15 октября, понедельник 18:01
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Информационная безопасность

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Информационная безопасность

    Зравствуйте!
    В коммерческом банке используется система электронного обмена-система клиент-банк. Для обеспечения защиты информации используется криптографическая система PGP FreeWare version 6.5.3. Не является ли это нарушением закона, ведь PGP не является сертифицированным ФСБ России продуктом.

  • #2
    закон об эцп "...При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации.
    "

    Комментарий


    • #3
      Ситуация строго обратная. Документ, присланный клиентом должен быть законно верифицируем. Всё. Чем оно шифруется, не важно. Важна подпись. А подпись должна работать в рамках государственного лицензирования систем, использующих электронную подпись.

      Все системы, использующие электронную подпись, но не имеющие ЛИЦЕНЗИИ (т.е. временного и обусловленного разными факторами) РАЗРЕШЕНИЯ на использование, законными средствами обеспечения подлинности сообщений НЕ ЯВЛЯЮТСЯ. Вне зависимости, опять же, от того, что там внутри.

      Если у банка есть лицензия на эксплуатацию системы, использующей эту самую PGP, всё законно. Если нету - незаконно. Вот и всё.

      Сертификация программных продуктов не означает автоматического лицензирования систем, изготовленных на основе этого продукта. Но вот отсутствие сертификата, насколько мне известно, как раз может являться основанием для отказа в выдаче лицензии.

      Плюс к тому, государственные органы РФ не имеют права вообще использовать несертифицированных средств защиты информации.
      Чем больше связей, тем меньше степеней свободы.

      Комментарий


      • #4
        Да, но в законе говорится о системе общего пользования, коей "Банк-Клиент" не является, а отношения между сторонами и порядок разрешения споров оговариваются в договоре с банком.

        Комментарий


        • #5
          Сообщение от olgeir Посмотреть сообщение
          закон об эцп "...При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи.
          "
          Система "Банк-Клиент" не является системой общего пользования, она корпоративная. А для них в законе такого требования нет.
          Но есть несколько грабель.
          Грабли нумер 1. В том же законе говорится об обязательном использовании "сертификатов ключей ЭЦП", выпускаемых УЦ, ну и масса требований к самим сертифкатам и к УЦ. В PGP такого не предусмотрено. Лечение:
          можно создать всё ето искусственно, закон позволяет. Обозвать открытые ключи сертификатами, утвердить печатные формы, придумать фиктивный УЦ как орган в составе банка... В принципе, неплохое решение "для бедных".
          Грабли нумер 2. Если среди ваших клиентов есть гос.организации, без сертифицированных СКЗИ не обойтись - PGP в качестве ЭЦП им использовать низзя.
          Лечение: простое, по примеру Московского ГТУ. Если влом возиться со всеми заморочками Закона об ЭЦП, проще отказаться от самого понятия ЭЦП и обозвать её каким-нибудь КА, АСП и т.д. На первый взгляд нормально, но результаты очередной проверки ЦБ или, не дай бог, "более другими" органами предсказать не берусь. Как и результат судебной тяжбы с клиентом по поводу авторства и достоверности полученного банком электронного документа на перевод пары миллионов долларов.
          Наконец, грабли нумер 3. Как известно, практически любой банк использует в своей работе средства шифрования (свифт, карточки, тот же банк-клиент и т.д.). Средства ЭЦП обычно не бывают отдельными, они идут в "одном пакете" со средствами шифрования. То есть PGP является сразу и средством ЭЦП, и шифровальным. Банк должен получить лицензии ФСБ на право работать с шифровальными средствами. Так вот, в этих лицензиях будет написано про использование только сертифицированных средств. То есть про всяческие PGP, Excellence и пр. можно забыть. Лечение: увы, мне неизвестно.

          Так что мой совет: не играть в рулетку с государством, всё равно его не обведёшь вокруг пальца. Переходите на сертифицированные ЭЦП, их сейчас неплохой выбор.

          Комментарий


          • #6
            Сообщение от kkkkk Посмотреть сообщение
            PGP FreeWare version 6.5.3. Не является ли это нарушением закона, ведь PGP не является сертифицированным ФСБ России продуктом.
            1. Если мне память не изменяет, то PGP 6.5.3. фриварной является только для персонального использования. То есть, Вы уже нарушаете один закон (об авторском праве наверное называется).
            2. Использование сертифицированных СЗИ является обязательным для гос.организаций (если Вы их обслуживаете, то для Вас это становится также обязательным), в рамках корпоративной системы нет запрета на использование несертифицированных средств. Но необходимо создание собственного удостоверяющего центра (УЦ), создание УЦ вопрос (как мне кажется) достаточно сложный и дорогой. Покупка сертифицированного СКЗИ + получение лицензий в ФСБ дешевле и более "законно", чем создание собственного УЦ + покупка PGP.
            3. Надо понимать, как Ваше ЦБ относится к использованию несертифицированных СКЗИ. С какой колокольни они рассматривают вопрос использования АСП/ЭЦП (отдают они предпочтение 17-П или Закону об ЭЦП).
            PS: Посмотрите в разделе "Электронный банкинг" высказывания Дмитрия Репана обоснования использования сертифицированных СКЗИ для всех, возможно найдете ответ на свой вопрос. Да и тему может стоит туда перенести.
            PSS: Вообще пусть Ваши юристы ломают голову над этим вопросом.

            Комментарий


            • #7
              Кстати, о птичках! rbc, похоже, взломан - при открытии top.rbc.ru firefox ведет себя неадекватно. Ослика не проверял - домой хочу. И троянов потом выковыривать ломы...

              Комментарий


              • #8
                PSS: Вообще пусть Ваши юристы ломают голову над этим вопросом.

                Вот я так однажды тоже подумал. Юристы подумали и придумали что можно. А через год после внедрения системы подумали ещё раз и придумали что нельзя...

                Так что, если заменить pgp труда не представит, можно и послушать юристов. А если геморой, то лучше сразу покупать сертифицированное.

                Благо, оно не очень дорогое, в минимальном варианте. По крайней мере то интерпро, которое нам продал РФК, стоило около десяти процентов от цены собственно банкклиента. Например.
                /kiv

                Комментарий


                • #9
                  kkkkk
                  Тема стара как мир, если воспользоваться поиском то можно получить много интересной информации(например термин "Закон об ЭЦП" упоминается на форуме 246 раз...уже 247)
                  Ну а в краце есть две альтернативы на чаше весов.
                  с одной стороны:
                  1)Приобрести лицензии сертифицированной СКЗИ
                  2)Получить лицензии на тех. ослуживание и распространение сертифицированных средств
                  Все вместе равно деньги + время
                  с другой стороны:
                  1)Поручить юристам разработать такой договор с клиентами, чтобы проверяющие органы не смогли подкопаться.
                  2)Занять выжидающую позицию, готовиться отбивать атаки проверящих органов
                  Это дополнительная работа для юристов, что опять таки деньки и некоторые риски.

                  Взвешивайте, решайте, что для Вас выгоднее.
                  С уважением,
                  Каленбет Денис

                  Комментарий


                  • #10
                    Сообщение от ax3 Посмотреть сообщение
                    Система "Банк-Клиент" не является системой общего пользования, она корпоративная. А для них в законе такого требования нет.
                    Но есть несколько грабель.
                    Но лучше наверное не наступать на грабельки, потому как в случае с БК грабельки могут быть весьма не маленькие. Я только с этих позиций предлагаю использовать закон об эцп как руководство к действию, ибо же как мне кажется БК это немного не та система где стоит рисковать. И потом сегодня не сертифицированными ситемами вроде можно пользоваться, а завтра скажут что нельзя и нужно будет начинать бегать покупать, авралом переводить клиентов на новую систему криптования.

                    Комментарий


                    • #11
                      Сообщение от olgeir Посмотреть сообщение
                      Но лучше наверное не наступать на грабельки, потому как в случае с БК грабельки могут быть весьма не маленькие. Я только с этих позиций предлагаю использовать закон об эцп как руководство к действию, ибо же как мне кажется БК это немного не та система где стоит рисковать. И потом сегодня не сертифицированными ситемами вроде можно пользоваться, а завтра скажут что нельзя и нужно будет начинать бегать покупать, авралом переводить клиентов на новую систему криптования.
                      Вот-вот!
                      Мы когда-то так и рассудили, что лучше подстраховаться и полностью соответствовать закону об ЭЦП, чем изобретать хитрые рискованные схемы и потом однажды некисло погореть на них.

                      Комментарий


                      • #12
                        ax3 полностью соответствовать закону об ЭЦП

                        Серьезно? У Вас лично владелец подписи приходит с носителем и подписывает каждый документ?

                        Комментарий


                        • #13
                          Сообщение от Jene Посмотреть сообщение
                          ax3 полностью соответствовать закону об ЭЦП
                          Серьезно? У Вас лично владелец подписи приходит с носителем и подписывает каждый документ?
                          - каждый ключ ЭЦП - личный, принадлежит конкретному уполномоченному лицу клиента, и это лицо за него отвечает (хранит на дискете в сейфе или на общедоступном харде - его проблемы);
                          - человек на своём рабочем месте вставляет дискету и подписывает документы; ЭЦП эквивалентна живой подписи этого человека;
                          - сертификат оформляется как положено по Закону;
                          - УЦ выполняет все положенные ему функции.
                          В чём проблемы-то?
                          Ну да, организовать это всё на раз-два не очень-то просто, надо писать кучу хитрых регламентов и претворять их в жизнь. Но всё решаемо.

                          Комментарий


                          • #14
                            Положения о лицензировании деятельности, связанной с шифрованием требуют наличия лицензий во всех случаях, кроме нескольких исключений:
                            - криптоядра, встроенные в ОС, прошивку железа, кассовые аппараты, банкоматы
                            - слабые криптоалгоритмы (до 128 бит ключа ассимметричных алгоритмов, до 40 бит симметричных алгоритмов.

                            Клиент-банк используется для оказания услуг клиентам и с ними связаны сразу два лицензируемых вида деятельности:
                            - оказание услуг связанных с шифрованием (например, распределение ключей - это оговорено в соответствующем полдожении)
                            - распространение гифровальных средств если вы сами даете клиентам клиентское ПО)

                            PGP ни под одно исключение не попадает, поэтому лицензия вам нужна.

                            Комментарий


                            • #15
                              полностью соответствовать закону об ЭЦП
                              Продолжим...
                              Подскажите хотя бы один УЦ, соответствующий закону об ЭЦП.

                              Комментарий


                              • #16
                                Сообщение от Jene Посмотреть сообщение
                                Подскажите
                                http://www.cryptopro.ru/cryptopro/se...ca-service.htm

                                Комментарий


                                • #17
                                  Закон определяет, что сертификат ключа ЭЦП может быть выдан только физическому лицу. Может быть использован псевдоним, но это должно быть оговорено в сертификате.

                                  Вот субъекты сертификата УЦ Крипто Про:

                                  CN = УЦ АТС ОРЭ
                                  OU = УЦО
                                  O = ООО КРИПТО-ПРО
                                  L = Москва
                                  C = RU
                                  E = ats@cryptopro.ru

                                  CN = УЦ АТС ОРЭ
                                  OU = УЦО
                                  O = ООО КРИПТО-ПРО
                                  L = Москва
                                  C = RU
                                  E = ats@cryptopro.ru

                                  CN = УЦ АТС ОРЭ
                                  OU = УЦО
                                  O = ООО КРИПТО-ПРО
                                  L = Москва
                                  C = RU
                                  E = ats@cryptopro.ru

                                  Покажите мне, какому физическому лицу выдан этот сертификат.

                                  А поскольку данный сертификат не соответствует закону об ЭЦП, все, заверенное им, также не соответствует закону об ЭЦП.

                                  Есть другие примеры?

                                  Комментарий


                                  • #18
                                    Добрый день! Смотрю в эти сертификаты CryptoPro каждый день. Там же еще поля есть:
                                    раздел Subject Владелец сертификата
                                    CN = Общее имя = Фамилия, Имя, Отчество
                                    OU = Подразделение = наименование подразделения
                                    О = Организация = наименование организации
                                    L = Город = наименование населенного пункта
                                    S = Область = наименование субъекта Федерации
                                    C = Страна/Регион = RU
                                    E = Электронная почта = адрес электронной почты
                                    По ним и определяется "подписант".
                                    (ats.cryptopro.ru/ra/cdp/reglament.rtf)
                                    Правда, мы в поле CN по традиции прописываем некий числовой код - идентификатор (псевдоним), указывающий в том числе на филиал, для которого в УЦ (один на банк) изготовлен сертификат. Но поскольку сертификат вещь серезная, пришлось завести базу учета сертификатов в виде ФИО должностных лиц в привязке к юридическим лицам, "электронные" полномочия в режиме реального времени тщательно сверяются с бумажной карточкой подписей -> при смене состава подписей в карточке менеджер по работе с клиентами сразу же несет распоряжение на аннулирование сертификата. Кстати, автоматизаторам очень рекомендую наладить работу с сертификатами ТОЛЬКО по распоряжениям клиентских подразделений, в чьем ведомстве юр.дела, а то у нас до этого получалось, что автоматизаторы раздают права подписи финансовых документов клиентам, не держа в руках юр.дел (а зачем это автоматизаторам?). По этой же базе отслеживаем сроки окончания сертификатов (обычно он издается сроком на 2 года с правом переиздания при условии, что на момент переиздания полномочия подписанта остались без изменений).

                                    Комментарий


                                    • #19
                                      http://top.rbc.ru/index1.shtml?ext=1
                                      ЦБ проверит банки на информационную безопасность


                                      Прошлогодний скандал с появлением в свободной продаже компьютерных дисков с данными о банковских заемщиках вынудил Банк России провести масштабную проверку информационной безопасности в кредитных учреждениях, сообщает газета "Коммерсантъ".
                                      По данным газеты соответствующие письма уже направлены в банки. В них, в частности, предлагается проверить соблюдение стандарта информационной безопасности, построенного на западных аналогах.

                                      Участники рынка отмечают, что речь идет о действительном ужесточении контроля ЦБ за информационной безопасностью, поскольку раньше подобных проверок никогда не проводилось.

                                      Впрочем, в самих банках к грядущей проверке относятся с недоверием, опасаясь утечки конфиденциальной информации о корпоративных клиентах.

                                      Скандал по поводу утечки данных о заемщиках возник в конце прошлого года, когда в свободной продаже появилась база данных "Отказы по кредитам и стоп-листы банков России", содержавшая около 3 миллионов записей о просрочках и неплатежах по кредитам, а также конфиденциальную информацию о заемщиках.

                                      Впрочем, уже в январе МВД России заявило, что содержавшаяся на диске информация не отражала реальное положение дел в сфере отношений банковских структур и их клиентов.

                                      Комментарий


                                      • #20
                                        ЦБ проверит банки на информационную безопасность

                                        Угу, все верно. Если у барина жена налево ходит, то неплохо бы ему пощупать и крестьянских жен на предмет свободных взглядов.
                                        Семь раз отпей - один отъешь.

                                        Комментарий


                                        • #21
                                          Сообщение от Jene Посмотреть сообщение
                                          Закон определяет, что сертификат ключа ЭЦП может быть выдан только физическому лицу. [.....]
                                          А поскольку данный сертификат не соответствует закону об ЭЦП, все, заверенное им, также не соответствует закону об ЭЦП.

                                          Есть другие примеры?
                                          Согласно Закону,
                                          корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
                                          Статус удостоверяющего центра, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы.
                                          Создание ключей электронных цифровых подписей осуществляется для использования в:
                                          информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;корпоративной нформационной системе в порядке, установленном в этой системе.
                                          Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы.
                                          Содержание информации в сертификатах ключей подписей, порядок ведения реестра сертификатов ключей подписей, порядок хранения аннулированных сертификатов ключей подписей, случаи утраты указанными сертификатами юридической силы в корпоративной информационной системе регламентируются решением владельца этой системы или соглашением участников корпоративной информационной системы.

                                          Комментарий


                                          • #22
                                            CN = Общее имя = Фамилия, Имя, Отчество

                                            То есть, Вы утверждаете, что УЦ АТС ОРЭ - это фамилия, имя и отчество некоего гражданина?

                                            Впрочем, если это псевдоним, об этом факте должно быть указано прямо в сертификате, а не в неких "тайных списках". В законе это изложено недвусмысленно.

                                            Комментарий


                                            • #23
                                              Сообщение от Jene Посмотреть сообщение
                                              CN = Общее имя = Фамилия, Имя, Отчество

                                              То есть, Вы утверждаете, что
                                              Цитатой из закона хотел подтвердить тот факт, что в своей корпоративной информационной системе можно установить какие угодно правила заполнения сертификатов и содержание полей, в том числе выдачу сертификата юр. лицу.

                                              Комментарий

                                              Пользователи, просматривающие эту тему

                                              Свернуть

                                              Присутствует 1. Участников: 0, гостей: 1.

                                              Обработка...
                                              X