26 февраля, пятница 13:26
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Протокол https - нужны ли лицензии ФСБ?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Протокол https - нужны ли лицензии ФСБ?

    Ситуация следующая: мы выбираем АБС. У нас есть рабочие места пользователей, находящиеся за пределами корпоративной (локальной) сети. Это компы, которые находятся в автосалонах. В новой АБС организовано взаимодействие клиентских АРМ с серверной частью по протоколу https. Из удаленных рабочих мест в ГО будут отправляться персданные (не ИСПДН).
    Вопрос: к чему могут придраться Регуляторы (в частности ФСБ)? Нужно ли нам приобретать какие-либо сертификаты или получать разрешения? Является ли взаимодействие по https использованием СКЗИ?

    З.Ы. Наша организация приняла стантарт СТО БР ИББС-1.0-2010 и в стандарте этом в пункте 7.7.1. сказано: "СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2". Где можно прочитать про эти классы? Гугл не помог ... ((

  • #2
    Всё там:

    Методиические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/54-144

    Комментарий


    • #3
      Как я понимаю - всё к тому же, несертифицированная криптография. Поэтому надо либо обезличивать, либо дополнительно шифровать сертифицированной криптографией, либо принимать риски проверок ФСБ.

      Комментарий


      • #4
        Я так понимаю, что это не так сложно реализуемая задача при использовании шттпс (особенно в случае винды 2008) использовать внешний криптопровайдер.
        Другое дело, что тут же зададут вопрос и регуляторы, да и в общем то сама организация должна спросить: "а действительно ли встраиваемость прошла успешно?".
        Но даже, насколько я помню, есть какая-то лазейка, когда можно контроль встраиваемости не проходить (это я про бумажку Органа) - когда использование в таком виде явно прописана в документации к продукту - возможно я что-то путаю в 2 часа ночи
        По-моему даже у криптопро были такие разработки или уже есть.

        Комментарий


        • #5
          Из методических рекомендаций ...бла-бла-бла... от 21 февраля 2008г. № 149/54-144 следует что шести моделям нарушителей соответствует шесть классов криптосредств. Даны (в извращенном виде) описания нарушителей Н1-Н6, но не дано описания к классам криптосредств. Не указано чем криптосредство класса КС1 отличается от КС2 или КС3. Где это обозначено? В каком документе?

          Комментарий


          • #6
            Сообщение от chinchipos Посмотреть сообщение
            Не указано чем криптосредство класса КС1 отличается от КС2 или КС3. Где это обозначено? В каком документе?
            А у вас есть вторая форма допуска к гостайне?

            Комментарий


            • #7
              Дам ответ сам себе, чтобы тема имела логическое завершение.

              Разработчики ПО порекомендовали обратиться в компанию Крипто ПРО. Мы обратились.

              Вот наш запрос:
              Наша организация преобретает программный продукт у сторонней фирмы (назовем её "Фирма"). Суть ПО в следующем: есть сервер и есть 10 клиентских рабочих мест. Сервер находится в офисе и имеет 2 подключения (к сети Интернет и локальной сети). Клиентские рабочие места находятся в другой части города и имеют только подключение к сети Интернет.

              Взаимодействие клиентских рабочих мест с сервером осуществляется по протоколу SSL (TLS). По каналу связи передаются персональные данные.

              Согласно положениям нормативных документов ФСБ и ЦБ РФ мы (Банк) обязаны использовать сертифицированные криптосредства классом не ниже КС2. Криптосредства, которые использует "Фирма" несертифицированы. "Фирма" готова внести изменения в свое ПО и использовать сторонние криптобиблиотеки.

              Просим Вас сориентировать нас по продуктам, которые мы можем приобрести у Вас для решения нашей задачи. Также просим указать сумму, которую нам придется заплатить, чтобы обеспечить взаимодействие сервера и 10 компов по протоколу HTTPS.
              -----------------------------

              Вот ответ сотрудника компании Крипто ПРО:
              Всё зависит от варианта использования протокола SSL/TLS .

              Вариант 1: Односторонний SSL/TLS Это применение описано тут http://cryptopro.ru/forum2/Default.aspx?g=posts&t=3136
              Вариант 2: Двухсторонний SSL/TLS В этом случае помимо лицензии СКЗИ "КриптоПро CSP" версии 3.6 на сервер (20000 рублей) нужно приобретать и лицензии ·СКЗИ "КриптоПро CSP"версии 3.6 на каждое рабочее место по 1800 рублей.

              Поэтому Вам нужно определиться с вариантом.
              ------------------------------------

              По указанной ссылке находится пост: как организовать дешёвый и бесплатный для клиентов защищенный доступ к веб-сайту?
              Текст поста следующий:
              Постановка задача:
              - Имеется веб-сервер организации.
              - Требуется шифровать данные (например, персональные данные), передаваемые между клиентом и сервером и использованием сертифицированных ФСБ шифровальных средств.
              - Требуется обеспечить, что бы клиенту при этом ничего покупать не требовалось.

              Решение:
              1.
              1.1. Если веб-сервер организации построен на основе MS IIS, то на него устанавливается СКЗИ "КриптоПро CSP" версии 3.6 с дистрибутива СКЗИ "КриптоПро CSP" версии 3.6 R2 с лицензией на право использования СКЗИ "КриптоПро CSP" версии 3.6 на одном сервере MS Windows (20000 рублей).
              1.2. Если веб-сервер организации построен на основе Apache, то на него устанавливается СКЗИ "КриптоПро CSP" версии 3.6 с дистрибутива СКЗИ "КриптоПро CSP" версии 3.6 R2 с лицензией на право использования СКЗИ "КриптоПро CSP" версии 3.6 на одном сервере UNIX (25000 рублей) и модуль TrustedTLS (сайт производителя www.trusted.ru).

              2. Если требуется класс защиты КС2, то оснащаете веб-сервер электронным замком типа ПАК "Соболь".
              3. Формируете ключ и сертификат открытого ключа для веб-сервера. Сертификат должен иметь в расширении EKU область использования "Проверка подлинности сервера" (1.3.6.1.5.5.7.3.1) и в имени владельца сертификата атрибут CommonName должен содержать DNS-имя сервера.
              4. Настраиваете веб-сервер на доступ к веб-сайту (или его разделам и страницам) по протоколу SSL с игнорированием сертификата клиента.
              5. Клиент устанавливают у себя на компьютеры СКЗИ "КриптоПро CSP" версии 3.6 R2 (например, скачав с сайта производителя), не приобретая лицензий на право использования.

              Всё! При доступе по протоколу HTTPS на веб-сайт клиент аутентифицирует сервер и все передаваемые данные будут шифроваться сертифицированным СКЗИ.
              ---------------------------------------

              Пока что в этой теме у меня вопросов нет. Спасибо.

              Комментарий


              • #8
                Проще и правильнее при принятии СТО ИББС обеспечить нормальное взаимодействие с удаленными офисами согласно требований:
                1. Сертифицирвоанные МЭ по линии ФСТЭК России
                2. Использование сертифицированных СКЗИ по линии ФСБ России (например любое VPN-решение)
                Если оборудование в автосалонах Банка - то все нормально и лицензии ФСБ будут не нужны. Если оборудование не Банка, то:
                1. Нарушение ст 26 О Банках и банковской деятельности
                2. Необходимо получать лицензию на оказание услуг шифрования информации и техническое обслуживание криптосредств.
                Как правило, при использовании систем Банк-Клиент, Банк имеет лицензии ФСБ России на работу с криптосредствами.

                Комментарий

                Обработка...
                X