22 сентября, суббота 13:44
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Банк-Клиент, Интернет-Банкинг и закон

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Банк-Клиент, Интернет-Банкинг и закон

    Итак в этой теме я предлагаю обсудить довольно таки насущный вопрос, о том как правильно согласно нашим законам, требованиям ФСБ, ФСТЭК, Росохранкультуры и прочее организовать системы Банк-Клиент и Интернет - Банкинг. Теперь немножко о том что я под ними понимаю:

    Банк -Клиент система использующая сертифицированные средства защиты, на стороне клиента (и банка) устанавливается на специально выделенной машине согласно всем требованиям к СКЗИ.

    Интернет - Банкинг система предназначенная для доступа к счетам, информации о счетах клиента и НЕ требующая использования средств СКЗИ...ну за исключением разве SSL, т.е. с помощью этой системы клиент может получить доступ к своим счетам с любого компьютера.

    В связи с чем возник вопрос..недавно (в пятницу) был на конференции где обсуждали эту тему, очень много у нас законов и требований к СКЗИ, что называется без бутылки не разберешься..честно говоря конференция была всего один день, а информации рассмотренной на ней на неделю, теперь было бы неплохо это все систематизировать но так как эта тема (с точки зрения закона) для меня достаточно новая хотелось бы прибегнуть к вашей помощи

  • #2
    Предлагаю начать с нормативных документов, итак Клиент-Банк:
    1. Гражданский кодекс, Часть 1 Статья 160, п.2
    2. Закон «Об информации, информационных технологиях и защите информации» Ст 11. п.3, п.4
    3. Закон «Об электронной цифровой подписи» ст 5 п.2, ст 8,9,10
    4 Деятельность удостоверяющего центра подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности.
    5. Есть еще приказы касающиеся ФСТЭК, ФСБ, если кто знает точные названия сообщите пожалуйста

    Есть те кто получил лицензию на УЦ?

    Комментарий


    • #3
      Есть те кто получил лицензию на УЦ?
      Что это за "лицензия на УЦ"?
      Лицензия на обслуживание СКЗИ - есть такая, а на УЦ - такой не знам.

      Комментарий


      • #4
        УЦ
        Удостоверяющий Центр

        Дорого и муторно. Это если у вас десяток тысяч абонентов может и имеет смысл завязатся на него.

        Комментарий


        • #5
          Понятно, что УЦ - Удостоверяющий Центр.
          Вопрос в том, что за "лицензию на УЦ" имел в виду автор вопроса?
          И потом, почему Вы решили, что "УЦ - Дорого и Муторно"? Вы имели в виду какой-то конкретный УЦ?

          Комментарий


          • #6
            Сообщение от sunny Посмотреть сообщение
            Понятно, что УЦ - Удостоверяющий Центр.
            Вопрос в том, что за "лицензию на УЦ" имел в виду автор вопроса?
            И потом, почему Вы решили, что "УЦ - Дорого и Муторно"? Вы имели в виду какой-то конкретный УЦ?
            Вот дело в том, что я не знаю...про лицензию это цитата из семинара..там я думал, что вроде все понятно прийду домой разберусь, пришел домой нашел следующее ПОСТАНОВЛЕНИЕ от 29 декабря 2007 г. N 957 где есть сказано:
            В соответствии с Федеральным законом "О лицензировании отдельных видов деятельности" Правительство Российской Федерации постановляет:
            1. Утвердить прилагаемые:
            Положение о лицензировании деятельности по распространению шифровальных (криптографических) средств;

            Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств;

            Положение о лицензировании предоставления услуг в области шифрования информации;

            Положение о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.

            я так понимаю, что нужно получить 3 лицензии ФСБ..лицензии есть но.. ) все равно терзают меня смутные сомнения, что все хорошо...например можно ли использовать ЭЦП в автоматизированных системах (автопроцессинг) если нет то где это написано? не нашел какие требования собственно к системе? можно ли генерить ключи на стороне банка? где это запрещается если нельзя?

            Вообще же мысль моя была в том чтобы подробно (по пунктно) описать, в каких документах какие требования содержаться..т.е, что мы должны исполнять...что бы сюрприза не было когда случится конфликтная ситуация.

            Комментарий


            • #7
              Snip А поиском Вы пользоваться не пробовали? Здесь в 2-3 темах мусолятся достаточно давно разные аспекты сабжа. И сколько людей - столько и мнений.
              С уважением, Антон

              Комментарий


              • #8
                Сообщение от Demin Посмотреть сообщение
                Snip А поиском Вы пользоваться не пробовали? Здесь в 2-3 темах мусолятся достаточно давно разные аспекты сабжа. И сколько людей - столько и мнений.
                Это например в теме про голосование есть ли лицензии ФСБ? не очень интересно..и мнение людей это конечно хорошо, но интерисует как надо.

                Комментарий


                • #9
                  Snip
                  http://dom.bankir.ru/showthread.php?threadid=81023
                  Еще вот в ту же струю
                  http://dom.bankir.ru/showthread.php?threadid=78706
                  Здесь было что-то интересное
                  http://dom.bankir.ru/showthread.php?threadid=70711
                  Ну и вот еще
                  http://dom.bankir.ru/showthread.php?threadid=33810
                  С уважением, Антон

                  Комментарий


                  • #10
                    не нашел ответов на следующие вопросы:
                    1. Где сказано, как часто необходимо менять сертификат ЭЦП?
                    2. Нужно ли при смене сертификата обязательно иметь бумажные копии? В законе об ЭЦП неясность см. ст. 9 п.3, ст. 6 п. 4..так можно осуществлять смену сертификатов удаленно или нет?
                    3. Можно использовать ЭЦП в автоматизированных системах или должен обязательно ЭЦП проверять оператор?
                    4. Какие отметки необходимо ставить на распечатанных документах пришедших по банк клиенту с ЭЦП?
                    5. Какие действия Банка если при рассторжении договора клиент не возвращает СКЗИ?
                    6. И наконец какие санкции за невыполнение возможны? имеется ввиду нет лицензий, давно не менялись сертификаты...и вообще где нибудь четко написано, ЧТО нужно делать для того чтобы требованиям удовлетворять?
                    У меня сложилось впечатление, что требования какие то невнятные имеется ввиду не к лицензированию а уже собственно к документообороту с эцп

                    Комментарий


                    • #11
                      Все бы было понятно, если бы не нюансы. Кто-то из банков определяет в договоре термин "ключ электронной подписи клиента", кто-то "ключ электронной подписи сотрудника клиента" (т.е. уполномоченного физического лица). Кто-то сертифицирует ключи, кто-то отдает эту функцию клиентам (т.е. клиент представлет на бумаге с подписью руководителя и печатью сертификат ключа своего уполномоченного сотрудника - на такую работу ориентирован iBank 2 БИФИТ).
                      Так что все зависит от текста договора, который подписывает клиент при подключении к системе банк-клиент.
                      У нас немало было сломано копий при разработке и доводке договора. Предусмотреть надо все - и 2-П, и требования нормативов по противодействию легализации (банк должен идентифицировать всех физ. лиз - работников клиента, распоряжающихся средствами на счетах), и всех требований стандартов в области защиты информации.

                      Комментарий


                      • #12
                        Snip 1. Где сказано, как часто необходимо менять сертификат ЭЦП? Я не знаю. У меня - раз в 2 года.
                        2. Нужно ли при смене сертификата обязательно иметь бумажные копии? Обязательно. По элементарным причинам, которые и так понятны.
                        можно осуществлять смену сертификатов удаленно или нет? Смена сертификатов подразумевает, ИМХО, блокирование старого и активацию нового.

                        Полковник Кто-то из банков определяет в договоре термин "ключ электронной подписи клиента" А вот это, ИМХО, в корне неправильно. Ибо есть термин АСП - аналог собственноручной подписи. У юрла нет собственноручной подписи, ибо оно не человек. И у него нет рук.
                        банк должен идентифицировать всех физ. лиз - работников клиента, распоряжающихся средствами на счетах Это ж не 115-ФЗ, а скорее 28-И - и решение весьма простое.
                        С уважением, Антон

                        Комментарий


                        • #13
                          Сообщение от Snip Посмотреть сообщение
                          не нашел ответов на следующие вопросы:
                          1. Где сказано, как часто необходимо менять сертификат ЭЦП?
                          Менять надо сам ключ, а не сертификат. Как часто - решать банку и оговаривать это в договоре. Мы меняем ключи клиентов раз в год или при особых обстоятельствах. Все это предусмотрено договором.
                          Сообщение от Snip Посмотреть сообщение
                          2. Нужно ли при смене сертификата обязательно иметь бумажные копии? В законе об ЭЦП неясность см. ст. 9 п.3, ст. 6 п. 4..так можно осуществлять смену сертификатов удаленно или нет?
                          При первичной генерации ключей - только на бумаге с толкушкой и закорючками. В последствии - если система БК позволяет передать сертификат с электронной подписью и это оговорено в договоре, то можно и в электронном виде. След все равно есть. Если хотя бы одно из условий не выполяется, то каждый при смене ключа - на бумаге.
                          Сообщение от Snip Посмотреть сообщение
                          3. Можно использовать ЭЦП в автоматизированных системах или должен обязательно ЭЦП проверять оператор?
                          Должен быть назначен ответственный виноватый за прохождение документа с некорректной подписью. И чтобы он расписался на приказе о назенчении себя виноватым. С этих пор на него ложится ответственность за проверку ЭЦП и пинки программистам, чтобы те обеспечили автоматическую проверку ЭЦП.
                          Сообщение от Snip Посмотреть сообщение
                          4. Какие отметки необходимо ставить на распечатанных документах пришедших по банк клиенту с ЭЦП?
                          В распечатанных документах должна быть информация, необходимая для проверки правильности ЭЦП. У нас печатается идентификатор документа и некоторые реквизиты подписей под ним, ссылающиеся на базу данных Банк-Клиента. В любом случае, необходимо хранить электронную копию документа, так как при разрешении возможных споров будет использоваться именно она, так как только на ней можно произвести проверку ЭЦП.
                          Сообщение от Snip Посмотреть сообщение
                          5. Какие действия Банка если при рассторжении договора клиент не возвращает СКЗИ?
                          Клиент не должен возвращать СКЗИ. Он должен уничтожить все находящиеся в его распоряжении копии СКЗИ, т.к. возврат носителя с СКЗИ не гарантирует отсутствие копий СКЗИ у клиента. Банк при расторжении договора должен принять меры для того, чтобы документы с ЭЦП больше не принимались. Например, заблокировать ключи.
                          Сообщение от Snip Посмотреть сообщение
                          6. И наконец какие санкции за невыполнение возможны? имеется ввиду нет лицензий, давно не менялись сертификаты...и вообще где нибудь четко написано, ЧТО нужно делать для того чтобы требованиям удовлетворять?
                          У меня сложилось впечатление, что требования какие то невнятные имеется ввиду не к лицензированию а уже собственно к документообороту с эцп
                          Если сертификаты не обновлялись (Банк-Клиент, как правило, сам перестает принимать документы) - сразу передать эту информацию в расчетно-кассовый отдел или аналогичное подразделение, чтобы те действовали так же, как и в случае устаревания карточки пописей.
                          Карточка подписей определяет внешний вид подписи и ее сроки сействия так же, как и сертификат определяет эти параметры для электронной подписи. Если просрочили - это преблемы клиента. Мы платежи не принимаем, ну разве что авансом для особо любимых клиентов.
                          На СКЗИ Клиент не должен получать лицензии, т.к. у Банка должна быть обязательно лицензия на распространение СКЗИ (одна из трех необходимых).
                          По поводу лицензирования и документооборота - тут четких формулировок в законодательных актах не дождетесь. Разве что лет через десять. До этого момента в договорах надо прописывать все, что нужно, и желательно иметь в форс-мажоре оговорку на изменение законодательства.

                          P.S. Все это - ИМХО. Но зато ИМХО, одобренное нашими юристами, бухами и прочими причастными.
                          Последний раз редактировалось Полковник; 15.04.2008, 19:12.

                          Комментарий


                          • #14
                            Сообщение от Snip Посмотреть сообщение
                            не нашел ответов на следующие вопросы:
                            1. Где сказано, как часто необходимо менять сертификат ЭЦП?
                            2. Нужно ли при смене сертификата обязательно иметь бумажные копии? В законе об ЭЦП неясность см. ст. 9 п.3, ст. 6 п. 4..так можно осуществлять смену сертификатов удаленно или нет?
                            3. Можно использовать ЭЦП в автоматизированных системах или должен обязательно ЭЦП проверять оператор?
                            4. Какие отметки необходимо ставить на распечатанных документах пришедших по банк клиенту с ЭЦП?
                            5. Какие действия Банка если при рассторжении договора клиент не возвращает СКЗИ?
                            6. И наконец какие санкции за невыполнение возможны? имеется ввиду нет лицензий, давно не менялись сертификаты...и вообще где нибудь четко написано, ЧТО нужно делать для того чтобы требованиям удовлетворять?
                            1. В руководящих документах ФСБ. Документы секретные, но, по идее, разработчик обязан указывать рекомендуемый срок действия ключа в эксплуатационной документации.

                            2. Хороший вопрос Рукописная подпись на бумажной копии сертификата - это доказательство, которое позволяет вам утверждать, что ЭЦП, проверенное с помощью вот этого открытого ключа эквивалентна вот этой закорючке. Если вы перевыпустили сертификат, но то вам опять нужно как-то связать новый открытый ключ и эту закорючку. Очевидный путь - опять подписать бумажную копию.

                            Есть другие варианты. Например, вы можете организовать процедуру смены ключчей так, что пользователь будет подписывать запрос на сертификацию открытого ключа своим старым закрытым ключом. В этом случае сохраняется преемстенность: закорючка подтверждает подлинность старого открытого ключа, старый открытый ключ подтверждает новый открытый ключ и т.д. Важно только, чтобы запрос на получение нового ключа был подписан до истечения срока действия старого ключа. Это не совсем соответсвует закону, но на практике работает

                            3. Проверять - сколько угодно, а вот автоматически подписывать - неправильно. Хотя закон не заприщает ни того, ни другого.

                            4. На ваше усмотрение, можно вообще не ставить отметки.

                            5. Нестандартная ситуация, не предусмотренная инструкциями. Проще всего стребовать с него акт об уничтожении СКЗИ.

                            5. Отсутсвие лицензий: теоретически - штраф, административное наказание за незаконное предпринимательство , уголовное наказание за незаконное предпринимательство.

                            Просроченные сертификаты (как на СКЗИ, так и на ключи) - отказ одной из сторон от своей подписи (подпись признается подлинной, если она проверена сертифицированым средством и сертификат ключа был действителен на момент проверки или на момент подписания, если момент подписания можно установить).

                            Что нужнор делать прописано в инструкции (приказ ФАПСИ № 152 2001-го года).

                            Комментарий


                            • #15
                              Сообщение от malotavr Посмотреть сообщение
                              1. В руководящих документах ФСБ. Документы секретные, но, по идее, разработчик обязан указывать рекомендуемый срок действия ключа в эксплуатационной документации.

                              2. Хороший вопрос Рукописная подпись на бумажной копии сертификата - это доказательство, которое позволяет вам утверждать, что ЭЦП, проверенное с помощью вот этого открытого ключа эквивалентна вот этой закорючке. Если вы перевыпустили сертификат, но то вам опять нужно как-то связать новый открытый ключ и эту закорючку. Очевидный путь - опять подписать бумажную копию.

                              Есть другие варианты. Например, вы можете организовать процедуру смены ключчей так, что пользователь будет подписывать запрос на сертификацию открытого ключа своим старым закрытым ключом. В этом случае сохраняется преемстенность: закорючка подтверждает подлинность старого открытого ключа, старый открытый ключ подтверждает новый открытый ключ и т.д. Важно только, чтобы запрос на получение нового ключа был подписан до истечения срока действия старого ключа. Это не совсем соответсвует закону, но на практике работает

                              3. Проверять - сколько угодно, а вот автоматически подписывать - неправильно. Хотя закон не заприщает ни того, ни другого.

                              4. На ваше усмотрение, можно вообще не ставить отметки.

                              5. Нестандартная ситуация, не предусмотренная инструкциями. Проще всего стребовать с него акт об уничтожении СКЗИ.

                              5. Отсутсвие лицензий: теоретически - штраф, административное наказание за незаконное предпринимательство , уголовное наказание за незаконное предпринимательство.

                              Просроченные сертификаты (как на СКЗИ, так и на ключи) - отказ одной из сторон от своей подписи (подпись признается подлинной, если она проверена сертифицированым средством и сертификат ключа был действителен на момент проверки или на момент подписания, если момент подписания можно установить).

                              Что нужнор делать прописано в инструкции (приказ ФАПСИ № 152 2001-го года).
                              По поводу пункта 1 - согласен лишь частично. Договорные соглашения имеют приоритет над приказами федерального ведомства при соблюдении действуюещго на момент заключения соглашения законодательства.

                              Последний пункт - только в части простроченных сертификатов. незаконное предпринимательство - это несколько другое. Хотя, конечно, это следует рассмотреть в дргом форуме - здесь собрались автоматизаторы.

                              Комментарий


                              • #16
                                Сообщение от Полковник Посмотреть сообщение
                                По поводу пункта 1 - согласен лишь частично. Договорные соглашения имеют приоритет над приказами федерального ведомства при соблюдении действуюещго на момент заключения соглашения законодательства.
                                Безусловно. Это был ответ на вопрос "где сказано"

                                Сообщение от Полковник Посмотреть сообщение
                                Последний пункт - только в части простроченных сертификатов. незаконное предпринимательство - это несколько другое. Хотя, конечно, это следует рассмотреть в дргом форуме - здесь собрались автоматизаторы.
                                Как обычно, сошлюсь на мнение наших юристов Они на вопрос "Могут привлечь?" ответили утвердительно.

                                Комментарий


                                • #17
                                  Задам более насущный вопрос
                                  У кого нибудь был суд по поводу любому поводу связанному с Банк -клиентом? Как происходил разбор полетов? на что в суде внимание обращали?

                                  Комментарий


                                  • #18
                                    Сообщение от Snip Посмотреть сообщение
                                    Задам более насущный вопрос
                                    У кого нибудь был суд по поводу любому поводу связанному с Банк -клиентом? Как происходил разбор полетов? на что в суде внимание обращали?
                                    Увы. все известные мне пецеденты связаны только с отказом ведомств принимать отчетность в электронном виде.

                                    Комментарий


                                    • #19
                                      по п.1.
                                      Разве в Правилах пользования конкретным СКЗИ теперь не пишется срок действия ключевой информации?
                                      Вроде для закрытого ключа ЭЦП он был не более 1 года и 3 месяцев. (информация правда сильно устаревшая и по КриптоПро 2.0).

                                      Комментарий


                                      • #20
                                        Сообщение от VSB Посмотреть сообщение
                                        по п.1.
                                        Разве в Правилах пользования конкретным СКЗИ теперь не пишется срок действия ключевой информации?
                                        Вроде для закрытого ключа ЭЦП он был не более 1 года и 3 месяцев. (информация правда сильно устаревшая и по КриптоПро 2.0).
                                        Все правильно, в Постановлении Правительства РФ № 691 в Положении о лицензировании шифровальных средств в п. 5 сказано:
                                        "з) обслуживание указанного оборудования в соответствии с регламентом, предусмотренного эксплуатационной документацией". Аналогичные пункты есть и для других лицензируемых видом деятельности.

                                        Так что срок определяется эксплуатационной документацией, которая в свою очередь согласуется ФСБ при лицензировании шифровальных средств.

                                        Комментарий


                                        • #21
                                          А не кто не учитывал ключевые дискеты, выданные юр. лицам?
                                          Я имею ввиду - журнал делать отдельный или ввести записи в общем по Банку?
                                          Спасибо заранее.

                                          Комментарий


                                          • #22
                                            Лучше отдельный. Так удобней. Они же всёравно не вернутся

                                            Комментарий


                                            • #23
                                              vinograss,
                                              как вариант.
                                              у меня 2 раза прокатывало ведение в электронном виде, т.е. либо запрос в базу, либо выгрузка какая-нить из базы, просто шаблончег подкручиваешь, чтобы он похож был на журналы из приказов и сё. дядьки приходят,вопросы начинают глупые говорить - ты им: "ща фсё будет, вам за какой период?" - всем счастье. ааа, еще можешь расказать что база чуть-ли не в онлайн бэкапируется и ты с каким-нить периодом её распечатываешь и откладываешь в сейфег и т.д и т.п. думаю для автоматизаторов енто не проблемма.

                                              Комментарий


                                              • #24
                                                Сообщение от xell Посмотреть сообщение
                                                vinograss,
                                                как вариант.
                                                у меня 2 раза прокатывало ведение в электронном виде, т.е. либо запрос в базу, либо выгрузка какая-нить из базы, просто шаблончег подкручиваешь, чтобы он похож был на журналы из приказов и сё. дядьки приходят,вопросы начинают глупые говорить - ты им: "ща фсё будет, вам за какой период?" - всем счастье. ааа, еще можешь расказать что база чуть-ли не в онлайн бэкапируется и ты с каким-нить периодом её распечатываешь и откладываешь в сейфег и т.д и т.п. думаю для автоматизаторов енто не проблемма.
                                                Если прокатит, то повезёт.
                                                У нас даже дело с актами приёма/передачи не прокатило, не говоря уже об эклетронном виде. Пришлось делать журнал. Хотя для себя веду в электронном, так удобней.

                                                Комментарий


                                                • #25
                                                  Berckut,
                                                  У нас даже дело с актами приёма/передачи не прокатило, не говоря уже об эклетронном виде. Пришлось делать журнал. Хотя для себя веду в электронном, так удобней.

                                                  акты приема передачи нужны для того чтобы клиент потом не сказал, что получил ключи не он а вася. а про журнал, ну я же говорю расказать им про регламент - типа раз в квартал типа он распечатывается и в сейф...или вааще ничего не говорить перед приходом распечатал и показал )
                                                  хотя конечно при любой проверке очень важно кто именно прийдет! многие из проверяющих сами не знают чего учитывать, какие журналы и т.д., знают например что нужно домататься по поводу атестации раб места? а почему, зачем, в каком норм доке это описата нихрена не знают, сопсна как и ответы на другие вопросы (

                                                  Комментарий


                                                  • #26
                                                    Добрый день, я новичок, поэтому еще не прочитала всю тему. Подскажите пожалуйста, я работаю в банке юристом, мне пришел запрос из органов УВБ , они запрашивают лицензии на тех обслуживание, распространение, предоставлние услуг в области шифрования информации, но проблема в том, что у нас нет этих лицензий. Кто-нибудь сталкивался с такой проблемой?? что делать, как овтечать Органам, либо нам в любом случае придется платить штраф??? Спасибо

                                                    Комментарий


                                                    • #27
                                                      Неженка
                                                      штраф - фигня. А вот то, что они имеют право приостановить вашу деятельность, требующую лицезирования.... А это обычно Банк-Клиент и SWIFT. Сколько времени вы проработаете без БК?
                                                      Я словно лист на ветру, посмотри как я лечу...

                                                      Комментарий


                                                      • #28
                                                        Неженка,

                                                        читайте лучше в ветке - Лицензия ФСБ на СКЗИ

                                                        Комментарий


                                                        • #29
                                                          Спасибо))) А что касается банк-клиента, мы сейчас по нему работаем, но думаю ,что в ближайшие дни отключим, и не будем работать скорее всего пока не получим лицензию!!!

                                                          Комментарий


                                                          • #30
                                                            -Кто-то из банков определяет в договоре термин "ключ электронной подписи клиента"
                                                            - А вот это, ИМХО, в корне неправильно. Ибо есть термин АСП - аналог собственноручной подписи. У юрла нет собственноручной подписи, ибо оно не человек. И у него нет рук.
                                                            ...


                                                            Вашу мысль понял, но ведь получается, что ЭЦП в системах К-Б заменяет как подпись уполномоченного лица, так и печать клиента.
                                                            И то, и другое мы имеем на распечатанном сертификате ЭЦП. Так что, имхо, наличие правильно оформленного сертификата достаточно для идентификации как клиента, так и его уполномоченных сотрудников.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X