18 сентября, вторник 20:45
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

использование сертифицированных СКЗИ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • использование сертифицированных СКЗИ

    А кто может подсказать ссылку на какие-либо законы, НПА или ЦБ-шные указания о том, что в банках можно использовать только сертифицированные средства шифрования?

  • #2
    alpiv нет таких НПА

    Комментарий


    • #3
      alpiv эти рекомендации дает вам ваш контролирующий орган, у нас это Нацбанк

      Комментарий


      • #4
        Сообщение от alpiv Посмотреть сообщение
        А кто может подсказать ссылку на какие-либо законы, НПА или ЦБ-шные указания о том, что в банках можно использовать только сертифицированные средства шифрования?
        Сертифицированные СКЗИ нужны там, где нужна юридически-значимая ЭЦП. Согласно ФЗ, "подтверждение подлинности ЭЦП в ЭД - положительный результат проверки соответствующим сертифицированным средством". Из этого следует, что как минимум АРМ разбора должен использовать сертифицироыванную реализацию криптографического алгоритма. Поскольку реализации ГОСТ 34.10-XX перекресно несовместимы, всем участникам обмена придется использовать такие же сертифицированные криптосредства.

        Юридически значимая ЭЦП нужна, как минимум, в двух случаях:
        - для подписания платежных поручений (следует из положения 2-П ЦБ РФ)
        - при взаимодействии с налоговой, НБКИ, ФСФМ (следует из договоров и регламентов этих организаций)

        В остальных случаях вы можете использовать любую криптографию, не обязательно сертифицированную и не обязательно ГОСТ.

        Комментарий


        • #5
          malotavr
          Каким образом из 2-П следует необходимость применения ЭЦП в соответствии с ФЗ об ЭЦП?
          Пока на эту тему я вижу только
          2.14 В рамках применяемых форм безналичных расчетов допускается использование аналогов собственноручной подписи в соответствии с требованиями законодательства и нормативных актов Банка России.
          Почему ЦБ сознательно уходит от определения и аббревиатуры ЭЦП, говоря об аналоге собственноручной подписи?
          Почему, скажем, в системах telebank.ru, connect.raiffeisen.ru для расчётов применяются несертифицированные СЗИ?

          Понятно, что гос.органы обязаны использовать для защиты любого электронного документооборота только сертифицированные СЗИ. Отсюда и необходимость у коммерсов использовать сертифицированные СЗИ во взаимодействии с гос.органами. Но фактически выбор СЗИ определяется договором с той организацией, с которой начинается документооборот, а не каким-либо законом, имхо. Поправьте меня, если ошибаюсь.

          Комментарий


          • #6
            т.е. ситуация такая - для шифрования трафика и файлов можно использовать несертифицированные СКЗИ, а для ЭЦП в интернет-банке - только сертифицированные?

            Комментарий


            • #7
              Сообщение от sunny Посмотреть сообщение
              Каким образом из 2-П следует необходимость применения ЭЦП в соответствии с ФЗ об ЭЦП?
              Пока на эту тему я вижу только
              2.14 В рамках применяемых форм безналичных расчетов допускается использование аналогов собственноручной подписи в соответствии с требованиями законодательства и нормативных актов Банка России.
              Почему ЦБ сознательно уходит от определения и аббревиатуры ЭЦП, говоря об аналоге собственноручной подписи?
              Почему, скажем, в системах telebank.ru, connect.raiffeisen.ru для расчётов применяются несертифицированные СЗИ?
              Cтатьz 160 ГК "Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон."

              До появления ФЗ "Об ЭЦП" использование ЭЦП как аналога собственноручной подписи ничем не регламентирвалось, поэтому в силу статьи 160 использовать ЭЦП было нельзя. Поэтому ЦБ выпустил "иной правовой акт" (временное положение 17-П), узаконив ЭЦП.

              С выходом ФЗ использование ЭЦП регламентируется уже двумя документами, причем ФЗ имеет безусловный приоритет. То есть, если из ФЗ следует, что подлинность ЭЦП должна проверяться сертифицированным средством, положение ЦБ не может эту норму изменить.

              Сообщение от sunny Посмотреть сообщение
              Почему ЦБ сознательно уходит от определения и аббревиатуры ЭЦП, говоря об аналоге собственноручной подписи?
              "Хотели как лучше" - положение писалось так, чтобы всем точно было понятно, что речь идет именно об аналоге собственноручной подписи, о котором говорится в ГК. После выхода ФЗ "Об ЭЦП" документ не пересматривали, поскольку противоречий с законом в нем нет.

              Сообщение от sunny Посмотреть сообщение
              Почему, скажем, в системах telebank.ru, connect.raiffeisen.ru для расчётов применяются несертифицированные СЗИ?
              Потому что не наказывают Российские граждане, да и мошенники тоже, не сильно подкованы юридически. При использовании несертифицированной СКЗИ вы напрашиваетесь на простую атаку: клиент отправляет вам платежное поручение, вы перечисляете деньги, после чего клиент заявляет, что никакого поручения не делал. Вы проводите разбор, делаете заключение о подлинности ЭЦП, клиент с этим заключением идет в суд и утверждает, что вы не имели права признавать его ЭЦП подлинной, поскольку проверка производилась несертифицированным средством. Если клиент при этом не настаивает на признании договора ДБО недействительным, то в рамках прописанной в договоре процедуры разбора вы вынуждены будете признать ЭЦП клиента "не подлинной".

              Не факт, что суд примет решение в его пользу, но шанс есть - многое зависит от того, какими словами в договоре прописана процедура разбора.

              Комментарий


              • #8
                Сообщение от alpiv Посмотреть сообщение
                т.е. ситуация такая - для шифрования трафика и файлов можно использовать несертифицированные СКЗИ, а для ЭЦП в интернет-банке - только сертифицированные?
                В корпоративном интернет банке - только сертифицированные. Положение 2-П, если я не ошибаюсь, распространяется только на юриков. Для шифрования трафика и файлов ы можете использовать что угодно (пока, по крайней мере).

                Комментарий


                • #9
                  malotavr
                  Итого:
                  1. В соответствии с 160ГК я (Банк) имею право использовать для ДБО аналог собственноручной подписи (не ЭЦП) в соответствии с соглашением сторон.
                  2. Так как это не ЭЦП, в закон об ЭЦП я смотреть вообще не обязан.
                  3. С этих пор все выкладки о сертифицированных средствах для проверки ЭЦП для меня идут прахом, а суд при разногласиях будет исходить из условий договора о ДБО.
                  4. Таким образом, никаких законов я не нарушаю и на законных основаниях использую для расчётов несертифицированные СЗИ.
                  Так?

                  Комментарий


                  • #10
                    Только не ограничивайте СКЗИ только сферой ЭЦП. Генерация ключей - это тоже СКЗИ. А ЭЦП вообще в сферу деятельности ФАИТ, а не ФСБ относится. Так что все непросто

                    Комментарий


                    • #11
                      Сообщение от sunny Посмотреть сообщение
                      malotavr
                      Итого:
                      1. В соответствии с 160ГК я (Банк) имею право использовать для ДБО аналог собственноручной подписи (не ЭЦП) в соответствии с соглашением сторон.
                      2. Так как это не ЭЦП, в закон об ЭЦП я смотреть вообще не обязан.
                      3. С этих пор все выкладки о сертифицированных средствах для проверки ЭЦП для меня идут прахом, а суд при разногласиях будет исходить из условий договора о ДБО.
                      4. Таким образом, никаких законов я не нарушаю и на законных основаниях использую для расчётов несертифицированные СЗИ.
                      Так?
                      Ошибка в п. 2. В законе дано очень широкое определение ЭЦП
                      "Электро́нная цифрова́я по́дпись (ЭЦП)— реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.".

                      Под это определение попадает почти любой механизм криптографический механизм, основанный на использовании пар ключей. Даже если вы придумаете что-то принципиально отличное от X.509 и PGP, это все равно будет попадать в сферу действия закона.

                      Комментарий


                      • #12
                        Сообщение от malotavr Посмотреть сообщение
                        Ошибка в п. 2. В законе дано очень широкое определение ЭЦП
                        "Электро́нная цифрова́я по́дпись (ЭЦП)— реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.".

                        Под это определение попадает почти любой механизм криптографический механизм, основанный на использовании пар ключей. Даже если вы придумаете что-то принципиально отличное от X.509 и PGP, это все равно будет попадать в сферу действия закона.

                        На мой взгляд, если СКЗИ несертифицировано, то оно не является криптографическим средством,а средством кодирования информации. Мой взгляд основан на мнении СТАРШИХ БРАТЬЕВ

                        Комментарий


                        • #13
                          Коллеги, позвольте, а как же быть тогда с ГК?
                          С уважением, Антон

                          Комментарий


                          • #14
                            malotavr
                            Ой, не уверен. Квалифицированно возразить не могу, к сожалению.
                            "Чую бесовщину, но обосновать не могу"
                            Только на полуинтуитивном уровне. Зачем тогда в ГК ушли от формулировки и прямого указания на ЭЦП? Тоже "хотели как лучше"? Не верится.
                            Или вот ещё. Буду я платёжки принимать по электронной почте в xls файле с паролем. И в договоре пропишу, что если с заранее определённым паролем файл открывается, то документ признаётся аналогом оного на бумажном носителе, подписанного уполномоченным лицом плательщика. Это тоже будет ЭЦП?

                            Комментарий


                            • #15
                              [QUOTE=sunny;2272285]malotavr
                              Ой, не уверен. Квалифицированно возразить не могу, к сожалению.
                              "Чую бесовщину, но обосновать не могу"
                              Только на полуинтуитивном уровне. Зачем тогда в ГК ушли от формулировки и прямого указания на ЭЦП? Тоже "хотели как лучше"? Не верится.


                              Аналогов собственноручной подписи много. Факсимильная подпись (резиновый штемпель) - это тоже АСП. Статья 160 ГК относится ко всем видам АСП, включая ЭЦП.

                              ЭЦП - частный случай АСП, применимый к электронным документам. Для электронных документов можно придумать массу вариантов АСП, ЭЦП просто самый известный.

                              Сообщение от sunny Посмотреть сообщение
                              Или вот ещё. Буду я платёжки принимать по электронной почте в xls файле с паролем. И в договоре пропишу, что если с заранее определённым паролем файл открывается, то документ признаётся аналогом оного на бумажном носителе, подписанного уполномоченным лицом плательщика. Это тоже будет ЭЦП?
                              В соответствии с законом к ЭЦП относятся все способы, позволяющие одновременно установить авторство и проврить целостность электронноо документа и основанные на использовании криптографических преобразований с парой ключей. Пример, приведенный вами - не ЭЦП, поскольку нет явного криптографического преобразования и нет пары ключей.

                              Но вы можете прописать такой способ в договоре, назвав пароль аналогом собственноручной подписи. Я сталкивался с договорами ДБО, в которых пароль интернет-банка обзывался АСП. Юридически это корректно, хотя и нечестно

                              Есть и честные некриптограыфические АСП (хотя они тоже описываются в учебниках по криптографии).

                              Комментарий


                              • #16
                                а телексные ключи использовать можно? даешь телексные ключи в бифит!!

                                Комментарий


                                • #17
                                  Где-то с полгода назад для нужд продаж одного западного средства шифрования я составлял такой документ, думаю с тех пор не многое изменилось...
                                  В настоящее время в большинстве стран мира отсутствует контроль за применением криптографии, аппаратные и программные криптографические средства защиты информации могут производиться, использоваться и продаваться без каких-либо ограничений (зеленая группа). К красной группе с жестким контролем применения криптографических средств относятся такие страны, как Беларусь, КНР, Израиль, Пакистан, Россия и Сингапур.

                                  В России основными механизмами реализации этой политики являются сертификация криптографической продукции и лицензирование деятельности по ее разработке и использованию. Основным проводником этой политики в России с 2003 года (после реорганизации ФАПСИ) в соответствии с Указом Президента № 308 от 11 марта 2003 года [1] является ФСБ РФ. При этом ФСБ переданы функции [2] "организации в пределах своих полномочий обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом". В соответствии с этим же указом ФСБ "осуществляет регулирование в области разработки, производства, реализации, эксплуатации, ввоза в Российскую Федерацию и вывоза из Российской Федерации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, а также в области предоставления на территории Российской Федерации услуг по шифрованию информации".

                                  Если посмотреть какими вопросами занимается ФСТЭК [3], то можно увидеть, что она отвечает за обеспечение безопасности некриптографическими методами:

                                  «обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации (далее - техническая защита информации)». Так как ФСТЭК является преемником Гостехкомиссии [4, п. 4], то все выпущенные документы Гостехкомиссии (в том числе по требования к сертификации по классам защищенности автоматизированных систем), применимы к ТЕХНИЧЕСКИМ СРЕДСТВАМ ЗАЩИТЫ, что логично, так как находится в компетенции ФСТЭК. ФСБ отвечает за использование СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ (СКЗИ), поэтому выпускает такие вещи, как [5]. В нем сказано, что к СКЗИ относятся:

                                  а) средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении;

                                  б) средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

                                  в) средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

                                  г) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

                                  д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

                                  е) ключевые документы (независимо от вида носителя ключевой информации).

                                  Если мы говорим и таких продуктах, как SafeBoot, DriveCrypt, PGP или КриптоПро, то они явно относятся к СКЗИ, так как относятся к пункту а), следовательно, ФСТЭК и его документы к ним никакого отношения не имеют. В [5] никаких требований о сертификации СКЗИ нет, есть только порядок разработки, эксплуатации, ввоза и т.д. Значит, информацию о сертификации СКЗИ следует искать в [6], как основном документе и сертификации средств защиты информации.

                                  «Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.» Как видно, это положение определяет порядок сертификации ВСЕХ средств защиты информации: и СКЗИ и ТЕХНИЧЕСКИХ СРЕДСТВ ЗАЩИТЫ, предназначенных для защиты информации, составляющей ГОСУДАРСТВЕННУЮ ТАЙНУ. Смотрим далее.

                                  «Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации». Все, больше в этом постановлении ни слова не сказано об обязательной сертификации.

                                  Есть еще такой документ [7], в котором дается разъяснения, в какие еще случаях нужно обязательно использовать сертифицированные СКЗИ.

                                  «Запретить использование государственными организациями и предприятиями в информационно - телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

                                  Предложить Центральному банку Российской Федерации и Федеральному агентству правительственной связи и информации при Президенте Российской Федерации принять необходимые меры в отношении коммерческих банков Российской Федерации, уклоняющихся от обязательного использования имеющих сертификат Федерального агентства правительственной связи и информации при Президенте Российской Федерации защищенных технических средств хранения, обработки и передачи информации при их информационном взаимодействии с подразделениями Центрального банка Российской Федерации…»

                                  Из всего вышесказанного я сделал вывод:

                                  1. Все средства защиты информации делятся на ТЕХНИЧЕСКИЕ СРЕДСТВА ЗАЩИТЫ и СРЕДСТВА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ (что косвенно подтверждается и содержание ФЗ «О лицензировании отдельных видов деятельности», когда лицензии получаются отдельно на разработку СКЗИ и отдельно на разработку ТСЗ, других средств защиты там нет).

                                  2. Все, что связано с СКЗИ (разработка, эксплуатация, сертификация, лицензирование…) отдано на откуп ФСБ (Центру лицензирования и сертификации).

                                  3. Все, что связано с некриптографической защитой информации, начиная от специсследований и спецпроверок и заканчивая сертификацией ТСЗ отдано ФСТЭК.

                                  4. Обязательной сертификации подлежат только те СКЗИ, которые предназначенные для защиты сведений, составляющих государственную тайну.

                                  5. В настоящий момент в России нет сертифицированных СКЗИ зарубежного производства, но есть много сертифицированных ТСЗ

                                  6. Любая коммерческая организация, не обрабатывающая информацию, составляющую ГТ может использовать несертифицированное СКЗИ.

                                  1) Указ Президента Российской Федерации "О мерах по совершенствованию государственного управления в области безопасности Российской Федерации" от 11 марта 2003 года № 308

                                  2) Положение о Федеральной Службе безопасности Российской Федерации и ее структуре. Указ Президента Российской Федерации от 11 августа 2003 г. № 960

                                  3) Положение о Федеральной службе по техническому и экспортному контролю. Указ Президента Российской Федерации от 16 августа 2004 г. № 1085

                                  4) Вопросы Федеральной службы по техническому и экспортному контролю Указ Президента Российской Федерации от 16 августа 2004 г. № 1085

                                  5) Приказ ФСБ РФ от 9 февраля 2005 г. N 66 Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)

                                  6) ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ ПОСТАНОВЛЕНИЕ О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ от 26 июня 1995 г. N 608

                                  7) Указ Президента РФ 1358 О МЕРАХ ПО СОБЛЮДЕНИЮ ЗАКОННОСТИ В ОБЛАСТИ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ ШИФРОВАЛЬНЫХ СРЕДСТВ, А ТАКЖЕ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ

                                  Комментарий


                                  • #18
                                    6. Любая коммерческая организация, не обрабатывающая информацию, составляющую ГТ может использовать несертифицированное СКЗИ.
                                    alexk12, коллега, очень хотелось бы, чтобы вы были правы, но, к сожалению, вы в своих рассуждениях упустили факт существования конфиденциальной информации (указ 188), СТР-К, постановления "о лицензировании деятельности по технической защите конфиденциальной информации". Так, в соответствии с 188 указом, конфиденциальная информация будет у многих коммерческих организаций, несмотря на отсутствие гос.тайны. Если я правильно делаю выводы, то для защиты конфиденциальной информации, необходимо использовать сертифицированные СКЗИ. К сожалению.
                                    Если неправ, то поправьте, рад бы ошибиться.

                                    Комментарий


                                    • #19
                                      dimmer13 Если неправ, то поправьте, рад бы ошибиться.
                                      ИМХО. Законодатель имитирует бурную деятельность по защитам всяческих тайн. Таким образом, у нас сейчас есть:
                                      - банковская тайна
                                      - конфиденциальная информация (например, пункт 1 перечня)
                                      - защита персональных данных (когда закон принимали, ну не вспомнил никто про то, что есть такой 188 указ)

                                      Постановление же 504 производит определенное впечатление. Например, пп. г п. 4:
                                      г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;

                                      И чего? У кого тут есть сертифицированная АБС? Кстати, исходя из процитированного, не вижу ОБЯЗАТЕЛЬНОСТИ применения сертифицированных СКЗИ. Да - еще вопрос - у кого СКЗИ встроены в АБС? Есть такие?
                                      С уважением, Антон

                                      Комментарий


                                      • #20
                                        Не заморачивайтесь насчет всяких тайн. Если мне не изменяет память в России их около 140 ;-)

                                        Комментарий


                                        • #21
                                          Сообщение от dimmer13 Посмотреть сообщение
                                          alexk12, коллега, очень хотелось бы, чтобы вы были правы, но, к сожалению, вы в своих рассуждениях упустили факт существования конфиденциальной информации (указ 188), СТР-К, постановления "о лицензировании деятельности по технической защите конфиденциальной информации". Так, в соответствии с 188 указом, конфиденциальная информация будет у многих коммерческих организаций, несмотря на отсутствие гос.тайны. Если я правильно делаю выводы, то для защиты конфиденциальной информации, необходимо использовать сертифицированные СКЗИ. К сожалению.
                                          Если неправ, то поправьте, рад бы ошибиться.
                                          Указ 188 содержит перечень сведений, которые разные законы называют конфиденциальными. Этот указ вообще ничего ни от кого не требует.

                                          СТР-К не является нормативным правовым актом, и организациями, не являющимися лицензиатами ФСТЭК, может в рассчет не приниматься.

                                          Постановление "О лицензировании деятельности по ТЗКИ" утверждает, что для получения лицензии нужно использовать сертифицированные средства. Строго говоря, защита банковской тайны - это лицензируемый вид деятельности. Но у ФСТЭК нет полномочий проверять организации, не имеющие лицензий. Они сами себя ограничили (см. Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации): в соответствии с регламентом ФСТЭК может проверить и наказать только лицензиата. Остальные органы исполнительной власти надзорными функциями в области ТЗКИ не обладают.

                                          Так что вывод вы сделали неправильный

                                          Комментарий


                                          • #22
                                            Сообщение от Demin Посмотреть сообщение
                                            И чего? У кого тут есть сертифицированная АБС? Кстати, исходя из процитированного, не вижу ОБЯЗАТЕЛЬНОСТИ применения сертифицированных СКЗИ. Да - еще вопрос - у кого СКЗИ встроены в АБС? Есть такие?
                                            Сертифицированных АБС не существует. Использование сертифицированных СКЗИ обязательно только в том случае, если вы с какого-нибудь перепугу напишете для себя акт классификации АС, в котором присвоите АБС класс 1Б (этот кдасс обычно используется для сов. секретных систем). Уровень 1Г, который применяется для конфиденциальных систем, использования сертифицированных СКЗИ не требует.

                                            Комментарий


                                            • #23
                                              malotavr Я-то с Вами согласен. Тут коллега dimmer13 опасается ошибиться.
                                              С уважением, Антон

                                              Комментарий


                                              • #24
                                                Сообщение от malotavr Посмотреть сообщение
                                                Но у ФСТЭК нет полномочий проверять организации, не имеющие лицензий. Они сами себя ограничили (см. Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации): в соответствии с регламентом ФСТЭК может проверить и наказать только лицензиата.
                                                Что за административный регламент? На сайте ФСТЭК есть просто регламент ФСТЭК. Там нет таких ограничений. Зато есть право контролировать выполнение требований в рамках компетенции ФСТЭК и приостанавливать деятельность за нарушение требований.

                                                Комментарий


                                                • #25
                                                  В тему - http://www.securitylab.ru/news/348422.php

                                                  Комментарий


                                                  • #26
                                                    Приказ ФСТЭК от 28 августа 2007 г. N 181 (Зарегистрировано в Минюсте РФ 03.10.2007 N 10232)

                                                    Комментарий


                                                    • #27
                                                      Сообщение от malotavr Посмотреть сообщение
                                                      Приказ ФСТЭК от 28 августа 2007 г. N 181 (Зарегистрировано в Минюсте РФ 03.10.2007 N 10232)
                                                      Спасибо за наводку. Интересный документ оказался ;-) Сами себя в жесткие рамки загнали. Вопрос только в его отношении с обычным регламентом в соответствии с приказом 167 от 12 мая 2005 г.

                                                      Комментарий


                                                      • #28
                                                        Коллеги, в п 4.г Положения о лицензировании деятельности по технической защите конфиденциальной информации говорится об обязательности использвания сертифицированных СЗИ
                                                        г) использование автоматизированных систем, обрабатывающих конфиденциальную информацию, а также средств защиты такой информации, прошедших процедуру оценки соответствия (аттестованных и (или) сертифицированных по требованиям безопасности информации) в соответствии с законодательством Российской Федерации;
                                                        Вопрос: относится ли деятельность по защите конфиденциальной информации в коммерческой организации к лицензируемым видам деятельности? Если да, то данный пункт предписывает обязательное сертифицирование (и/или аттестацию) СЗИ.

                                                        Комментарий


                                                        • #29
                                                          malotavr Но у ФСТЭК нет полномочий проверять организации, не имеющие лицензий. Они сами себя ограничили (см. Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации): в соответствии с регламентом ФСТЭК может проверить и наказать только лицензиата.

                                                          Кстати. Ажминистративный регламент касается только вопросов ЛИЦЕНЗИРОВАНИЯ. А остальные виды деятельности, в т.ч. контроль, представление в суд и т.д. находятся на одном уровне с лицензированием и для них, по идее, должен быть отдельный административный регламент.

                                                          А указанный административный регламент действительно касается только лицензиатов.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                            Спасибо за наводку. Интересный документ оказался ;-) Сами себя в жесткие рамки загнали. Вопрос только в его отношении с обычным регламентом в соответствии с приказом 167 от 12 мая 2005 г.
                                                            А в общем регламенте вообще ничего про надзорную деятельность нет. Там только про исполнение поручений Директора, взаимодействие с территориями, рееакция на парламентские запросы и обращения граждан.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X