3 марта, среда 08:32
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проверка лицензионных требований по криптографии

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Проверка лицензионных требований по криптографии

    Коллеги, прошу оказать консультационную помощь:
    В банк пришли с проверкой лицензионных требований сотрудники ФСБ. В июле этого года у нас заканчивается действующая лицензия и необходимо получение новой, поэтому данная проверка, вернее ее цели не совсем понятны.
    В процессе проверки были даны следующие рекомендации (вернее намечающиеся нарушения в акте) - выдача пустых токенов, а также дисков с криптобиблиотеками для Бифитовского iBankа ведется во всех допофисах, но при этом, обученные специалисты (2 шт) есть только в головном и непосредственно передачей, что и логично, они не занимаются, а работают в подразделении ИБ. Так вот, проверяющими со ссылкой на 152 приказ ФАПСИ, было высказано, что передачу СКЗИ в офисе могут осуществлять только обученные по 100 часовой программе сотрудники, если мы хотим продолжать выдавать там токены и криптобиблиотеки. Также для лицензии необходимо заявлять все офисы.
    Прошу помочь, если у кого-то есть опыт решения данной проблемы - как выйти из ситуации.
    Последний раз редактировалось Андрей Коротков; 30.04.2013, 08:49.

  • #2
    У меня аналогичная ситуация.
    Все пустые смарт-карты помещаются в пакет с контролем вскрытия. Туда же кладётся акт приёма-передачи смарт-карты. Далее этот пакет передаётся клиенту через доп. офис, в котором он заключал соглашение на ДБО. Клиент вскрывает пакет в присутствии работника доп. офиса, расписывается в акте, работник доп. офиса проверяет подпись клиента и визирует акт (что подпись сверена), акт возвращается в головной офис и хранится в службе ИБ.
    Как таковую, работники доп. офиса выдачу не осуществеляют, выступая лишь курьерами.

    Комментарий


    • #3
      Уже предлагал им такой вариант - отказали. Говорят выдача хоть и опечатанных СКЗИ производится операционистом.
      Еще есть некоторые лирические размышления: те же КриптоПро, например, выдают СКЗИ в виде дистрибутива на сайте и лицензий в филиале. Суть та же, но нет же у них в каждом филиале обученных по ИБ бухгалтеров.

      Комментарий


      • #4
        Сообщение от Андрей Коротков Посмотреть сообщение
        Уже предлагал им такой вариант - отказали. Говорят выдача хоть и опечатанных СКЗИ производится операционистом.
        Еще есть некоторые лирические размышления: те же КриптоПро, например, выдают СКЗИ в виде дистрибутива на сайте и лицензий в филиале. Суть та же, но нет же у них в каждом филиале обученных по ИБ бухгалтеров.
        А если по почте отправите или спецсвязью, то кто тогда считается выдающим?
        Даже 152-я инструкция это доспускает.

        Комментарий


        • #5
          Еще одна из претензий - журнал учета передачи не по форме. Коллеги, выручите, пожалуйста, шаблоном, если не очень сложно.

          Комментарий


          • #6
            Сообщение от Андрей Коротков Посмотреть сообщение
            Еще одна из претензий - журнал учета передачи не по форме. Коллеги, выручите, пожалуйста, шаблоном, если не очень сложно.
            152 инструкция в помощь.

            Комментарий


            • #7
              Передача дистрибутивов СКЗИ клиентам на местах - больная тема. В запечатанных конвертах тоже вариант, но тут возникает вопрос, а как обеспечивается опереативность доставки для клиента в удаленный филиал? В филиале поддерживается "запас" обезличенных конвертов с дистрибутивами СКЗИ для их оперативной выдачи клиентам?
              А почему нельзя чтобы клиент скачивал дистрибутив СКЗИ с сайта банка (WEB, FTP), например закрытого раздела, доступ к которому будет иметь клиент по паролю? Аутентификация сайта банка - по SSL сертификату, аутентификация клиента - по паролю, чем не доверенный канал передачи? Там же банк размещает хэши для проверки целостности. Клиент скачивает дистрибутив, проверяет целостность и использует по назначению. Почему так нельзя, зачем эта проблема с пересылкой дистрибутивов/конвертов через всю страну (а иногда и за ее пределы) и держанием в каждом филиале человека со спец.образованием?

              P.S. КриптоПро так дистрибутивы своих СКЗИ не раздает, пишет, что скачать можно только для ознакомления, а типа для работы нужно получить на диске. А вот VipNet спокойно раздает дистрибутивы своего СКЗИ для легального использования с сайта. Можно скачать, проверить целостность и законно использовать. Средства у них тоже сертифицированы ФСБ, значит допускается так СКЗИ распространять?

              Комментарий


              • #8
                Сообщение от Андрей Коротков Посмотреть сообщение
                Еще одна из претензий - журнал учета передачи не по форме. Коллеги, выручите, пожалуйста, шаблоном, если не очень сложно.
                У меня этот мегажурнал разбит на 3 взаимосвязанных. Что, куда и откуда просматривается весьма прозрачно. Когда я это показал, то вопросов не возникло.

                Комментарий


                • #9
                  Сообщение от igor72 Посмотреть сообщение
                  Передача дистрибутивов СКЗИ клиентам на местах - больная тема. В запечатанных конвертах тоже вариант, но тут возникает вопрос, а как обеспечивается опереативность доставки для клиента в удаленный филиал? В филиале поддерживается "запас" обезличенных конвертов с дистрибутивами СКЗИ для их оперативной выдачи клиентам?
                  А почему нельзя чтобы клиент скачивал дистрибутив СКЗИ с сайта банка (WEB, FTP), например закрытого раздела, доступ к которому будет иметь клиент по паролю? Аутентификация сайта банка - по SSL сертификату, аутентификация клиента - по паролю, чем не доверенный канал передачи? Там же банк размещает хэши для проверки целостности. Клиент скачивает дистрибутив, проверяет целостность и использует по назначению. Почему так нельзя, зачем эта проблема с пересылкой дистрибутивов/конвертов через всю страну (а иногда и за ее пределы) и держанием в каждом филиале человека со спец.образованием?

                  P.S. КриптоПро так дистрибутивы своих СКЗИ не раздает, пишет, что скачать можно только для ознакомления, а типа для работы нужно получить на диске. А вот VipNet спокойно раздает дистрибутивы своего СКЗИ для легального использования с сайта. Можно скачать, проверить целостность и законно использовать. Средства у них тоже сертифицированы ФСБ, значит допускается так СКЗИ распространять?
                  152 приказ фаспи, увы, никто не отменял. Ст. 25 "....... Передача по техническим средствам связи криптоключей не допускается, за исключением специально организованных систем с децентрализованным снабжением криптоключами." - т.е. если вы передаете клиентам транспортные ключи - до свидания!

                  Ст. 32 "СКЗИ и ключевые документы могут доставляться фельдъегерской (в том числе ведомственной) связью или со специально выделенными нарочными из числа сотрудников органа криптографической защиты или пользователей СКЗИ, для которых они предназначены, при соблюдении мер, исключающих бесконтрольный доступ к ним во время доставки.
                  Эксплуатационную и техническую документацию к СКЗИ можно пересылать заказными или ценными почтовыми отправлениями. " - т.е. нет упоминания о "скачивании" - понятно, что документ сильно устарел, но он действует и, формально, как лицензиат вы его нарушаете.

                  Думаю, что если порыть ПКЗ, там тоже что-нибудь про это есть.

                  А VipNet, наверное, так распространяет, потому что в судебной практике нет прецедентов, чтобы именно за такое распространение кого-то наказали (либо моп про это не знает )). Другими, словами, если будет такой прецедент - эксперт с большой вероятностью воспользуется этим косяком, но так как таких случаев не известно, то и йюх с ним.

                  Комментарий


                  • #10
                    Да, это так. 152 приказ давно устарел.

                    Комментарий


                    • #11
                      Сообщение от igor72 Посмотреть сообщение
                      Да, это так. 152 приказ давно устарел.
                      устарел, но не перестал быть "инструкцией" по проверке для ЦЛСЗ.

                      Комментарий

                      Обработка...
                      X