Bankir.Ru
6 декабря, вторник 11:18

Объявление

Свернуть
Пока нет объявлений.

Приказ ФАПСИ N152 от 13.06.2001 (о применении средств криптозащиты)

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Приказ ФАПСИ N152 от 13.06.2001 (о применении средств криптозащиты)

    Приглашаю уважаемый All присоединиться к обсуждению:
    http://www.bankir.ru/forum/showthrea...&threadid=9571

  • #2
    А что его обсуждать-то? Трясти надо
    В смысле, в инструкции той все правильно написано, с точки зрения обеспечение высокого уровня безопасности при эксплуатации СКЗИ. Но практически все это можно реализовать только в силовой структуре или монстре типа ЦБ. Налицо опять непонимание "верхами" реального положения дел внизу. Это и была моя основная причина ухода из ЦБ - невозможность найти нормальный компромисс в аналогичных ситуациях (когда Москва спускает "мудрый" приказ).

    regards, Vlad.
    Earl Vlad Drakula. ///

    Комментарий


    • #3
      кстати, в догонку, об орг. моментах эксплуатации СКЗИ. тут как-то была у меня с Д.Репаном дискуссия на тему безопасности применения встроенного ssl броузеров с обрезанными длинами ключей и общедоступными сертификатами. вот, наткнулся на более приемлемый вариант:
      http://www.e-port.ru/faq/faq4.html?tid=4&qid=18
      Earl Vlad Drakula. ///

      Комментарий


      • #4
        Вот трясти как раз и не хотелось бы... Сейчас меня волнует вопрос - действительно ли инструкция носит рекомендательный характер в части использования СКЗИ в банках (внутренний документооборот и в системы Банк-Клиент). И далеко ли до обязаловки.

        Комментарий


        • #5
          hugevlad: В смысле, в инструкции той все правильно написано, с точки зрения обеспечение высокого уровня безопасности при эксплуатации СКЗИ.

          А чем объяснить это?

          III. Порядок обращения с СКЗИ и криптоключами к ним.
          Мероприятия при компрометации криптоключей*
          25. ...[skip]...Передача по техническим средствам связи криптоключей не допускается, за исключением специально организованных систем с децентрализованным снабжением криптоключами.

          Повышенным уровнем безопасности? Что ФАПСИ давно нашло задний подход к DH или RSA, и обмен ключами с помощью этих алгоритмов не безопасен?

          Комментарий


          • #6
            Роман
            А там в п.1 расписано, когда обязательно, а когда рекомендательно. Я думаю, в системе К-Б - рекомендательно.

            Сусанин
            я где-то написал, что сей документ идеален? мне этот пункт тоже не очень понятен. может, они как раз имели ввиду, что при централизованном снабжении ключами (симметричная система) ключ может быть где-то еще, а при несимметричной - инфа шифруется на сеансовом, а тот в свою очередь на общем секрете. естественно, предполагаем, что используются сертификаты, а не просто открытые ключи, дабы исключить mitm-атаку.
            Earl Vlad Drakula. ///

            Комментарий


            • #7
              hugevlad: я где-то написал, что сей документ идеален? мне этот пункт тоже не очень понятен. может, они как раз имели ввиду, что при централизованном снабжении ключами (симметричная система) ключ может быть где-то еще, а при несимметричной - инфа шифруется на сеансовом, а тот в свою очередь на общем секрете. естественно, предполагаем, что используются сертификаты, а не просто открытые ключи, дабы исключить mitm-атаку.


              Вы хотите сказать, что любая система, в которой допускается (или обязательна) выработка и обмен сеансовыми ключами с помощью симметричных/несимметричных алгоритмов, автоматически становиться децентрализованной?

              Тогда странно, что про организацию таких систем и обмен ключами в них, в этой инструкции ни слова.

              Комментарий


              • #8
                Сусанин

                Вы хотите сказать, что любая система, в которой допускается (или обязательна) выработка и обмен сеансовыми ключами с помощью симметричных/несимметричных алгоритмов, автоматически становиться децентрализованной?
                Давайте не будем выискивать между строк то, чего там нет
                Децентрализованной система не становится. Речь шла о децентрализованном снабжении ключами. Почувствуйте разницу, когда вам приходит пачка ключей шифрования (на год) из центра генерации, или когда вы делаете свою ключевую пару, сертифицируете открытый ключ в CA (удостоверяющем центре) и сами обмениваетесь сертификатами ключей с нужными вам абонентами.
                Earl Vlad Drakula. ///

                Комментарий


                • #9
                  hugevlad: Давайте не будем выискивать между строк то, чего там нет Децентрализованной система не становится. Речь шла о децентрализованном снабжении ключами.

                  Упустил

                  hugevlad: [skip]...или когда вы делаете свою ключевую пару, сертифицируете открытый ключ в CA (удостоверяющем центре) и сами обмениваетесь сертификатами ключей с нужными вам абонентами.

                  Тогда, подскажите где эта схема описана ФАПСИ.

                  Комментарий


                  • #10
                    Сусанин
                    Тогда, подскажите где эта схема описана ФАПСИ.
                    В смысле? В этом документе? Так в нем вообще конкретные схемы организации ключевой системы не расписаны. Это так, из опыта
                    Earl Vlad Drakula. ///

                    Комментарий


                    • #11
                      hugevlad: В смысле? В этом документе?

                      Я имел ввиду вообще. Но судя по последней реплике - "Это так, из опыта", Вам такого документа не встречалось.

                      Комментарий


                      • #12
                        Уважаемые коллеги! Меня как небольшого технического специалиста волнует более прозаический вопрос - законно ли теперь использование лицензий шифрования и ЭЦП, к примеру, ЛАН-Крипто, который на своем сайте грамотно отмежевался от лицензий ФАПСИ и прочих разрешительных органов. По-моему, этот приказ напрямую предполагает лицензирование программ шифрования и проч. Соотв., по-моему, ЛАН-Крипт попал...
                        Regards, VADSON

                        Комментарий


                        • #13
                          Сусанин
                          Я имел ввиду вообще. Но судя по последней реплике - "Это так, из опыта", Вам такого документа не встречалось
                          Сочиненного ФАПСИ - нет. Описание ключевых систем обычно есть в документации к продуктам, в описании криптоалгоритмов и стандартов. На память - skip, ipsec. Из продуктов вспомнился "Маскарад" (1994 года выпуска ).
                          Могу ошибаться, но это один из первых отечественных продуктов, использовавший децентрализованное снабжение ключами.
                          Earl Vlad Drakula. ///

                          Комментарий


                          • #14
                            VADSON
                            "ЛАН-Крипто, который на своем сайте грамотно отмежевался от лицензий ФАПСИ и прочих разрешительных органов. По-моему, этот приказ напрямую предполагает лицензирование программ шифрования и проч. Соотв., по-моему, ЛАН-Крипт попал..."
                            Стоит внимательно почитать приказ, поппали не те, "кто грамотно отмежевался" от т.н. шифровальных средств, а те кто их использует и распространяет. Теперь следую букве указа они должны получать ключи для своих продуктов в ФАПСИ. А вот у тех кто у ФАПСИ лицензий и сертификатов не получал - проблем никаких.

                            Комментарий


                            • #15
                              Le Colonel

                              Хотелось обратить внимание на следующую проблему. В Инструкции ФАПСИ говорится об информации, которую необходимо защищать по закону. А по закону "Об информации, информатизации и защите информации" защите подлежат так называемые "персональные данные". Но ведь номера счетов клиентов и их содержимое, судя по всему, и есть "персональные данные". Значит, информацию в системах Банк-клиент закон предписывает защищать. А если при этом используются сертифицированные средства, то необходимо выполнять требования Инструкции. Если несертифицированные, то тоже не легче, т.к. после принятия Закона о персональных сведениях наверняка их потребуется защищать сертифицированными средствами.

                              Комментарий


                              • #16
                                dann14 А как насчет электронной почты - Outlook итд? Они ведь тоже шифруют. И вряд ли будут сертифицированы ФАПСИ. Использовать только для открытой информации?

                                Комментарий


                                • #17
                                  ИМХО, ни один закон не может заставить частную фирму или физическое лицо отказаться от использования несертифицированных СКЗИ в личных целях. Просто проконтролировать это невозможно. Но государство может сделать так, что в суде будут рассматриваться претензии только к сертифицированным СКЗИ. И будет совершенно право! Поэтому в системах Банк-клиент, в конечном итоге, придется использовать только сертифицированные СКЗИ.

                                  Комментарий


                                  • #18
                                    Почитайте сам ПКЗ-99 ( 23.09.1999 #158), там расписано в Общих положениях кому и как использовать СКЗИ (п.1,2,3). В п.4 сказано "....В отношении иных лиц требования Положения ПКЗ-99 носят рекомендательный характер." - т.е. и сам п.5 этого ПКЗ-99 с требованием использования СКЗИ лицензированных ФАПСИ - рекоментдательный!

                                    А еще до Общего положения расписано:

                                    "Порядок криптографической защиты конфиденциальной платежной информации при ее обработке и передаче по расчетным системам (сетям) Банка России (в случае необходимости) определяется совместными решениями Банка России и ФАПСИ."

                                    Комментарий


                                    • #19
                                      Роман
                                      Что касается Outlook, то если он используется в личных целях - нет проблем. Все дело в том, что в банке есть "чужая" информация, которую по закону необходимо защищать.
                                      sandyman
                                      Совершенно с Вами согласен.
                                      Scor
                                      В п.4 Общих положений ПКЗ-99 говорится, как и в обсуждаемой Инструкции, о "подлежащей в соответствии с действующим законодательством обязательной защите конфиденциальной информации". А рекомендательный характер требования ПКЗ-99 носят в том случае, если информация не должна защищаться ПО ЗАКОНУ, но ее собственник решил ее защищать, т.к. считает ее конфиденциальной.
                                      Что же касается положения о Банке России, то имеется в виду Центробанк, который договаривается с ФАПСИ отдельно.

                                      Комментарий

                                      Пользователи, просматривающие эту тему

                                      Свернуть

                                      Присутствует 1. Участников: 0, гостей: 1.

                                      Обработка...
                                      X