17 октября, среда 10:58
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Сертифицированные крипто-СЗИ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сертифицированные крипто-СЗИ

    Добрый день!
    Подтвердите или опровергните, пожалуйста, утверждение, что банки обязаны использовать сертифицированные средства криптографической защиты (в частности интересует для организации VPN-соединения).
    Если это так, то подскажите в каком законе/документе это прописано четко черным по белому?
    И чем может в таком случае грозить банку использование несертифицированных средств (в частности, OpenVPN).

    Благодарствую.

  • #2
    1. Посмотрите в имеющиесся у банка лицензии ФСБ. Там всё должно быть написано. Если говорится про разрешение на использование OpenVPN, то всё отлично. Если же только про "сертифицированные средства"... ну сами понимаете.
    2. Закон "О лицензировании отдельных видов деятельности".
    3. Грозить может многими неприятностями, вплоть до уголовного дела. С этим нынче лучше не шутить.

    Комментарий


    • #3
      Не всё так фатально. Лицензии нужны и важны тогда, когда надо предъявлять доказательства в суде. Ну так вот, никакие электронные документы, выработанные системами, не имеющими лицензии, или имеющими просроченную лицензию, для рассмотрения не принимаются и доказательствами служить не могут. На этом всё и заканчивается. Т.е. в отношениях с клиентами - "нэ надо так дэлать". А для внутренних нужд тот же openvpn ничем не лучше и не хуже tcp-ip. Любой адвокат это докажет на раз-два.

      Аналогия из жизни. Для того, чтобы торговать пирожками в метро, нужна лицензия, санитарная справка, заключение пожарных.... ну и т.п. А для того, чтобы дома себе на кухне испечь и съесть пирожок, ничего не надо. Ну, кроме, может быть, медицинской страховки, если в собственных силах не уверен...

      Теперь по поводу "Посмотрите в имеющиесся у банка лицензии ФСБ". Лицензируется не абстрактный алгоритм. Лицензируется, - конкретная система, предназначенная для деятельности в области защиты информации. Из этого правила мне исключения неизвестны. Т.е. ответ на вопрос "можем ли мы использовать систему такую-то", он и есть - лицензия на её использование. С тою оговоркой, что ежели вы нигде не утверждаете, что система предназначена для защиты информации, то и лицензия не требуется.
      /kiv

      Комментарий


      • #4
        Сообщение от Илюха Посмотреть сообщение
        Не всё так фатально. Лицензии нужны и важны тогда, когда надо предъявлять доказательства в суде.
        Неа. Лицензии требуются, когда надо отбиваться от очередной проверки - ЦБшной, аудиторской или, не дай бог, "органами". В суде они нафиг не нужны.

        Ну так вот, никакие электронные документы, выработанные системами, не имеющими лицензии, или имеющими просроченную лицензию, для рассмотрения не принимаются и доказательствами служить не могут.
        Мы о чём ваще речь ведём? ЭЦП и сопутствующие судебные тяжбы - это совсем другая тема. А здесь был вопрос о средствах шифрования, да ещё внутрибанковских.

        А для внутренних нужд тот же openvpn ничем не лучше и не хуже tcp-ip. Любой адвокат это докажет на раз-два.
        Аналогия из жизни. Для того, чтобы торговать пирожками в метро, нужна лицензия, санитарная справка, заключение пожарных.... ну и т.п. А для того, чтобы дома себе на кухне испечь и съесть пирожок, ничего не надо. Ну, кроме, может быть, медицинской страховки, если в собственных силах не уверен...
        Не совсем уместный пример. В частную жизнь никто не вмешивается (пока), а вот во внутрибанковские дела - ещё как лезут. Лицензированию подлежит использование ЛЮБЫХ средств шифрования. Другое дело, что эти средства можно и не указывать в заявлении в ФСБ, может, и проканает.

        Теперь по поводу "Посмотрите в имеющиесся у банка лицензии ФСБ". Лицензируется не абстрактный алгоритм. Лицензируется, - конкретная система, предназначенная для деятельности в области защиты информации.
        Лицензируются НЕ системы, а виды деятельности, см. закон.
        Мы ведь говорим о лицензиях, получаемых банком, а не разработчиком СКЗИ.

        С тою оговоркой, что ежели вы нигде не утверждаете, что система предназначена для защиты информации, то и лицензия не требуется.
        Ну да, только проверяющие дядьки из лицензирующих органов могут с Вами не согласиться.
        Например, я не считаю простую эксплуатацию свифтового VPN-бокса техническим обслуживанием (я же максимум пыль с него протираю!), а вот ФСБ - считает, и требует ето лицензировать. Будем судиться с ними?

        Комментарий


        • #5
          Где-то должна быть граница разумности. Организация купила сотовый телефон для сотрудника, машину с сигнализацией, компьютер с предустновленной уиндоуз-икспи и испогльзует их в своей жизнедеятельности. Во всех этих изделиях используются средства шифрования. Занимать очередь в КГБ?

          Комментарий


          • #6
            Лицензируются НЕ системы, а виды деятельности, см. закон.
            Мы ведь говорим о лицензиях, получаемых банком, а не разработчиком СКЗИ.


            Закон - это хорошо, правильно и замечательно. Есть одно "но". Вот у меня есть лицензия (вернее, 3 лицензии: на распространение СЗИ, на обслуживание СЗИ и на предоставление услуг с использованием СЗИ). И в лицензии есть "особые условия". А в "особых условиях" пункт 2, гласящий, что я, конечно, могу предоставлять моим клиентам пользоваться системой электронного документооборота, использующей СЗИ, но перечень этих систем ограничен указанными ниже двумя видами.

            Вот такая фишка.

            У лицензии разработчика, наверняка, тоже есть особые условия, только я с ними всё равно не знаком.

            Занимать очередь в КГБ?

            Насколько я знаю, операторы мобильной связи таки обязаны иметь лицензии на техобслуживание и предоставление услуг. А клиентов, по доброму желанию ФАПСИ/ФСБ, это не колышет. Хотя, в перечне лицензируемых видов деятельности о том ничегошеньки не сказано. Я про эксплуатацию.
            /kiv

            Комментарий


            • #7
              Сообщение от Илюха Посмотреть сообщение
              Закон - это хорошо, правильно и замечательно. Есть одно "но". Вот у меня есть лицензия (вернее, 3 лицензии: на распространение СЗИ, на обслуживание СЗИ и на предоставление услуг с использованием СЗИ). И в лицензии есть "особые условия". А в "особых условиях" пункт 2, гласящий, что я, конечно, могу предоставлять моим клиентам пользоваться системой электронного документооборота, использующей СЗИ, но перечень этих систем ограничен указанными ниже двумя видами.
              Вот такая фишка.
              Ну и в чём же здесь "но"? Я о том же и говорил.

              Комментарий

              Пользователи, просматривающие эту тему

              Свернуть

              Присутствует 1. Участников: 0, гостей: 1.

              Обработка...
              X