26 мая, вторник 09:50
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

АРМ КБР-Н Пусконаладка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Сообщение от ost Посмотреть сообщение

    -- У вас несчастные случаи на производстве были?
    -- Нет.
    -- Будут!
    (с)

    Комментарий


    • Сообщение от pereprorubkin Посмотреть сообщение
      При чем тут "ПОЛОЖЕНИЕ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАЗРАБОТКЕ, ПРОИЗВОДСТВУ, РАСПРОСТРАНЕНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ... и т.д. " Астрасофт не разарабтывает СКЗИ... к нему это положение не относится... Они используют "Сигнатуру", у которой есть все лицензии...
      Вы просто, наверное, не слышали о том, что несколько лет назад, в Краснодарском крае, против пред правов нескольких банков, были возбуждены уголовные дела по 171 УК РФ (незаконное предпринимательство) из-за того, что у этих банков не было соответствующей лицензии ФСБ при предоставлении клиентам услуг ДБО с использованием СКЗИ. После чего, ес-но, никто подобных вопросов больше не задавал...
      А встраивание СКЗИ это такой же лицензируемый ФСБ вид деятельности (+ некоторые другие ).....

      Комментарий


      • Все упирается в трактовку понятия "встраивание", не так ли?

        Комментарий


        • Интересно, разработчик АРМ КБР/КБРН обладает упомянутой лицензией? Там ведь точно такое же "встраивание", что и в продукте Астрасофта.

          Комментарий


          • Сообщение от saches Посмотреть сообщение
            несколько лет назад, в Краснодарском крае
            В Краснодарском крае ещё и не такое было, у них там вообще свои понятия, вон юристы плачутся, что там судиться очень тяжело.


            Давайте ближе к теме
            Сообщение от saches Посмотреть сообщение
            встраивание СКЗИ
            У вас как решен вопрос с третьим вариантом защиты?
            Вот Астра этот вопрос решает.

            Комментарий


            • Встраивание - это запуск чего-либо (хоть трижды сертифицированного) не через [АРМ].exe, hash-сумму которого вы заверили соответствующим Актом аттестации ПО, переданного по соответственному Акту приема-передачи ПО по Договору о передаче ПО для исполнения условий Договора об обмене. (На форуме КриптоПро даже как-то было, что только передача на материальном носителе с голографической наклейкой имеет законный смысл - никаких скачиваний даже с проверкой hash контора глубокого бурения не признает.)

              Проверяющие ЦБ обычно проверяют, все-таки, соблюдение буквы условий их договоров, П и У, а федеральные вопросы - другие компетентные органы. Так что "четвертый вопрос" к Астре - промахнулся с формулировкой. Потому и ответ - покажете проверяющим ЦБ договор с Астрой - скорей всего, они его только и проверят на наличие раздела о конфиденциальности, например. А уж его-то они уже отрихтовали как надо - какие претензии, действительно. Как УТА - можно же использовать и другие приобретенные по договорам решения.

              С другой стороны - ну какие риски по сути-то? На пути в СВК: файл был "криво" обработан ЗК/КА/КШ - ЦБ его отбракует - деньги не уйдут. На пути из СВК: "криво" расшифровать - не выйдет, проверить КА ЦБ - вот вся печаль - зачислить деньги не те и не тому из числа своих клиентов.

              Комментарий


              • ​​​​http://www.cryptocom.ru/law/149-54-144.html

                Встраивание криптосредства–процесс подключения криптосредства к техническим и программным средствам, совместно с которыми предполагается его штатное функционирование, за исключением процесса инсталляции. Требования к контролю встраивания криптосредства

                5.1.Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).

                Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.

                5.2.Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России.

                Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России.

                5.3.В ходе контроля со стороны ФСБ России встраивания криптосредства могут решаться, в частности, следующие задачи:
                • проверка требований документации на криптосредство, относящихся к встраиванию криптосредства, в том числе:
                  • анализ корректности встраивания;
                  • анализ правильности функционирования системы управления ключами;
                • экспериментальная проверка работоспособности криптосредства и правильности выполнения возложенных на него целевых функций;
                • оценка влияния технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства, на выполнение предъявляемых к криптосредству требований.


                Так что вопрос о наличии лицензии у Астрасофт становится интереснее.

                Комментарий


                • Сообщение от diev Посмотреть сообщение
                  На форуме КриптоПро даже как-то было, что только передача на материальном носителе с голографической наклейкой имеет законный смысл
                  Вся эта лабуда про передачу с наклейкой заканчивается, как только ты заплатил им нужное кол-во денег, а софт таки не работает. Будучи прижатым к стенке, сапорт тебе присылает dll или jar и говорят, у нас там бага в дистрибутиве, поменяй на то что мы прислали, меняешь и всё начинает работать. И вот тут они про наклейки, почему-то, резко забывают.

                  Лень мне копаться в архиве почты 8-го 9-го годов, а то бы и письмо приложил.

                  Комментарий


                  • Сообщение от w3d Посмотреть сообщение
                    Так что вопрос о наличии лицензии у Астрасофт становится интереснее.
                    Вам тот же вопрос, как у вас решена задача с третьим вариантом защиты?

                    Комментарий


                    • Сообщение от w3d Посмотреть сообщение
                      ​​​​http://www.cryptocom.ru/law/149-54-144.html

                      Встраивание криптосредства–процесс подключения криптосредства к техническим и программным средствам, совместно с которыми предполагается его штатное функционирование, за исключением процесса инсталляции. Требования к контролю встраивания криптосредства

                      5.1.Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).

                      Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.

                      5.2.Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России.

                      Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России.

                      5.3.В ходе контроля со стороны ФСБ России встраивания криптосредства могут решаться, в частности, следующие задачи:
                      • проверка требований документации на криптосредство, относящихся к встраиванию криптосредства, в том числе:
                        • анализ корректности встраивания;
                        • анализ правильности функционирования системы управления ключами;
                      • экспериментальная проверка работоспособности криптосредства и правильности выполнения возложенных на него целевых функций;
                      • оценка влияния технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства, на выполнение предъявляемых к криптосредству требований.


                      Так что вопрос о наличии лицензии у Астрасофт становится интереснее.
                      Хм... Хотелось бы услышать комментарий от sap

                      Комментарий


                      • Сообщение от w3d Посмотреть сообщение
                        Все упирается в трактовку понятия "встраивание", не так ли?
                        Т.к. термин "встраивание" здесь используется как некое общее понятие, я бы все таки сказал, что все упирается в Постановление Правительства № 313 с учетом ФЗ-99.
                        Там конкретно расписано в каких случаях какие требования к получаемой лицензии (что там должно быть указано) и лицензиату.
                        На самом деле, ничего особо сложного в получении лицензии ФСБ нет, а по опыту общения с разработчиками банковского софта, которые поголовно занялись "встраиванием" СКЗИ в свои поделки в связи с переходом банков на АРМ КБР-Н (периодически волосы дыбом вставали от их вопросов), поневоле начинаешь понимать, что любой подобной конторе было бы неплохо иметь в штате людей с пониманием того, что требуется при разработке ПО, использующее СКЗИ. Т.е. фактически, исполнения требований ФСБ к лицензиату.

                        Комментарий


                        • Сообщение от pereprorubkin Посмотреть сообщение
                          Хотелось бы услышать комментарий
                          Откройте формуляр на Сигнатуру 5 и посмотрите там про встраивание.

                          Комментарий


                          • Сообщение от saches Посмотреть сообщение
                            ничего особо сложного в получении лицензии ФСБ нет
                            Это смотря какие пункты вы заявляете. По пунктам, где подразумевается разработка СКЗИ, требуется ещё и получение лицензии на гостайну.

                            Комментарий


                            • w3d
                              коллеги, предлагается, перестать постить в ветку уже не актуальную нормативку. Возможно это и имело бы смысл для поддержания разговора, но прояснению понимания точно не способствует.

                              Комментарий


                              • Сообщение от saches Посмотреть сообщение
                                по опыту общения с разработчиками банковского софта, которые поголовно занялись "встраиванием" СКЗИ в свои поделки в связи с переходом банков на АРМ КБР-Н
                                Т.е. у вас будет АБС со встроенным СКЗИ, а встраивание делала контора, не имеющая лицензии. Так?
                                Это вас не смущает.

                                Комментарий


                                • Сообщение от ost Посмотреть сообщение
                                  Это смотря какие пункты вы заявляете. По пунктам, где подразумевается разработка СКЗИ, требуется ещё и получение лицензии на гостайну.
                                  Полностью согласен. Но почему-то решил, что для посетителей данной ветки форума, этот вопрос не актуален.

                                  Комментарий


                                  • Сообщение от ost Посмотреть сообщение
                                    Т.е. у вас будет АБС со встроенным СКЗИ, а встраивание делала контора, не имеющая лицензии. Так? Это вас не смущает.
                                    В данном случае, речь шла не про наших вендоров.

                                    Комментарий


                                    • Сообщение от saches Посмотреть сообщение
                                      В данном случае, речь шла не про наших вендоров.
                                      Ну да, ну да.

                                      Комментарий


                                      • Сообщение от pereprorubkin Посмотреть сообщение
                                        Хм... Хотелось бы услышать комментарий от sap
                                        На самом деле, что называется, "устами "младенца" глаголет истина..."
                                        В приведенной цитате из нормативке, речь идет о том, что при встраивании СКЗИ в какое-либо ПО, при определенных условиях, (помимо наличия лицензии ФСБ у разработчика), необходимо проводить так называемый контроль встраивания СКЗИ в данное ПО или, как его еще называют -"тематические исследования" в неких специализированных организациях, в/ч и т.д. по ТЗ согласованному с ФСБ....(более конкретно, как уже отметил коллега, можно посмотреть в Формуляре на конкретный экземпляр СКЗИ).
                                        Причем, под эти самые "определенные условия" подпадают любые системы ДБО, использующие СКЗИ, все АБС, или иные поделки, использующие Сигнатуру для формирования ЗК и КА и, ес-но, АРМ КБР и АРМ КБР-Н.
                                        А вот, что бы хоть кто-то проводил эти самые тематические исследования, информацию, за одним единственным исключением, не встречал.
                                        Проверяется это достаточно просто - звонишь разработчику СКЗИ и спрашиваешь, типа хочу купить банковское ПО в соответствии с заветами регуляторов. Скажите, а обращался ли кто из разработчиков, для проведения тематических исследований своих поделок?
                                        И, с неподдельным интересом, слушаешь их ответы....
                                        Последний раз редактировалось saches; 31.08.2018, 17:40.

                                        Комментарий


                                        • Сообщение от pereprorubkin Посмотреть сообщение

                                          Хм... Хотелось бы услышать комментарий от sap
                                          Попробую прокомментировать (лично от себя).

                                          Во первых. Термин "встраивание" действительно законом определен не достаточно четко. Отсыл w3d к http://www.cryptocom.ru/law/149-54-144.html тоже мало помогает, поскольку непонятно кто и где определяет класс криптосредства (КС1, КС2, и т.д.) в данном случае,

                                          Во вторых. Если исходить из того что любое обращение к открытым интерфейсам криптографического средства считается "встраиванием", то тогда начинать надо с того что спросить у Microsoft о наличие такой лицензии - ведь все программы на вашем компе запускаются системой Windows.
                                          Более того, мне лично даже не понятно с кого надо спрашивать такую лицензию для случая когда программа инсталляции СКЗИ СИГНАТУРА на ВАШЕМ компе вставила в автозагрузку вызов утилиты командной строки проверяющей целостность файлов СКЗИ - это ведь тоже использование криптографического средства! Только вот не понятно, кто занимался его "встраиванием" - Валидата (разработавшая инсталятор), Банк России (выдавший вам продукт), Microsoft (ее программы осуществляют обработку списка автозагрузки), или админ (он запустил инсталятор и дозволил внести в автозагрузку сие действо).

                                          В третьих. Компания Астрасофт, в свое время получала несколько лицензий ФСБ, включая насколько я помню, даже лицензию на разработку и распространение криптографических средств. Под это дело, наши сотрудники, включая меня, проходили соответствующее обучение.
                                          Тогда нам это было нужно, поскольку среди прочего, мы разрабатывали и поставляли ПО Клиент-банк которое действительно содержало в себе реализацию криптографических алгоритмов разработанных нами с привлечением специалистов в этой области.
                                          Эти лицензии бессрочные.
                                          Однако, произошел казус. Несколько лет назад, нам пришлось сменить форму собственности компании. В результате, эти лицензии стали не действительными. Учитывая текущее состояние дел, мы пришли к выводу что та деятельность которой мы занимаемся сейчас, не требует наличия у нас каких либо лицензий ФСБ. Поэтому, мы не стали их получать повторно.

                                          Ну а для особо переживающих, у нас реализован вариант работы, когда наше ПО вообще ничего не знает ни про какой СКЗИ. Просто когда требуется выполнить ту или иную криптооперацию, она будет вызывать указанные команды (или скрипты). Ну а вы, либо ваши партнеры, обладающие всеми теми лицензиями которые вы сочтете нужными, напишите соответствующие программы (или скрипты).
                                          Правда, мне все равно будет не понятно - вызов такого скрипта считается встраиванием? Если да, то встраиванием во что (в скрипт, в АстраКБР, в MS Windows, и т.п.)? .

                                          Комментарий


                                          • Сообщение от saches Посмотреть сообщение
                                            с неподдельным интересом, слушаешь их ответы....
                                            Как правило, они отвечают, что не надо проводить никаких исследований.
                                            Даже если тут на банкире порыться, можно найти ответ разработчиков СКЗИ (как раз валидата).

                                            ЕМНИП ответ был в том духе, что оценку надо проводить, на тему корректно ли отображается содержимое документа пользователю на экране, а если файл обрабатывается в автоматическом режиме, то там накосячить невозможно, что подал на вход, то и подпишется/зашифруется.
                                            см. формуляр 2.14.6 Требования к встраиванию библиотек

                                            Комментарий


                                            • sap
                                              Нормальные такие космонавты....реально в космосе....

                                              Сообщение от ost Посмотреть сообщение
                                              .....Даже если тут на банкире порыться, можно найти ответ разработчиков СКЗИ (как раз валидата)..........
                                              А чего его тут искать, если на их форуме есть ответ http://www.x509.ru/forum/viewtopic.php?id=14887

                                              Сообщение от ost Посмотреть сообщение
                                              .......а если обрабатывается в автоматическом режиме, то там накосячить невозможно, что подал на вход, то и подпишется/зашифруется..........
                                              Интересно, почему тогда контроль встраивание обычно занимает полгода-год, а то и больше....и денег соответствующих стоит.
                                              Не иначе, потому что проверять там нечего, т.к. накосячить невозможно...

                                              Комментарий


                                              • Сообщение от saches Посмотреть сообщение


                                                Интересно, почему тогда контроль встраивание обычно занимает полгода-год, а то и больше....и денег соответствующих стоит.
                                                Не иначе, потому что проверять там нечего, т.к. накосячить невозможно...
                                                Цена тут определяется ровно так же, как цена на бутылку водки и пачку сигарет, с реальными трудозатратами она слабо коррелирует.

                                                Комментарий


                                                • Сообщение от saches Посмотреть сообщение
                                                  А чего его тут искать, если на их форуме есть ответ http://www.x509.ru/forum/viewtopic.php?id=14887
                                                  Всё понятно, только ЦБ делал, другие нет.

                                                  ​​​

                                                  Комментарий


                                                  • Сообщение от ost Посмотреть сообщение
                                                    Цена тут определяется ровно так же, как цена на бутылку водки и пачку сигарет, с реальными трудозатратами она слабо коррелирует.
                                                    Ну да, не иначе, что всё в акцизы идет.....

                                                    Комментарий


                                                    • Сообщение от saches Посмотреть сообщение
                                                      Ну да, не иначе, что всё в акцизы идет.....
                                                      Ближе к делу. У кого есть кошерный софт для третьего варианта защиты?

                                                      Комментарий


                                                      • Эээээ, полегче. Вы так договоритесь до того, что нам и АРМ КБР нельзя будет использовать! Он же в среднем раз в квартал обновляется и контроль встраивания тоже надо будет делать раз в квартал для каждой версии.
                                                        Хотя... Работали же мы с несертифицированной Сигнатурой пол года...

                                                        Комментарий


                                                        • Сообщение от sap Посмотреть сообщение

                                                          Попробую прокомментировать (лично от себя).

                                                          Во первых. Термин "встраивание" действительно законом определен не достаточно четко. Отсыл w3d к http://www.cryptocom.ru/law/149-54-144.html тоже мало помогает, поскольку непонятно кто и где определяет класс криптосредства (КС1, КС2, и т.д.) в данном случае,

                                                          Во вторых. Если исходить из того что любое обращение к открытым интерфейсам криптографического средства считается "встраиванием", то тогда начинать надо с того что спросить у Microsoft о наличие такой лицензии - ведь все программы на вашем компе запускаются системой Windows.
                                                          Более того, мне лично даже не понятно с кого надо спрашивать такую лицензию для случая когда программа инсталляции СКЗИ СИГНАТУРА на ВАШЕМ компе вставила в автозагрузку вызов утилиты командной строки проверяющей целостность файлов СКЗИ - это ведь тоже использование криптографического средства! Только вот не понятно, кто занимался его "встраиванием" - Валидата (разработавшая инсталятор), Банк России (выдавший вам продукт), Microsoft (ее программы осуществляют обработку списка автозагрузки), или админ (он запустил инсталятор и дозволил внести в автозагрузку сие действо).

                                                          В третьих. Компания Астрасофт, в свое время получала несколько лицензий ФСБ, включая насколько я помню, даже лицензию на разработку и распространение криптографических средств. Под это дело, наши сотрудники, включая меня, проходили соответствующее обучение.
                                                          Тогда нам это было нужно, поскольку среди прочего, мы разрабатывали и поставляли ПО Клиент-банк которое действительно содержало в себе реализацию криптографических алгоритмов разработанных нами с привлечением специалистов в этой области.
                                                          Эти лицензии бессрочные.
                                                          Однако, произошел казус. Несколько лет назад, нам пришлось сменить форму собственности компании. В результате, эти лицензии стали не действительными. Учитывая текущее состояние дел, мы пришли к выводу что та деятельность которой мы занимаемся сейчас, не требует наличия у нас каких либо лицензий ФСБ. Поэтому, мы не стали их получать повторно.

                                                          Ну а для особо переживающих, у нас реализован вариант работы, когда наше ПО вообще ничего не знает ни про какой СКЗИ. Просто когда требуется выполнить ту или иную криптооперацию, она будет вызывать указанные команды (или скрипты). Ну а вы, либо ваши партнеры, обладающие всеми теми лицензиями которые вы сочтете нужными, напишите соответствующие программы (или скрипты).
                                                          Правда, мне все равно будет не понятно - вызов такого скрипта считается встраиванием? Если да, то встраиванием во что (в скрипт, в АстраКБР, в MS Windows, и т.п.)? .
                                                          Из формуляра "Сигнатуры":
                                                          "2.9 АПК «Средство КЗИ СКАД «Сигнатура» версия 5» удовлетворяет «Требованиям к шифровальным (криптографическим) средствам, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну» и «Требованиям к средствам электронной подписи», утверждённым приказом ФСБ России от 27.12.2011 № 796:
                                                          - для исполнения 1: по уровню защиты КС1 при функционировании в физической и виртуальной среде;
                                                          - для исполнения 2: по уровню защиты КС2 при функционировании в физической среде."

                                                          учитывая:

                                                          Сообщение от w3d Посмотреть сообщение
                                                          ​​​​http://www.cryptocom.ru/law/149-54-144.html

                                                          Встраивание криптосредства–процесс подключения криптосредства к техническим и программным средствам, совместно с которыми предполагается его штатное функционирование, за исключением процесса инсталляции. Требования к контролю встраивания криптосредства

                                                          5.1.Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).

                                                          Так понимаю, вопрос с регулированием ФСБ в части использования Сигнатуры снимается? Алексей Лукацкий ?

                                                          Комментарий


                                                          • Сообщение от pereprorubkin Посмотреть сообщение
                                                            Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России
                                                            Без контроля со стороны ФСБ это ладно, но контроль со стороны разработчика никто не отменял http://www.fsb.ru/fsb/science/single...searchart.html

                                                            оценка влияния аппаратных, программно- аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований осуществляется разработчиком СКЗИ
                                                            IMHO надо читать формуляр ВАМБ.00106-01 30 01

                                                            2.16 Проверка корректности встраивания
                                                            2.16.1 При встраивании «Сигнатура-клиент» в прикладные системы необходимо проводить проверку (оценку) влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, с которыми предполагается его штатное функционирование, на выполнение предъявленных к данному средству требований, в следующих случаях:
                                                            - если информация конфиденциального характера подлежит защите в соответствии с законодательством Российской Федерации;
                                                            - при организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
                                                            - при организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд;
                                                            - если обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;
                                                            - при обрабатывании информации конфиденциального характера, обладателем которой являются государственные органы или организации, выполняющие государственные заказы, в случае принятия ими мер по охране ее конфиденциальности путем использования средств криптографической защиты;
                                                            - при обрабатывании информации конфиденциального характера в государственных органах и в организациях, выполняющих государственные заказы, обладатель которой принимает меры к охране ее конфиденциальности путем установления необходимости криптографической защиты данной информации.

                                                            В остальных случаях указанная проверка носит рекомендательный характер.

                                                            Указанная проверка должна проводиться по техническому заданию (ТЗ), согласованному
                                                            с Центром защиты информации и специальной связи ФСБ России. Проверка должна производиться специализированными организациями, имеющими лицензию ФСБ России на указанный вид деятельности.

                                                            Комментарий


                                                            • Сообщение от Berckut Посмотреть сообщение
                                                              Работали же мы с несертифицированной Сигнатурой
                                                              Да, и ничего, небо на землю не обрушилось.

                                                              Комментарий

                                                              Обработка...
                                                              X