16 октября, вторник 10:35
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

О правомерности требований к клиентам и агентам...

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • О правомерности требований к клиентам и агентам...

    Хотел бы предложить уважаемым собеседникам высказаться по правовой подоплеке следующей ситуации:

    Есть некая фирма предаставляющая некие услуги(продажа участков на Луне) с которой я(организация) хочу заключить договор, по которому буду выполнять агентские обязаности(в моих ларьках будут сидеть мои операторы и от имени фирмы торговать участками)... В договоре есть приложение о документообороте, использовании СКЗИ... Фирма - лицензиат по придоставлению услуг, обслуживанию, распространению... у неё и центр сертификации, и обслуживание ключей.

    И вот читаю я договор и вижу в одном из приложений "Требование к работе с СКЗИ"... и глаза лезут на лоб. С точностью до запятой использованы требования ФСБ(ФАПСИ) к претендентам на лицензирование. А потом еще и такая формулировка "Агент должен обеспечить доступ представителя фирмы до устройств работающих с СКЗИ"
    Я к юристам фирмы - "Не круто ли?"
    Ответ: по доступу - "Приказ ФСБ РФ от 9 февраля 2005 г. N 66(Положение ПКЗ-2005), п 51."
    51. Контроль за соблюдением правил пользования СКЗИ и условий их использования, указанных в правилах пользования на них, осуществляется:
    обладателем, пользователем (потребителем) защищаемой информации, установившим режим защиты информации с применением СКЗИ;
    собственником (владельцем) информационных ресурсов (информационных систем), в составе которых применяются СКЗИ;
    А по общим требованиям - "А почему бы нет? Хорошие требования..."

    Ну и соответственно вопрос - какие нормативные документы выставляют нижнюю и верхнюю планку(по требовательности) к клиенту(не лицензиату)...
    Подавая сигналы в рог будь всегда справедлив, но строг. ©

  • #2
    Суть вопроса в том, что лунатики просят обеспечить "доступ представителя" для "контроля за соблюдением правил" ?

    Комментарий


    • #3
      это тоже... а еще в общих требованиях к СКЗИ они хотят чтобы на каждом рабочем месте была железная комнатка, сейфы, охрана, журналы.... вобщем полный набор.
      Подавая сигналы в рог будь всегда справедлив, но строг. ©

      Комментарий


      • #4
        Romsan
        Я к юристам фирмы - "Не круто ли?"
        Вообще, картинка характерна для Системы.Приказ этот - вполне в духе Конторы, ибо "крайний" по-любому должен быть, соответственно, Контора, если что будет "нагибать" лицензиата(т.е."лунатиков"), ну а им, чтобы не оказаться "нагнутыми" треба "нагибать" Вас.Цепная реакция, однако...
        Хотя я сам и не юрист, но, imho, Ваш случай в этот приказ №66 вписывается вполне себе адекватно - ведь собственно СКЗИ-то предоставляют "лунатики".Другое дело, что станут ли они подобным правом доступа пользоваться в реале?
        ЕМНИП, каких-то особых требований к "чистым" пользователям лицензированных СКЗИ Контора вроде как не предъявляет...
        еще в общих требованиях к СКЗИ они хотят чтобы на каждом рабочем месте была железная комнатка, сейфы, охрана, журналы
        Ха...А они свои СКЗИ с гостайной,часом,не попутали?
        Или "лунатики" эти торгуют не совсем участками и не совсем на Луне...
        Всё в наших руках...(с)

        Комментарий


        • #5
          http://www.security.ru/default.php?target=requests - не гостайна )))
          Лунатики торгуют луной, торговали бы гостайной - не упирался.
          Подавая сигналы в рог будь всегда справедлив, но строг. ©

          Комментарий


          • #6
            Romsan
            Дык ещё ж больше непоняток.А что за уровень такой - "С"?Кто и как определяет, что криптография, необходимая для успешной торговли Луной - это именно уровень "С", а не "Ё" или "D"(уж не знаю, как читать етот символ "С" - по-русски или по-английски)
            Да и есть у меня сомнения, что положение ФАПСИ сейчас имеет силу, скорее уж этот самый Приказ № 66 есть единственный документ, регламентирующий Порядок эксплуатации и контроля за соблюдением правил пользования СКЗИ...
            Соответсвенно, если используемые СКЗИ принадлежит им, то у них тоже есть право контроля за использованием этих СКЗИ...
            Всё в наших руках...(с)

            Комментарий


            • #7
              Пух575 Были бы понятки, не было бы вопроса.

              Интересно получается - что за право контроля? Приказ ФСБ? Фигасибе... право проведения контроля. Тоже мне контролирующий орган.

              PS: Банк дает кучу СКЗИ предприятиям(Банк-Кдиент) - значит можно завалится на любое из них(помахивая Консультантом+) и устроить проверку?
              Подавая сигналы в рог будь всегда справедлив, но строг. ©

              Комментарий


              • #8
                Romsan
                Наколько я понимаю право проведения контроля пользователя СКЗИ владельцем юридически основывается всё же на праве собственности владельца на это СКЗИ, а не на приказе.Другое дело, что приказ даёт лишний повод ,чтобы такой контроль осуществлять...
                А вот насчёт
                завалится на любое из них(помахивая Консультантом+) и устроить проверку?
                думаю, что именно в такой форме вряд ли получится.А вот если согласовать вопрос такой проверки заранее, то мне думается, что никаких проблем с проверкой возникнуть не должно.
                Всё в наших руках...(с)

                Комментарий


                • #9
                  Сообщение от Romsan Посмотреть сообщение
                  Я к юристам фирмы - "Не круто ли?"
                  Ответ: по доступу - "Приказ ФСБ РФ от 9 февраля 2005 г. N 66(Положение ПКЗ-2005), п 51." А по общим требованиям - "А почему бы нет? Хорошие требования..."

                  Ну и соответственно вопрос - какие нормативные документы выставляют нижнюю и верхнюю планку(по требовательности) к клиенту(не лицензиату)...
                  Ссылка на ПКЗ-2005 вполне правомерна. Более того, формально до сих пор действет приказ ФАПСИ N152 от 2001 года, где прописаны правила распространения и учета СКЗИ. В частности, там прописаны требования по эксплуатации СКЗИ и обязанность лицензиата, распространяющего СКЗИ, контролировать исполнение этих требований получателем СКЗИ.

                  Кстати, этот приказ распространяется и на услуги Банк-Клиент. Если по договору ДБО передаете клиенту сертифицированные СКЗИ, вы должны и контроль обеспечить.

                  Комментарий


                  • #10
                    Сообщение от Пух575 Посмотреть сообщение
                    Дык ещё ж больше непоняток.А что за уровень такой - "С"?Кто и как определяет, что криптография, необходимая для успешной торговли Луной - это именно уровень "С", а не "Ё" или "D"(уж не знаю, как читать етот символ "С" - по-русски или по-английски)
                    "Уровень 'А' - сертификат выдается на систему защиты в целом и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам, комплексное выполнение требований ФАПСИ к шифровальным средствам с учетом их программного окружения, наличие защищенной (без недокументированных возможностей) аппаратно-программной среды;

                    Уровень 'В' - сертификат выдается на систему защиты, включающую шифровальные средства и их программное окружение, и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям ФАПСИ, выполнение требований ФАПСИ к программному окружению шифровальных средств;

                    Уровень 'С' - сертификат выдается только на шифровальные средства и подтверждает соответствие реализации средств шифрования заданным криптографическим алгоритмам и требованиям.
                    "

                    Беззубцев, Ковалев, "О лицензировании и сертификации в области защиты информации", http://www.cryptopro.ru/cryptopro/do.../pdf/licen.pdf

                    Статья старая, но ее стоит почитать - Беззубцев был начальником центра лицензирования и сертификации ФАПСИ, а с вхождением ФАПСИ в ФСБ правила лицензирования практически не изменились.

                    Сообщение от Пух575 Посмотреть сообщение
                    Да и есть у меня сомнения, что положение ФАПСИ сейчас имеет силу, скорее уж этот самый Приказ № 66 есть единственный документ, регламентирующий Порядок эксплуатации и контроля за соблюдением правил пользования СКЗИ...
                    Соответсвенно, если используемые СКЗИ принадлежит им, то у них тоже есть право контроля за использованием этих СКЗИ...
                    Имеет оно силу, имеет. Разумеется, приказ 152 распространяется только на лицензиатов ФСБ, его нарушение грозит только приостановлением лицензии.

                    Комментарий

                    Пользователи, просматривающие эту тему

                    Свернуть

                    Присутствует 1. Участников: 0, гостей: 1.

                    Обработка...
                    X