25 сентября, вторник 17:37
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Изменение в законодательстве по криптографии

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Изменение в законодательстве по криптографии

    Что случилось?

    Утратило силу Постановление Правительства Российской Федерации от 23 сентября 2002 г. N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами".
    Взамен принято Постановление Правительства Российской Федерации от 29 декабря 2007 г. N 957 "Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами.

    Что осталось прежним?

    1. Четыре вида лицензируемой деятельности:
    - Деятельность по распространению шифровальных (криптографических) средств;
    - Деятельность по техническому обслуживанию шифровальных (криптографических) средств;
    - Предоставление услуг в области шифрования информации;
    - Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем. Последний вид деятельности к Cisco не относится
    2. Лицензирование перечисленных выше видов деятельности осуществляется Федеральной службой безопасности Российской Федерации.
    3. Лицензия выдается на 5 лет

    Что нового?

    1. !!!! Положения не распространяются на деятельность для:
    - шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну;
    - шифровальных (криптографических) средств независимо от их назначения, реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 56 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит;
    - беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах)
    - шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей, не относящихся к критически важным объектам
    2. Уменьшилось число лицензионных требований, но теперь они могут быть дополнены требованиями ФСБ, которые в настоящее время неизвестны
    3. Незначительно изменился перечень представляемых документов
    4. Лицензионный контроль за соблюдением лицензиатом лицензионных требований и условий будет осуществляется в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)"
    5. Исчезло определение деятельности по техническому обслуживанию
    6. Появился новый пункт о деятельности с нарушением и определение грубого нарушения.

    http://base.consultant.ru/cons/cgi/o...se=LAW;n=74104

  • #2
    Что новое постановление, что старое, мне до конца непонятно следующее. Действительно ли банкам необходимы лицензии при предоставлении такого рода услуги как "Банк-Клиент"?
    Мне непонятна до конца трактовка такого пункта постановления как:
    Настоящее Положение не распространяется на деятельность по распространению:
    б) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;
    Разве данный пункт не подходит под типовой банк-клиент?
    Банк покупает сертефицированное СКЗИ у официального разработчика, имеющего все необходимые лицензии. В договоре разработчик дает добро на использование его продукта в приложениях банка и на его распростронение среди клиентов. СКЗИ является компонентом клиентскойчасти программы, которое доступно без ограничений, пользователям там тоже нечего изменять и т.п.
    Так почему же для банка нужна лицензия? Или это только лишний повод заработать для лицензирующего органа.
    Кто нибудь слышал, чтобы банки реально наказывали за отсутствие таких лицензий?
    Буду благодарен за ваши комментарии.

    Комментарий


    • #3
      После прочтения сложилось впечатление, что изменения сделаны для тех законов и требований, которых пока ещё нет.

      Комментарий


      • #4
        Stnslav
        Для Банка нужна лицензия хотя бы потому, что он эти СКЗИ тех.обслуживает.

        Комментарий


        • #5
          Сообщение от sunny Посмотреть сообщение
          Stnslav
          Для Банка нужна лицензия хотя бы потому, что он эти СКЗИ тех.обслуживает.
          Да особо и не обслуживает. Предоставление клиентам новых версий, так это не обслуживание.
          Да и в Постановлении написано: "...без дальнейшей существенной поддержки поставщиком". На мой взгляд банк ничего существенного для клиентов и не делает

          Комментарий


          • #6
            Stnslv а кому Клиент будет звонить, если его платёжка не пройдёт по причине "неверной ЭЦП"?
            А кто дистрибутивы клиентского ПО со встроенными СКЗИ создаёт?
            И потом, ну ладно, допустим, Банк не тех.обслуживает клиенткую часть системы. Но серверную-то часть, включая СКЗИ, он обслуживает? Для этого и лицензия.
            А клиентскую часть МЦИ у Вас кто обслуживает?

            Комментарий


            • #7
              sunny, подскажите или дайте ссылку, что нужно делать для получения лицензии на тех. обслуживание СКЗИ, а так же какие процедуры будут проходить при получении лицензии (что будут проверять)?

              Комментарий


              • #8
                Sergey_V
                http://www.fsb.ru/contact/center/lsz/docs/post691.html - это постановление, которое утратило силу.
                http://www.garant.ru/hotlaw/doc/109485.htm - это новое. Алексей Лукацкий ссылку на Консультант приводил, но Консультант не все браузеры понимает.
                В этих постановлениях весь порядок и разрисован.
                Вот ещё доп. информация, контакты, етц: http://www.fsb.ru/contact/center/lsz/lsz.html

                Комментарий


                • #9
                  Stnslav Настоящее Положение не распространяется на деятельность по распространению: Как нам сказали в УЭБ ФСБ под этим имеется в виду, например, виндоус Вот так...
                  Господь Защититель живота моего от кого устрашуся?

                  Комментарий


                  • #10
                    Rakshin
                    А УЭБ-то тут вообще при каких делах?
                    Всё в наших руках...(с)

                    Комментарий


                    • #11
                      Пух575 А УЭБ-то тут вообще при каких делах? Не знаю, только когда мы доки подавали на лицензию нам такую печать поставили на описи
                      Господь Защититель живота моего от кого устрашуся?

                      Комментарий


                      • #12
                        В предыдущем постановлении был пункт "Деятельность по техническому обслуживанию шифровальных (криптографических) средств включает в себя:
                        а) монтаж, установку, наладку шифровальных (криптографических) средств;
                        б) ремонт, сервисное обслуживание шифровальных (криптографических) средств;
                        в) утилизацию и уничтожение шифровальных (криптографических) средств;
                        г) работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд)."

                        Т.е. сейчас вопрос лицензирования ТО для собственных нужд остался открытым.

                        Аналогичная ситуация с услугами. Определение пропало. Раньше было вот что: "Деятельность по предоставлению услуг в области шифрования информации включает в себя:
                        а) шифрование информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц;
                        б) имитозащиту информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц;
                        в) предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации, не содержащей сведений, составляющих государственную тайну;
                        г) обеспечение пользователей системы электронного документооборота ключевой информацией (включая ее формирование и распределение) независимо от вида носителя ключевой информации, предназначенной для защиты информации, не содержащей сведений, составляющих государственную тайну."

                        Комментарий


                        • #13
                          обеспечение пользователей системы электронного документооборота ключевой информацией

                          т.е. и генерируя ключи только для своей организации, орг-я должна иметь эту лицензию?

                          Комментарий


                          • #14
                            4б..
                            а где взять сотрудников? с 5-летним стажем

                            Комментарий


                            • #15
                              Коллеги, почитал я внимательно постановление. Вроде бы принципиальных изменний нет. Обзвонил коллег - вроде, никаких телодвижений им не добавилось. На следующей неделе начну официальную перепитску, заодно включу ваши вопросы (раз уж я все равно не уверен, что знаю правильные ответы). Вопросы я услышал или которые интересуют лично меня следующие:
                              1. Требует ли лицензирования Клиент-Банк? Требует, это я знаю точно, но официальное подтверждение не помешает.
                              2. Требует ли лицензирования оказание услуг подразделениям банка? Не требует в силу того, что закон "Об ЭЦП" оговаривает право корпоративной информационной системы самостоятельно устанавливать правила использования криптографии, но нужно проверить.
                              3. Требованиям каких документов нужно соответствовать? Мне известен только 152-й приказ ФАПСИ.


                              Что я забыл?

                              Комментарий


                              • #16
                                Сообщение от malotavr Посмотреть сообщение
                                Коллеги, почитал я внимательно постановление. Вроде бы принципиальных изменний нет. Обзвонил коллег - вроде, никаких телодвижений им не добавилось. На следующей неделе начну официальную перепитску, заодно включу ваши вопросы (раз уж я все равно не уверен, что знаю правильные ответы).
                                Мы тоже будем проводить семинар для наших партнеров с приглашением сотрудников ФСБ и тогда сравним наши результаты.

                                Сообщение от malotavr Посмотреть сообщение
                                Требует ли лицензирования оказание услуг подразделениям банка? Не требует в силу того, что закон "Об ЭЦП" оговаривает право корпоративной информационной системы самостоятельно устанавливать правила использования криптографии, но нужно проверить.
                                Все зависит от формы собственности, как я понимаю. Если подразделение банка является другим юрлицом (даже 100%-ой дочкой), то лицензия может потребоваться.

                                Сообщение от malotavr Посмотреть сообщение
                                Что я забыл?
                                Ну например, что такое "услуги в области шифрование" или "техническое обслуживание"? Эти определения из постановления пропали. Требуется ли лицензия, если услуги оказываются безвозмездно.

                                Комментарий


                                • #17
                                  Добрый вечер,

                                  эта проблема тоже имеет у нас место быть. На сколько я понимаю в банке используем только банк-клиент, но ничего от ФСБ у нас нет.

                                  Хотелось бы просто узнать на что идет ссылка относительно обязательности лицензирования банк-клиент и что необходимо указать в заявлении - какое обоснование?

                                  спасибо.

                                  Комментарий


                                  • #18
                                    malotavr очень правильно по теме ответил: "принципиальных изменений нет".

                                    То есть, принципиальный вопрос стоит только в том, "криптографическая компонента программной операционной системы, доступная для свободной продажи и не требующая существенной поддержки поставщиком" - это криптографическая часть банкклиента или нет. Ну, в частности, криптопровайдер виндус, если уж речь зашла.

                                    Мнения делятся. Одни считают, что да, поскольку это так. Другие считают, что нет, поскольку его можно и поменять. Третьи считают, что, конечно, да, но подстраховаться не мешает. А поскольку лицензирование - услуга платная, то, понятное дело, отдел лицензирования ФСБ всеми руками "за" всеобщность этого мероприятия. Из соображений "банки не обеднеют".

                                    Upd: Ах, да. Чуть не забыл. Есть ещё один прикол. Постановление, как указано в указано в преамбуле, выпущено в соответствии с 128-ФЗ. А упомянутый федеральный закон, как указано в статье 1 оного же закона, не распространяется на деятельность кредитных организаций.
                                    Последний раз редактировалось Илюха; 07.02.2008, 09:22.
                                    /kiv

                                    Комментарий


                                    • #19
                                      AndreyKan
                                      Как это только банк-клиент?
                                      А террористов отмываете?
                                      А отчётность ЦБ посылаете?
                                      Вербой пользуетесь?

                                      На сегодняшний день у меня складывается стойкое впечатление, что любая кредитная организация в России должна иметь СКЗИ-лицензии.

                                      Комментарий


                                      • #20
                                        Сообщение от sunny Посмотреть сообщение
                                        AndreyKan
                                        Как это только банк-клиент?
                                        А террористов отмываете?
                                        А отчётность ЦБ посылаете?
                                        Вербой пользуетесь?

                                        На сегодняшний день у меня складывается стойкое впечатление, что любая кредитная организация в России должна иметь СКЗИ-лицензии.
                                        Эта деятельность как раз не требует лицензирования.
                                        По прежним постановлениям лицензирование нужно было в двух случаях:
                                        1. Если вы даете дистрибутивы, генерите или сертифицируете ключи или обеспечиваете серверную часть сервиса ттретьим лицам - следовало из постановлений
                                        2. Если вы пользуетес услугами РосСвифта - следует из договора с РосСвифтом.

                                        То есть, для платежей МЦИ, отправки отчетности и т.п . лицензия не нужна: услугу оказывают вам.

                                        Комментарий


                                        • #21
                                          Вопрос вроде бы начинает проясняться. Остается только одно, что такое:

                                          а) наличие у соискателя лицензии (лицензиата) на праве собственности или на ином законном основании помещений, технологического, испытательного, контрольно-измерительного оборудования, иных объектов и сооружений, необходимых для осуществления лицензируемой деятельности;

                                          Комментарий


                                          • #22
                                            Сообщение от AndreyKan Посмотреть сообщение
                                            Вопрос вроде бы начинает проясняться. Остается только одно, что такое:

                                            а) наличие у соискателя лицензии (лицензиата) на праве собственности или на ином законном основании помещений, технологического, испытательного, контрольно-измерительного оборудования, иных объектов и сооружений, необходимых для осуществления лицензируемой деятельности;
                                            ))ИМХО это даже я как (не юрист) могу пояснить))- нужно показать наличие документов на право собственности(аренды, съема ит д) на здание , помещение, комнату в которой будет осуществляться лицензируемая деятельность + тоже самое (договра на приобретение(покупку, лизинга и тд), лицензии +право использования оборудования (серверов, КИПиА и тд. и тп))
                                            Мы продолжаем делать то, что мы уже много наделали

                                            Комментарий


                                            • #23
                                              Хм, в 152 ФАПСИ еще и о сигнализации речь идет, окнах с решетками - это тоже объекты "необходимых для осуществления лицензируемой деятельности".
                                              Именно поэтому и нужен точный список. Человек по ИТ безопасности тоже сделал на этом акцент.

                                              Комментарий


                                              • #24
                                                так 128-ФЗ распространяется на банк или нет?

                                                Комментарий


                                                • #25
                                                  так 128-ФЗ распространяется на банк или нет?

                                                  Распространяется, но не в плане лицензии Банка России

                                                  Комментарий


                                                  • #26
                                                    Сообщение от mi74 Посмотреть сообщение
                                                    так 128-ФЗ распространяется на банк или нет?
                                                    Я думаю- да- т.к. в преамбуле речь идет о том что данный закон не распространяется на лицензирование именно банковской деятельности, а криптография и защита информации - это не относится к банковской деятельности а значит - плиз - нужно получать лицензию((((
                                                    Мы продолжаем делать то, что мы уже много наделали

                                                    Комментарий


                                                    • #27
                                                      Сообщение от mi74 Посмотреть сообщение
                                                      так 128-ФЗ распространяется на банк или нет?
                                                      Распространяется, а что?

                                                      Комментарий


                                                      • #28
                                                        George-on-Don криптография и защита информации - это не относится к банковской деятельности Я тоже так думаю, а вот органы считают по другому - спорил с ними очень сильно Говорят, чрто раз принимали платежи с электронной подписью, значит занимались НЕЗАКОННОЙ БАНКОВСКОЙ деятельностью. Бред, конечно, но звоночек
                                                        Вопрос к тем, кто уже получил лицензии. Как ФСБ проводит проверки, а то мы ждем в ближайшее время.
                                                        Господь Защититель живота моего от кого устрашуся?

                                                        Комментарий


                                                        • #29
                                                          2 Rakshin я не юрист по ИМХО - в словочетании платежи с электронной подписью - сделать акцент на платежи ИМХО - то деятельность банковская, но ежели выделить электронной подписью - то лицензия на шифрование и криптографию))).
                                                          И сразу вопрос - а если бы платежи были электронные - но без подписи? -то в Вашем случае незаконная банковская деятельность - превратилась бы в законную?))))
                                                          Мы продолжаем делать то, что мы уже много наделали

                                                          Комментарий


                                                          • #30
                                                            Сообщение от AndreyKan Посмотреть сообщение
                                                            Хм, в 152 ФАПСИ еще и о сигнализации речь идет, окнах с решетками - это тоже объекты "необходимых для осуществления лицензируемой деятельности".
                                                            Именно поэтому и нужен точный список. Человек по ИТ безопасности тоже сделал на этом акцент.
                                                            вот выписка из ПОЯСНИТЕЛЬНОЙ ЗАПИСКИ
                                                            о подтверждении возможности соискателя лицензии
                                                            соблюдения лицензионных требований и условий
                                                            (в соответствии с п.6 «Положения о лицензировании деятельности по технической защите конфиденциальной информации»
                                                            и п.6 «Положения о лицензировании деятельности по разработке
                                                            и (или) производству средств защиты конфиденциальной информации – в части касающейся)

                                                            1. Основной вид (виды) деятельности соискателя лицензии (из Устава).
                                                            2. Какие мероприятия и (или) услуги по технической защите конфиденциальной информации предполагает осуществлять (осуществляет) соискатель лицензии, либо - какие средства защиты конфиденциальной информации планируется разрабатывать (создавать).
                                                            3. Перечень конфиденциальной информации, подлежащей защите в организации - соискателе лицензии (с учетом положений Указа Президента РФ от 6 марта 1997 года № 188).
                                                            4. Сведения об объекте (объектах) информатизации, на котором обрабатывается конфиденциальная информация с приложением копий сертификатов (аттестатов по требованиям безопасности информации) на эти объекты.
                                                            5. С помощью каких средств осуществляется обработка и защита конфиденциальной информации, либо создание (разработка) средств защиты.
                                                            6. Какое программное обеспечение используется для обработки конфиденциальной информации с приложением копий договоров пользователей с правообладателем.
                                                            7. В случае оказания услуг – перечень контрольно-измерительной аппаратуры, средств контроля защищенности объектов с указанием заводских номеров, с приложением договоров аренды (в случае аренды) и копий свидетельств о поверке средств измерений.
                                                            8. Перечень нормативной и нормативно-методической литературы, необходимой для осуществления заявляемых видов деятельности.
                                                            Мы продолжаем делать то, что мы уже много наделали

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X