выгодном для себя свете.

    Герасимов Александр

    Комментарий


    • #3
      Уважаемый Александр, я совершенно не лукавлю и ничего не искажаю. Я возмущен стилем и напыщенностью статьи.

      В своем же ответе я постарался подчеркнуть, что действие полученных банком Лицензий ФАПСИ не может распространяться на Интернетбанк Северной Казны (как это представяется в статье), так как в Интернетбанке Северной Казны используется ИнтерПро от СигналКОМа - то есть несертифицированное (пока) ФАПСИ СКЗИ.

      Если я ошибаюсь - пусть банк представит полный текст Лицензий, включая формуляры, в которых бы указывалось что Лицензии выданы либо для несертифицированного СКЗИ, либо конкретно для несертифицированного ИнтерПро.

      В тоже время я надеюсь, процесс сертификации будет окончательно завершен, коллеги из СигналКОМа получат всё-таки Сертификат соответствия и громогласно оповестят об этом всю общественность.

      С уважением, Репан Димитрий
      Компания "БИФИТ"
      С уважением, Репан Димитрий
      Компания "БИФИТ" - www.bifit.com

      Комментарий


      • #4
        Дмитрий! Сотрудники банка не участвуют в дискуссиях на Банкире, поэтому ответа от них Вы не увидите.
        Вы как раз неправильно все поняли. О Inter-Pro речи не идет. Ответ здесь - http://www.kazna.ru/news.html?id=471

        Герасимов Александр

        Комментарий


        • #5
          Уважаемый Александр, я совершенно всё правильно понял!

          В настоящее время Я принимаю непосредственное участие в процессе получения БИФИТом Лицензий ФАПСИ, поэтому погрузился в вопрос достаточно глубоко. Рекомендую внимательно посмотреть Лицензии ФАПСИ (например здесь - http://www.signal-com.ru/rus/license/pic/lic_840.jpg или здесь - http://www.signal-com.ru/rus/license/pic/lic_839.jpg ). В них присутствуют ОСОБЫЕ УСЛОВИЯ ЛИЦЕНЗИИ, первым пунктом которых ВСЕГДА идет:

          1. Действия Лицензии распространяется только на сертифицированные ФАПСИ шифровальные средства.

          Или кто-то из господ Лицензиатов сумел получить у ФАПСИ Лицензии с распространением ее действия и на несертифицированные ФАПСИ шифровальные средства??????? Тогда снимаю шляпу и прошу поделиться опытом, как это удалось сделать!!!

          С уважением, Репан Димитрий
          Компания "БИФИТ"
          С уважением, Репан Димитрий
          Компания "БИФИТ" - www.bifit.com

          Комментарий


          • #6
            Дмитрий! Повторяю еще раз - НИ О КАКОМ INTER-PRO речи не идет!!! Причем здесь Сигнал-Ком то??? Лицензирована система Интернетбанк, а не СКЗИ. Вспомните свои же постинги по поводу того, как нельзя вычленить из iBanka СКЗИ! http://www.bankir.ru/ubb/Forum11/HTML/000138-7.html
            Я не думаю, что в настоящий момент Вы занимаетесь сертификацией СКЗИ своей системы, т.к. ее нельзя оторвать, а всей системы iBank!
            Успехов Вам!

            Герасимов Александр

            Комментарий


            • #7
              Александр, я понимаю Ваше желание отстоять позицию Сервеной Казны, но не надо сваливать в одну кучу Лицензирование и Сертификацию, и пытаться запудрить мозги участникам форума.

              Александр, ФАПСИ не лицензирует Интернетбанк, или другое СКЗИ. Или Вы, как разработчик, настолько не в курсе, что просто путаете Лицензирование с Сертификацией???

              Специально для Вас, повторяю еще раз - ФАПСИ лицензирует виды деятельности. Среди которых:
              - техническое обслуживание
              - распространение
              - предоставление услуг

              Так вот при ЛИЦЕНЗИРОВАНИИ указанных выше видов деятельности обязательным условием является использование СЕРТИФИЦИРОВАННОГО СКЗИ.

              Если банк хочет распространить действие полученных Лицензий ФАПСИ на свою систему "Интернетбанк", то банку абсолютно необходимо использовать исключительно сертифицированное СКЗИ.

              Сейчас же в Интернетбанке используется несертифицированное СКЗИ и соответственно действие Лицензии ФАПСИ не может распространяться на Интернетбанк Северной Казны.

              С уважением, Репан Димитрий
              Компания "БИФИТ"
              С уважением, Репан Димитрий
              Компания "БИФИТ" - www.bifit.com

              Комментарий


              • #8
                Александр, Вы внимательно перечитывали свое письмо - http://www.expert.ru/cgi-bin/webbbs_....pl?read=16751 - прежде чем его отправить в форум "Эксперта"?

                Привожу его дословно:
                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Дмитрий! Я видел эти лицензии. Сертифицировалась система Интернетбанк, а не СКЗИ Inter-Pro!!! Информация о лицензиях здесь...[/quote]

                Александр, во втором предложении Вы говорите, что видели Лицензии, а в тетьем, что сертифицировалась система Интернетбанк !!! И дальше опять же приводите ссылку на Лицензию!

                Александр, либо Вы вообще ничего не понимаете в вопросах Лицензирования и Сертификации ФАПСИ (тогда как Вы читали курс лекций о защите информации в системах для Интернет-Банкинга банковским сотрудникам???), либо Вы абсолютно всё понимаете, но не просто лукавите, а целенаправлено сливаете дезу, подменяя одно другим и поворачивая факты как Вам удобно.

                В общем нехорошо получилось, очень нехорошо...

                С уважением, Репан Димитрий
                Компания "БИФИТ"
                С уважением, Репан Димитрий
                Компания "БИФИТ" - www.bifit.com

                Комментарий


                • #9
                  to Hugevlad

                  Такая лицензия есть у "Северной казны" (так что их не 3, а 4, кстати) на эксплуатацию криптухи в SWIFT.

                  Круто! Для эксплуатации шифровального средства
                  лицензии не требуется, почитайте Закон о "Лицензировании..".
                  Кроме шуток, зачем вам понадобились эти лицензии?
                  Для пиаровских акций?


                  да и вообще, о чем разговор: покаж фотографии с лицензиями
                  и спор разрешен. но это как я понял не к Александру, а к пиарщикам
                  из Северной Казны - пусть они и показывают.

                  WBR
                  serg

                  Комментарий


                  • #10
                    to sharpcat
                    лицензии не требуется, почитайте Закон о "Лицензировании..".
                    Возвращаю Вам Ваш аргумент. Перечитал еще раз ст. 17 упомянутого закона - не вижу противоречий между ней и лицензией на эксплуатацию СКЗИ в СВИФТе. Если Вы о лицензиях на эксплуатацию вообще, то под словом "эксплуатация" имелась ввиду более длинная формулировка "деятельность по техническому обслуживанию шифровальных средств".

                    Кроме шуток, зачем вам понадобились эти лицензии?
                    Для пиаровских акций?

                    1. Я где-то сказал, что работаю в "Казне"?
                    2. В "Кодекс об административных правонарушениях" должны были внести пункт об ответственности за эксплуатацию криптухи без лицензий. Санкция - конфискация средств шифрования (рассказать, что будет, если в банке изъять сервер?). Во время мартовской переделки этого кодекса этот пункт туда не попал. Но кто его знает, что будет завтра?
                    3. Процесс лицензирования, это своего рода аудит. Приличные конторы заказывают себе аудит, чтобы, во-первых, самим удостовериться, что все правильно, и, во-вторых, чтобы тезис "у нас все классно" был не хвастовством, а подтверждался независимым заключением.
                    А что касается "пиара", то не обольщайтесь - большинство людей не отличают лицензию от сертификата (даже уважаемый Alexander запутался). Т.е. большинству клиентов банков это по барабану
                    Earl Vlad Drakula. ///

                    Комментарий


                    • #11
                      to sharpcat
                      Я не умею показывать "на деревню дедушке"
                      В Вашем профайле нет адреса. Это во-первых. Во-вторых, каждая лицензия занимает 3 страницы - толстоваты фотографии получатся

                      ps. Не знаю, где Вы работаете, но сам факт называния специалистов по рекламе "пиарщиками" (не надо объяснять, надеюсь, что это термин носит негативный оттенок и ассоциируется с грязными технологиями?), наталкивает на мысль, что для Вас пиар - нормальное явление.
                      Earl Vlad Drakula. ///

                      Комментарий


                      • #12
                        to hugevlad

                        то под словом "эксплуатация" имелась ввиду более длинная формулировка "деятельность по техническому обслуживанию

                        если эксплуатация моего Гольфа сведется (согласно вашему определению) единственно и только к его техническому обслуживанию , я взвою!!!
                        Эксплуатация - это полезное использование средства,
                        а не его техническое обслуживание.


                        В "Кодекс об административных правонарушениях" должны были внести пункт об ответственности за эксплуатацию криптухи без лицензий

                        Представляю себе картину: судебный исполнитель,
                        изымающий средства шифрования и подписи из ОС Windows, так как лох дядя Вася не успел приобрести
                        лицензию


                        Перечитал еще раз ст. 17 упомянутого закона - не вижу противоречий между ней и лицензией

                        Да вы хоть двадцать лицензий можете получить,
                        если вам это надо. ФАПСИ только радо будет.
                        Мой вопрос - зачем?
                        WBR
                        serg

                        Комментарий


                        • #13
                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>hugevlad
                          ...сам факт называния специалистов по рекламе "пиарщиками" (не надо объяснять, надеюсь, что это термин носит негативный оттенок и ассоциируется с грязными технологиями?), наталкивает на мысль, что для Вас пиар - нормальное явление...[/quote]Уважаемый, извините за офф-топик, но давайте не будем путать рекламу и PR. Из-за того, что вместо профессионалов пиарщиками называют кого угодно, начиная от агентов по продажам до спецов по рекламе, этот термин и приобрел несколько негативный оттенок

                          К тому же интересно, для Вас пиар - не нормальное явление? Или Ваше предприятие существует в некоей виртуальной среде и связи с общественностью или общественные отношения (а именно так наиболее часто переводится Public Relations) Вам не требуются?!?
                          Praemonitus, Praemunitus... Другими словами, Знание - Сила.

                          Комментарий


                          • #14
                            Согласен! Приношу извинения участникам форума за то, что спутал СЕРТИФИКАЦИЮ И ЛИЦЕНЗИРОВАНИЕ! Действительно, у банка есть Лицензии ФАПСИ. Hugevlad все подробно рассказал.
                            Дмитрий. Я не читал курс лекций о защите информации для банкиров. Мой курс называется "Системы удаленного банковского обслуживания". В его рамках я рассказываю о системах интернет-банкинга, телефон-банкинга, клиент-банкинга и о системах банковского самообслуживания. В рамках курса я рассказываю о построении безопасности в системах (5% от объема курса) и слов ФАПСИ, СЕРТИФИКАЦИЯ И ЛИЦЕНЗИРОВАНИЕ я не упоминаю за ненадобностью.
                            Еще ни один банк не использует сертифицированную СКЗИ. Однако Сигнал-Ком близок к получению сертификата ФАПСИ, т.к. начал процесс давно, в отличии от Вашей компании! Меня, Дмитрий до сих пор удивляет, и, в тоже время, радует ваша пронырливость: везде все увидеть, все успеть, все прокомментировать! :о)
                            Желаю Вам успехов!

                            С уважением, Герасимов Александр
                            Хост, Екатеринбург

                            Комментарий


                            • #15
                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отпрвил Герасимов Александр
                              Однако Сигнал-Ком близок к получению сертификата ФАПСИ, т.к. начал процесс давно, в отличии от Вашей компании! [/quote]

                              Уважаемый Александр! Компания "БИФИТ" до последнего момента не занималась разработкой технологических программных продуктов, к которым безусловно относятся и средства криптографической защиты информации.

                              Наш рынок - это прикладные системы: Интернет-Банкинг, Интернет-Трейдинг, WAP-Банкинг, SMS-Банкинг и пр. Если по ходу приходится встраивать какие-то механизмы защиты информации - мы это делаем.

                              В конце весны нами было принято решение предложить на рынке систем для Интернет-Банкинга и Интернет-Трейдинга систему "iBank" с сертифицированным ФАПСИ СКЗИ. Сейчас ведутся переговоры с разработчиками такого ПО, идут работы по их встраиванию.

                              Необходимым условием для встраивания и распространения (продажи) iBank'а совместно с сертифицированными СКЗИ является наличие у БИФИТа соответствующих Лицензий ФАПСИ. Процесс получения Лицензий мы запустили еще в начале лета. Как получим Лицензии - обязательно проинформируем наших потенциальных Заказчиков.

                              Что касается сертификации в ФАПСИ, у нас нет программного продукта для сертификации. У коллег же из СигналКОМа совершенно другая рыночная ниша.

                              С уважением, Репан Димитрий
                              Компания "БИФИТ"
                              С уважением, Репан Димитрий
                              Компания "БИФИТ" - www.bifit.com

                              Комментарий


                              • #16
                                BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Герасимов Александр
                                Еще ни один банк не использует сертифицированную СКЗИ.[/quote]

                                Ошибаетесь, Александр. Ситуация на рынке меняется. В ближайшее время (до конца лета), я уверен, список банков, использующих в своем Интернет-Банкинге сертифицированное СКЗИ, будет интенсивно расти. В том числе и с нашей помощью.

                                С уважением, Репан Димитрий
                                Компания "БИФИТ"
                                С уважением, Репан Димитрий
                                Компания "БИФИТ" - www.bifit.com

                                Комментарий


                                • #17
                                  to Димитрий
                                  Или кто-то из господ Лицензиатов сумел получить у ФАПСИ Лицензии с распространением ее действия и на несертифицированные ФАПСИ шифровальные средства??????? Тогда снимаю шляпу и прошу поделиться опытом, как это удалось сделать!!!
                                  Таки где можно понаблюдать процесс снятия шляпы? Такая лицензия есть у "Северной казны" (так что их не 3, а 4, кстати) на эксплуатацию криптухи в SWIFT. Надеюсь, не надо объяснять, что там использовано несертифицированное криптосредство иностранного производства? Ну, это так, придирка к словам, по большому счету. Что касается условий лицензии. Да, действительно, в первом же пункте речь идет о сертифицированных СКЗИ. Но прочитайте текст лицензии дальше: перечень используемых СКЗИ согласуется с ФАПСИ. Естественно, при заявке на лицензирование (и в его процессе) было четко указано, какое СКЗИ применяется. Да, формально InterPro сертификата тогда не имело (и до сих пор еще не имеет), но были предварительные положительные заключения по нему. В связи с этим было заявлено, что если данный продукт всеже не получит сертификат, банку придется выбрать другое СКЗИ.

                                  to Alexander
                                  Простите, но насчет сертификации/лицензирования Дмитрий прав. Лицензируется деятельность (эксплуатация СКЗИ), а сертифицируется продукт (само СКЗИ). Можно сертифицировать систему, в которую входит СКЗИ, но в случае с и-банком было не так - "СК" получила именно лицензии на эксплуатацию, распространение и оказание услуг. Ну, еще свифтовую, что к данному топику не относится...
                                  Earl Vlad Drakula. ///

                                  Комментарий


                                  • #18
                                    to sharpcat
                                    Эксплуатация - это полезное использование средства,
                                    а не его техническое обслуживание

                                    Вы намеренно к словам придираетесь или действительно с пониманием тяжело? На каком еще языке Вам объяснить, что сочетанием "эксплуатация криптосредств" заменяется более длинное определение? Считайте это профессиональным жаргоном безопасника, если угодно. Я тоже сейчас могу начать умничать и понимать это слово в том смысле, в котором его преподносили на уроках истории в советской школе ("эксплуатация человека человеком").

                                    Представляю себе картину: судебный исполнитель,
                                    изымающий средства шифрования и подписи из ОС Windows, так как лох дядя Вася не успел приобрести
                                    лицензию

                                    Вы неправильно ее себе представляете, не тот уровень у этих людей. На вопрос "где тут шифруется" будет ответ "да на любом компе". Следствие - изымут все компьютеры. Потом разберуться, конечно, но банк можно будет хоронить. Аналогичная ситуация, кстати, с лицензионностью использования ПО Майкрософт почти в любой конторе (банки - не исключение). Целенаправленный стук - и банк покойник.

                                    Да вы хоть двадцать лицензий можете получить,
                                    если вам это надо. ФАПСИ только радо будет.
                                    Мой вопрос - зачем?

                                    (устало). Потому что эта деятельность подлежит лицензированию. Потому что банку это надо, как Вы справедливо заметили. В разбираемой тут статье есть классная аналогия про наличие сан. книжки у продавца. В случае с СКЗИ еще не все понимают, что это не менее ответственная деятельность, чем торговля или автомобильные перевозки. Но не всегда же так будет - я надеюсь, во всяком случае
                                    Earl Vlad Drakula. ///

                                    Комментарий


                                    • #19
                                      to Maestro
                                      ...но давайте не будем путать рекламу и PR.
                                      Вот я про это и говорю.

                                      К тому же интересно, для Вас пиар - не нормальное явление? Или Ваше предприятие существует в некоей виртуальной среде и связи с общественностью или общественные отношения (а именно так наиболее часто переводится Public Relations) Вам не требуются?!?
                                      Как это переводится с английского, я знаю Но, повторюсь еще раз, в русском языке это выражение приобрело негативный оттенок, даже без приставки "черный" (http://black.pr-online.ru). "Связи с общественностью" требуются любому предприятию (кто бы спорил!). Но мое отношение к использованию сомнительных технологий для манипулирования общественным сознанием (к сожалению, PRом стали называть именно это) - резко негативное.
                                      ps. Может, в e-mail пойдем с этолй темой или в маркетинг/менеджмент? Первый вариант мне больше нравится
                                      Earl Vlad Drakula. ///

                                      Комментарий


                                      • #20
                                        Дмитрий, если я ошибаюсь, тогда назовите мне эти банки (использующие в своем ИБ сертифицированные СКЗИ). И назовите, какие СКЗИ будут использоваться к концу лета банками России (CryptoPro, Inter-Pro, Verba, Excelence, что то еще), в том числе и с Вашей помощью?

                                        Еще раз хочу подчеркнуть заслугу банка "Северная казна" в том, что он один из первых получил лицензии ФАПСИ. Такие банки можно пересчитать по пальцам.

                                        Герасимов Александр

                                        Комментарий


                                        • #21
                                          to Hugevlad

                                          Вам объяснить, что сочетанием "эксплуатация криптосредств" заменяется более длинное определение

                                          Где заменяется? В Законе или в Вашем понимании
                                          закона? Если вы не видите разницы между эксплуатацией и техническим обслуживанием -
                                          то проблемы у вас.

                                          На вопрос "где тут шифруется" будет ответ "да на любом компе". Следствие - изымут все компьютеры.


                                          Дело в принцыпе: нарушаю ли я Закон если работая
                                          в ОС Windows, в котором есть средства шифрования и подписи, без лицензии - нет не нарушаю. Поэтому ничего не изымут. а если и будут изымать, то по новому УПК, только по постановлению Суда. Где мы и
                                          отстаим свои права на использование.

                                          Я понимаю разработчиком шифросредств - им лицензия нужна. Так пусть требуют лицензирования от Майкрософт.

                                          Потом разберуться, конечно, но банк можно будет хоронить.

                                          Хоронить банк будут по другому поводу.
                                          Весь этот контроль со стороны ФАПСИ может делаться только с одной целью - упрощение
                                          следственных мероприятия по отношению
                                          к клиентам банка. Вы порекламируйте, что у вас
                                          система защиты одобрена ФАПСИ, от вас клиентов смоет - и незаметите.
                                          Вы б еще СОРМ у себя установили, и выдали бы его клиентам за абсолютное благо.

                                          Потому что эта деятельность подлежит лицензированию

                                          Эксплуатация по Закону о "Лицензировании..."
                                          не подлежит лицензированию.

                                          В разбираемой тут статье есть классная аналогия про наличие сан. книжки у продавца.

                                          совершенно не уместный пример.
                                          Еще б с распространием наркотиков, проституцией
                                          и распространинием порнографии сравнили.

                                          Покупайте продукты в провереном месте и мойте руки перед едой, и проблем не будет.

                                          WBR
                                          serg

                                          Комментарий


                                          • #22
                                            to sharpcat

                                            Где заменяется? В Законе или в Вашем понимании
                                            закона?

                                            Тяжело, наверное, быть таким непробиваемым
                                            Ни в законе, ни в моем его понимании. А в повседневном общении. Ну ломает меня каждый раз писать/произносить "деятельность по техническому обслуживанию шифровальных средств". Еще раз объяснить, что это устоявшийся профессиональный жаргон "безопасников"?

                                            Если вы не видите разницы между эксплуатацией и техническим обслуживанием - то проблемы у вас.
                                            У меня проблем нет. А вот у вас - проблема или с пониманием, или с желанием понять, что Вам объясняют.

                                            Дело в принцыпе: нарушаю ли я Закон если работая
                                            в ОС Windows, в котором есть средства шифрования и подписи, без лицензии - нет не нарушаю.

                                            Если не пользуетесь - не нарушаете (лично я не псих использовать криптуху от БГейтса . Если используете лично для себя - тоже не нарушаете. Но как только Вы организуете сеть обмена или просто начинаете взаимодействовать с другими юр. лицами - случается попадалово. Во-первых, с нарушением закона о лицензировании (наказания, правда, нет - пробел в законодательстве). Во-вторых, в случае, если вы с контрагентом не смогли разрешить конфликтную ситуацию самостоятельно, Вас в Арбитраже пошлют куда подальше ввиду отсутствия лицензии/сертификата.

                                            Поэтому ничего не изымут. а если и будут изымать, то по новому УПК, только по постановлению Суда. Где мы и отстаим свои права на использование.
                                            Ну-ну Изымут просто чтобы разобраться "оно это или нет". Через неделю вернут, извинятся. Легче от этого?

                                            Весь этот контроль со стороны ФАПСИ может делаться только с одной целью - упрощение
                                            следственных мероприятия по отношению

                                            Ужас, какой. Простите, у Вас какое образование? Такой безграмотности, как юридической, так и технической я не встречал давно. И сильно настораживает количество грамматических ошибок в Ваших постингах.
                                            Короткий ликбез.
                                            1. Банк обязан предоставить следственным органам всю необходимую информацию (предв. следствие и т.п. - см. "Закон о банках").
                                            2. У банка вся нужная информация (причем, в более удобном виде, чем шифрованные данные веб-форм в и-банке) есть в базе. Так нахрена козе баян?
                                            3. В функции ФАПСИ такая деятельность не входит (это дело МВД, налоговой, ФСБ). А эти ребята имеют возможность "надавить" на любой банк вне зависимости от наличия у него лицензии ФАПСИ. Мне известно о прецедентах, когда налоговая стрясала данные о клиенте у банка (без всякой криптухи) с нарушением закона - т.е. не было ни уг. дела, ни следствия, ни пост. прокурора. Сходите на сайт АРБ, там есть архив переписки по этому поводу.
                                            4. В ФАПСИ люди с головой дружат. Поэтому они никогда не сертифицируют криптуху с черным ходом. Мне лень в очередной раз подробно объяснять - поднимите архивы ru.crypt, там это не один раз обсосано.

                                            Вы порекламируйте, что у вас
                                            система защиты одобрена ФАПСИ, от вас клиентов смоет - и незаметите.

                                            Если Вы иногда смотрите телевизор, то могли заметить, что в рекламе банка "Северная казна" о получении лицензий ФАПСИ говорится прямо. И клиенты почему-то не разбежались, а как бы наоборот. Наверное, им виднее.

                                            Эксплуатация по Закону о "Лицензировании..."
                                            не подлежит лицензированию

                                            Зато "деятельность по техническому обслуживанию шифровальных средств" подлежит.

                                            В разбираемой тут статье есть классная аналогия про наличие сан. книжки у продавца.
                                            совершенно не уместный пример.
                                            Еще б с распространием наркотиков, проституцией
                                            и распространинием порнографии сравнили.

                                            Вот это точно не в тему. Наиболее близкая аналогия (хотя любая аналогия хромает) - лицензирование владения оружием. А если Вы прочтете 326 постановление правительства, то станет вообще плохо - -лицензия нужна даже на право использхования устройств для поиска "жучков" (обращаю внимание - не услуг в этой области, а просто использование приборов). ВОт это уже перегиб


                                            Покупайте продукты в провереном месте и мойте руки перед едой, и проблем не будет.

                                            А что такое "проверенное место"? Правильно, магазин, имеющий лицензию на торговлю (а продавцы - сан. книжку) и продающий продукты, имеющие сертификат.

                                            Я не пойму, что Вы мне пытаетесь доказать? Что банку не нужна лицензия? Меня терзают смутные сомнения - зачем лично Вам это нужно
                                            Earl Vlad Drakula. ///

                                            Комментарий


                                            • #23
                                              to HugeVlad

                                              Ну ломает меня каждый раз писать/произносить "деятельность
                                              по техническому обслуживанию шифровальных средств". Еще
                                              раз объяснить, что это устоявшийся профессиональный
                                              жаргон "безопасников"?.....
                                              ..или с желанием понять, что Вам объясняют.


                                              Уж не знаю, какой лексикон у безопасников в ковычках, но
                                              только как вы собираетесь что-нить конкретное объяснить
                                              оппоненту с такой вольной терминологией?


                                              оптом для Димитрия, Сусанина и HugeVlad:

                                              Ди> попросят предоставить всю информацию о платежах и
                                              Ди> поступлениях необходимого клиента. Всё это можно сделать за день.

                                              Hu> 1. Банк обязан предоставить следственным органам всю
                                              Hu> необходимую информацию (предв. следствие и т.п. - см.
                                              Hu> "Закон о банках").

                                              Су> Есть более дешевые способы получения информации "Налоговая",
                                              Су> "Управление по борьбе с экономическими преступлениями"
                                              Су> и т.п., для них(клиентов) это более реально.

                                              Люди, не будте так наивны. Информация которую вы перечислили
                                              Органам малополезна, если не сказать что вааще бесполезна.
                                              Что платеж проведен, это Органам изначально известно, а нужно
                                              знать кто конкретно, откуда и в какой момент провел платеж, и что самое важное сделать это по горячим следам, как можно быстрее, желательно онлайн, чтобы "мошенник" не успел смыться. Для этого и задуман СОРМ. И сертифицированние средства защиты - это винтики
                                              в системе ОРМ.

                                              И это я не сам придумал, все это четко укладывается в свод
                                              идей, который приведен в документе "Указ Президента РФ от 3 апреля 1995 г. N 334 "О мерах по соблюдению законности...", который навеян самим ФАПСИ

                                              " В интересах информационной безопасностиРоссийской Федерации и усиления борьбы с организованной преступностью
                                              запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий,...."

                                              Или ты думаешь, что ФАПСИ нечем больше заняться, кроме как распространять шифровальные средства со встроенными закладками???

                                              Естейственнно. Естейственно ФАПСИ не одуванчики на лужайке собирает. Это прямая обязанность ФАПСИ, вверенная им Президентом с их же подачи.
                                              По другому не возможно исполнить цели, поставленные в этом Указе.

                                              Обвинения ФАПСИ в распространении СКЗИ с закладками - бред чистой воды.

                                              Ну что можно сказать: "Вас взяли за яйца, г.Кох" (Шендерович)

                                              Если не пользуетесь - не нарушаете....если вы с контрагентом не смогли разрешить конфликтную ситуацию самостоятельно, Вас в Арбитраже пошлют куда подальше ввиду отсутствия лицензии/сертификата.

                                              вы забыли вставить слово ИМХО. Все что вы сказали - лажа. При разборе
                                              конфликтной ситуации про сертификат даже и не вспомнят. Почитайте архивы конференции, такие примеры уже были.

                                              А что такое "проверенное место"? Правильно, магазин, имеющий лицензию на торговлю (а продавцы - сан. книжку) и продающий
                                              продукты, имеющие сертификат.


                                              Вы сами-то не из фапси? Правильный магазин - это тот где свежие
                                              продукты, которые тебя нравятся. А вашу грязную сан.книжку засунте себе в ...

                                              С Уважением
                                              sharpcat
                                              WBR
                                              serg

                                              Комментарий


                                              • #24
                                                hugevlad

                                                Можно в мэйл ( igors@saules.com ), а можно и в маркетинг / юрлица, если модератор нам не пропишет плюсиков за не совсем связанную с банком тему

                                                P.S. Чуствую, интересная дискуссия может получится.
                                                Praemonitus, Praemunitus... Другими словами, Знание - Сила.

                                                Комментарий


                                                • #25
                                                  To Димитрий.
                                                  Сертифицированные средства - это конечно хорошо, но клиентов это совсем не волнует. Это первое.
                                                  Второе - где они - эти сертифицированные средства.
                                                  Год назад был случай, когда в течение 2 недель в стране не было ни одного сертифицированного средства (у вербы кончился сертификат, новый выдали с задержкой).
                                                  Что, скажете это нормально! И мы, банкиры, должны на эту паранойю ориентироваться. В этой сертификации нет главного, что от нас хочет клиент - стабильности.

                                                  Комментарий


                                                  • #26
                                                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Фуров Сергей (aka sharpcat)
                                                    Весь этот контроль со стороны ФАПСИ может делаться только с одной целью - упрощение следственных мероприятия по отношению к клиентам банка. Вы порекламируйте, что у вас система защиты одобрена ФАПСИ, от вас клиентов смоет - и незаметите. Вы б еще СОРМ у себя установили, и выдали бы его клиентам за абсолютное благо.[/quote]

                                                    "Если Вы не параноик - это еще не значит что за Вами никто не следит..."

                                                    Сергей, не неси чушь. Или ты насмотрелся голливудских блокбастеров о всемогуществе АНБ, ЦРУ и пр. ?!

                                                    Если нашим компетентным органам захочется ознакомиться со всеми банковскими операциями какого-либо клиента, они поступят самым простым и очевидным способом - обратяться сначала в налоговую, выяснят в каких российских банках открыты счета этого клиента, а далее придут в банк с предписанием и попросят предоставить всю информацию о платежах и поступлениях необходимого клиента. Всё это можно сделать за день.

                                                    Или ты думаешь, что ФАПСИ нечем больше заняться, кроме как распространять шифровальные средства со встроенными закладками??? Обвинения ФАПСИ в распространении СКЗИ с закладками - бред чистой воды.

                                                    Я общался с несколькими разработчиками, имеющими Лицензии ФАПСИ на проектирование и производство, и имеющими Сертифицированные ФАПСИ СКЗИ. Вопрос с доступом к исходным текстам СКЗИ абсолютно четко решается в рабочем порядке.

                                                    Другое дело, что разработчики из своих маркетинговых соображений и из-за требований ФАПСИ не хотят и не могут открыто публиковать исходные тексты. Если же Заказчик хочет самостоятельно убедиться в отсутствии закладок - ему предоставят исходники и он сам может провести контрольную сборку СКЗИ.

                                                    С уважением, Репан Димитрий
                                                    Компания "БИФИТ"
                                                    С уважением, Репан Димитрий
                                                    Компания "БИФИТ" - www.bifit.com

                                                    Комментарий


                                                    • #27
                                                      hugevlad: Целенаправленный стук - и банк покойник.

                                                      Боюсь, что не всякий

                                                      sharpcat: Вы порекламируйте, что у вас система защиты одобрена ФАПСИ, от вас клиентов смоет - и незаметите. Вы б еще СОРМ у себя установили, и выдали бы его клиентам за абсолютное благо.

                                                      Да клиентам пофиг на ФАПСИ и на слухи о закладках в крипто. Есть более дешевые способы получения информации "Налоговая", "Управление по борьбе с экономическими преступлениями" и т.п., для них(клиентов) это более реально.

                                                      Комментарий


                                                      • #28
                                                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Фуров Сергей (aka sharpcat)
                                                        Обвинения ФАПСИ в распространении СКЗИ с закладками - бред чистой воды.

                                                        Ну что можно сказать: "Вас взяли за яйца, г.Кох" (Шендерович)[/quote]

                                                        Сергей, я прекрасно знаю, что ты лично ненавидишь ФАПСИ еще со времен учебы в МИФИ по специальности "защита информации". И я помню твое нежелания после окончания МИФИ идти служить в ФАПСИ. Но это не повод выплескивать свой гнев и обвинять всех подряд во всех смертных грехах.

                                                        Стремление же использовать сертитфицированные ФАПСИ СКЗИ в своих решениях возникает не на пустом месте. Такие решения, как правило, существенно дороже, чем при использовании несертифицированной криптографии. Но если на рынке возникает спрос, то почему бы его не удовлетворить?! Это же как раз просто бизнес.

                                                        Что же касается закладок в сертифицированных ФАПСИ СКЗИ, могу тебя заверить, что в выбранных нами сертифицированных СКЗИ и встраиваемых в iBank закладки в явном виде (то есть в виде кода) отсутствуют (мы смотрели исходники).

                                                        У нас было подозрение в отношении стойкости шифрования при используемых в сертифицированных СКЗИ таблицах замен (ГОСТ 28147-89). Сверили используемые таблицы замен с рекомендациями к формирурованию онных, приведенные в открытых источниках, тоже всё в порядке.

                                                        С уважением, Репан Димитрий
                                                        Компания "БИФИТ"
                                                        С уважением, Репан Димитрий
                                                        Компания "БИФИТ" - www.bifit.com

                                                        Комментарий


                                                        • #29
                                                          to sharpcat

                                                          Уж не знаю, какой лексикон у безопасников в ковычках, но только как вы собираетесь что-нить конкретное объяснить оппоненту с такой вольной терминологией?
                                                          Оппоненту, который не только писать по-русски грамотно не может, но и не понимает этого языка, действительно сложно что-то объяснить. Особено, если он страдает отсутствием логики или намеренно ведеи дискуссию в стиле "а кого может интересовать мнение человека лысого" (с) Жванецкий.
                                                          Действительно, "зачем нужна лицензия?", "а вот за этим", "а эксплуатация совсем не то", "так это сокращение/жаргон", "да что вы вообще можете!". Мне нравится ход Ваших мыслей

                                                          И сертифицированние средства защиты - это винтики в системе ОРМ.
                                                          Бред. Мне даже как-то неловко объяснять это выпускнику МИФИ. Или все-таки объяснить?

                                                          вы забыли вставить слово ИМХО. Все что вы сказали - лажа.
                                                          Ну, конечно! А все, что Вы говорите - истина в последней инстанции.

                                                          При разборе
                                                          конфликтной ситуации про сертификат даже и не вспомнят. Почитайте архивы конференции, такие примеры уже были.

                                                          В отличие от Вас, я не буду давать Вам рекомендации, куда деть эти примеры , но Ваша юридическая безграмотность просто поражает. Меня совершенно не интересуют прецеденты "до 1913 года", нормативная база существенно изменилась.
                                                          Собственно, нежелание иметь лицензии - это Ваше дело. Только хотелось бы узнать, какую организацию Вы представляете. И если Вы высказываете ее официальное мнение, я буду держаться от такой лавки подальше.

                                                          Вы сами-то не из фапси?
                                                          Нет. А вот таких, как Вы, мы и будем лечить (с) Вовочка. Невнимательны Вы, уважаемый

                                                          Правильный магазин - это тот где свежие
                                                          продукты, которые тебя нравятся.

                                                          Да ну? А свежесть определяем органолептическим способом? Я не крысалабораторная, чтобы опыты над собой ставить...

                                                          А вашу грязную сан.книжку засунте себе в ...
                                                          М-да. Детство так и прет.
                                                          Выбрать себе звучный ник и анонимно хамить незнакомым людям - типичный подход юнцов из хакерских конференций, у которых гормоны играют и обостренное чувство собственной неполноценности. Но в банковском форуме встретить такое - не ожидал. Думаю, модератор по достоинству оценит Вашу манеру общения.
                                                          Earl Vlad Drakula. ///

                                                          Комментарий


                                                          • #30
                                                            2 Hugevlad

                                                            Почитал Ваши статьи и переводы на Вашем ресурсе http://cybervlad.port5.com/
                                                            Все понравилось, очень интересно и познавательно! Так держать

                                                            Герасимов Александр

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X