26 ноября, четверг 00:32
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Окончание действия сертификата соответствия ФСБ на etoken

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Окончание действия сертификата соответствия ФСБ на etoken

    Коллеги, доброго дня!

    Как быть в такой ситуации: на etoken, которые клиенты используют для доступа в ДБО закончился сертификат соответствия ФСБ (ГОСТовый алгоритм):
    Возможно ли продолжать использовать его клиентами, не нарушая законодательства и требования регуляторов?

  • #2
    В соответствии с принципами технического регулирования, обязательная оценка соответствия товаров должна проводиться перед их выпуском в обращение. При эксплуатации оборудования переоформление разрешительных документов после окончания срока их действия не производится. Поэтому в этом случае надзорные органы не имеют право требовать действующие сертификаты или декларации.

    http://www.qgc.ru/informations/publi...il.php?ID=1021


    Так что, новые выдавать уже нельзя, да они, пожалуй уже и не выпускаются, а старыми пользуйтесь.

    Комментарий


    • #3
      В соответствии со ст.5 184-ФЗ оценка соответствия СЗИ отнесена к компетенции регуляторов, поэтому выводи содержащиеся в этой статье,к ним не применимы.
      В рамках проверок соблюдения 152-ФЗ ФСБ , специально обращает внимание на СКЗИ с сертификатами, срок действия которых истек, отмечая это как нарушение.
      ФСТЭК занимает аналогичную позицию.
      Цитирую: "По истечении срока действия сертификат соответствия на средство защиты информации не может являться документом, удостоверяющим соответствие средства защиты информации установленным требованиям по безопасности информации."

      Комментарий


      • #4
        Hedin333, а токен и не является таковым документом, токен это носитель, в котором находиться тот самый сертификат или документ.

        Комментарий


        • #5
          Сообщение от khusainov rustam Посмотреть сообщение
          а токен и не является таковым документом, токен это носитель
          есть разные токены... есть и такие, которые не только хранят ключ ЭП, но и осуществляют криптопреобразование. Причем топикстартер упоминает именно такие, "ГОСТ-овские". Это получается полноценное СКЗИ (и сертификат ФСБ).
          На обычные eToken PRO/JAVA и т.д. нужен только сертификат ФСТЭК - а с ним все в порядке, до 11/08/2016 продлен.
          Я словно лист на ветру, посмотри как я лечу...

          Комментарий


          • #6
            Сообщение от Hedin333 Посмотреть сообщение
            В рамках проверок соблюдения 152-ФЗ ФСБ , специально обращает внимание на СКЗИ с сертификатами, срок действия которых истек, отмечая это как нарушение.
            ФСТЭК занимает аналогичную позицию.
            Да уж нас пугали, пугали. Пугали, пугали. А общая норма закона как была так и осталась.
            Пусть лютуют. При проверках гос. структур.
            :-)

            Комментарий


            • #7
              Сообщение от integro7 Посмотреть сообщение
              Как быть в такой ситуации: на etoken, которые клиенты используют для доступа в ДБО закончился сертификат соответствия ФСБ
              Кстати, вопрос к банкирам , а как Вы пользуете Сигнатуру, сертификат у Вербы закончился в прошлом году и ФСБ его продлевать не собирается, а Сигнатура эт о как говорится плоть и кровь от Вербы.
              [OFF]Красим белим, иногда защищаем[/OFF]

              Комментарий


              • #8
                Сообщение от akitukitua Посмотреть сообщение
                Кстати, вопрос к банкирам , а как Вы пользуете Сигнатуру, сертификат у Вербы закончился в прошлом году и ФСБ его продлевать не собирается, а Сигнатура эт о как говорится плоть и кровь от Вербы.
                На Сигнатуру сертификат протухнет в августе 2015-го:
                http://www.x509.ru/i/cert1901.jpg
                http://www.x509.ru/i/cert1900.jpg

                Верба для перевода денежных средств не используется, а требования в отношения использования сертифицированных СКЗИ Банком России установлены только для переводов денежных средств.

                Комментарий


                • #9
                  На вербу серт. вроде 01 июня 2015 умрет. Но с вербой ПДн обрабатываются

                  Комментарий


                  • #10
                    Сообщение от Esin Посмотреть сообщение
                    На вербу серт. вроде 01 июня 2015 умрет.
                    Регистрационный номер — СФ/111-1968 от 10 сентября 2012 г.
                    Действителен до 1 июня 2015 г.

                    http://www.security.ru/licences.php?lic_id=106

                    Вот и посмотрим, что будет после 1-го июня. :-)

                    Комментарий


                    • #11
                      Сообщение от ost Посмотреть сообщение
                      Действителен до 1 июня 2015 г.
                      СТранно это всё учитывая вот этот документ 18-14-63эп_copy.pdf
                      [OFF]Красим белим, иногда защищаем[/OFF]

                      Комментарий


                      • #12
                        Сообщение от akitukitua Посмотреть сообщение
                        СТранно это всё учитывая вот этот документ [ATTACH]50405[/ATTACH]
                        Ну тут про ИС ПФР сказано. Про системы Банка России пока тихо.
                        Вложения

                        Комментарий


                        • #13
                          Сообщение от Esin Посмотреть сообщение
                          Ну тут про ИС ПФР сказано
                          Я имел ввиду не ИС пфр, а то что ФСБ говорит, что сертификат закончился
                          [OFF]Красим белим, иногда защищаем[/OFF]

                          Комментарий


                          • #14
                            Сообщение от akitukitua Посмотреть сообщение
                            то что ФСБ говорит, что сертификат закончился
                            Где там написано, что сертификат закончился?
                            Вижу, что сроки использования продлены до конца 2015-го
                            Вижу, что МО ПНИЭН до 15.04.2015 должен направить ТЗ на проведение контрольных и тематических исследований.

                            Комментарий


                            • #15
                              Сообщение от ost Посмотреть сообщение
                              Где там написано, что сертификат закончился?
                              между строк, пни не собираются продлевать сертификат фактически принят новый алгоритм на подпись его в Вербе нет, но учитывая исключительность ситуации ФСБ закрывает глаза на то что пфр будет пользовать вербу до конца года, другие не понятно что будут делать.
                              [OFF]Красим белим, иногда защищаем[/OFF]

                              Комментарий


                              • #16
                                Сообщение от akitukitua Посмотреть сообщение
                                между строк
                                Ну тады ой.

                                Посмотрим, что пни сделает, могли уже и подать заявление на КТИ.

                                Комментарий


                                • #17
                                  Сообщение от ost Посмотреть сообщение
                                  Ну тады ой.

                                  Посмотрим, что пни сделает, могли уже и подать заявление на КТИ.
                                  Нет не подали и не подадут, пни закрыли проект по Вербе, общался с разработчиками, им оно не интересно, максимум что может быть МО ПНИЭИ (московский филиал) будут поддерживать, Пензе не интересно.
                                  [OFF]Красим белим, иногда защищаем[/OFF]

                                  Комментарий


                                  • #18
                                    Сообщение от akitukitua Посмотреть сообщение
                                    Пензе не интересно.
                                    А как же высокая общественная значимость?
                                    Впрочем, мне это тоже не интересно...

                                    Вот когда письмо о переходе на другое СКЗИ пришлют, МГТУ или ФС, вот тогда и будем исполнять.

                                    Комментарий


                                    • #19
                                      Сообщение от ost Посмотреть сообщение
                                      А как же высокая общественная значимость?
                                      Впрочем, мне это тоже не интересно...

                                      Там давняя любовь между головой и филиалом, на общественную значимость там всем плевать, деньги решают всё.
                                      [OFF]Красим белим, иногда защищаем[/OFF]

                                      Комментарий


                                      • #20
                                        Сообщение от Hedin333 Посмотреть сообщение
                                        В соответствии со ст.5 184-ФЗ оценка соответствия СЗИ отнесена к компетенции регуляторов, поэтому выводи содержащиеся в этой статье,к ним не применимы.
                                        В рамках проверок соблюдения 152-ФЗ ФСБ , специально обращает внимание на СКЗИ с сертификатами, срок действия которых истек, отмечая это как нарушение.
                                        ФСТЭК занимает аналогичную позицию.
                                        Цитирую: "По истечении срока действия сертификат соответствия на средство защиты информации не может являться документом, удостоверяющим соответствие средства защиты информации установленным требованиям по безопасности информации."
                                        А цитата эта на чём основана? Я понимаю было бы написано в соответствии пусть с секретным приказом, но ведь этого нет (или что то есть?). В статье 5 184-ФЗ даны только права устанавливать особенности оценки соответствия, т.е. как проводится оценка, и не дано прав менять принципы технического регулирования. А для обязательной оценки (сертификации) принято, что продукция может эксплуатироваться в течении определённого срока службы даже после истечения срока действия сертификата.
                                        Логично, чтобы для СЗИ устанавливался срок эксплуатации, а при необходимости федеральные службы выпускали рекламацию о том, что нельзя использовать СЗИ действие сертификата, которого истекло по таким-то причинам (например, алгоритмы менее стойкие). Просто совершенно глупо выглядит кода вчера СЗИ ещё было допустимо использовать, а сегодня сертификат протух и нельзя (была же, вроде, ситуация, когда ни одного СКЗИ не было с действующим сертификатом, все пользовались и ждали).
                                        Также бывают ситуации, когда СКЗИ необходимо использовать, например, для проверки архивного документа, и что теперь делать, получается нельзя расшифровать и проверить ЭП, раз такое СКЗИ применять нельзя?
                                        Вот ещё пример: клиент подписывает платежку со сроком исполнения + N дней, в этот период сертификат протухает. В момент исполнения банк получается не может использовать такое СКЗИ для проверки ЭП и должен отказать в исполнении документа?
                                        Более того, бизнес несёт колоссальную дополнительную нагрузку по затратам на обновление СЗИ с истекшим сроком действия, т.к. производителю часто не интересно продлевать сертификат, лучше выпустить новую версию и продать апгрейд (затраты по сертификации надо же отбить).

                                        Комментарий


                                        • #21
                                          Сообщение от Zuz Посмотреть сообщение
                                          А цитата эта на чём основана?
                                          Да ни на чём.
                                          Если бы были основания, то было бы официальное разъяснение на сайте ФСБ и ФСТЭК, со ссылкой на документ, зарегистрированный в МинЮсте.
                                          А так это просто пугалки, которыми народ на конференциях стращают.

                                          Я просил юристов прошерстить административную практику на эту тему, так они не нашли ни одного случая, когда кого-то привлекали за использование "протухшего" СКЗИ.

                                          Я вот жду, как ЦБ поступит с "протухшей" Вербой...

                                          Комментарий


                                          • #22
                                            Сообщение от ost Посмотреть сообщение
                                            когда кого-то привлекали за использование "протухшего" СКЗИ.
                                            Проблема не в привлечении, проблема в легитимности того что зашифровали или подписали.
                                            [OFF]Красим белим, иногда защищаем[/OFF]

                                            Комментарий


                                            • #23
                                              Сообщение от akitukitua Посмотреть сообщение
                                              Проблема не в привлечении, проблема в легитимности того что зашифровали или подписали.
                                              Хорошо, а почему оно не легитимно, и что значит не легитимно зашифровали?

                                              Комментарий


                                              • #24
                                                Сообщение от Zuz Посмотреть сообщение
                                                Хорошо, а почему оно не легитимно, и что значит не легитимно зашифровали
                                                Вот смотрите, отправляете Вы например, платёжный документ в банк, используя не сертифицированное СКЗИ, по каким либо причинам данный документ не доходит\не принимается\теряется и прочее, деньги не переведены, Вы понесли убытки идёте в суд, начинается рассмотрение поднимаются средства передачи подписи и шифрования, выясняется что СКЗИ использовать нельзя, что решит суд? Предсказать сложно, но скорее всего банк ухватится за данную соломинку, превратитв её в бревно спасения.
                                                [OFF]Красим белим, иногда защищаем[/OFF]

                                                Комментарий


                                                • #25
                                                  Сообщение от akitukitua Посмотреть сообщение
                                                  Вот смотрите, отправляете Вы например, платёжный документ в банк, используя не сертифицированное СКЗИ, по каким либо причинам данный документ не доходит\не принимается\теряется и прочее, деньги не переведены, Вы понесли убытки идёте в суд, начинается рассмотрение поднимаются средства передачи подписи и шифрования, выясняется что СКЗИ использовать нельзя, что решит суд? Предсказать сложно, но скорее всего банк ухватится за данную соломинку, превратитв её в бревно спасения.
                                                  Ещё нужно доказать что оно не сертифицированное (есть неоднозначности в 184-ФЗ, которые не дают чёткого ответа на вопрос) и показать, что такое средство электронной подписи действительно использовать нельзя. И где в 63-ФЗ про это (государственные организации не берём, там действительно без действующего сертификата никак, т.к. такие организации просто не будут с банком работать без действующего сертификата на СКЗИ, хотя и там всё зависит от того как посчитает суд), почему нельзя то, вполне себе усиленная ЭП будет получаться? Соломинка со стороны банка очень сомнительная, т.к. легко можно будет показать, что все иные переводы банк для других клиентов, подписанные с помощью того же средства электронной подписи были исполнены.

                                                  И нелегитимное шифрование интересно, что это? )
                                                  И цепочку у СКЗИ закончился срок действия сертификата = сделанная с его помощью ЭП не легитимна чуть подробнее раскройте. Действительно интересно, т.к. такие риски теоретически могут иметь место быть и нужно быть готовым.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от akitukitua Посмотреть сообщение
                                                    Вот смотрите, отправляете Вы например, платёжный документ в банк, используя не сертифицированное СКЗИ, по каким либо причинам данный документ не доходит\не принимается\теряется и прочее, деньги не переведены, Вы понесли убытки идёте в суд, начинается рассмотрение поднимаются средства передачи подписи и шифрования, выясняется что СКЗИ использовать нельзя, что решит суд? Предсказать сложно, но скорее всего банк ухватится за данную соломинку, превратитв её в бревно спасения.
                                                    В отношениях между банком и клиентом порядок признания подписи определяется договором. Если в договоре одним из условий не прописано, что обязательно надо использовать сертифицированную криптографию, то какие вопросы могут быть?
                                                    Тут ЦБ может докопаться и написать нарушение, но на отношения между банком и клиентов это не повлияет.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Zuz Посмотреть сообщение
                                                      Ещё нужно доказать что оно не сертифицированное
                                                      А чего там доказывать нет\закончился сертификат вот и не сертифицированно.

                                                      Сообщение от Zuz Посмотреть сообщение
                                                      И где в 63-ФЗ про это
                                                      А ЭП здесь совсем не причём, речь идёт про шифрование, хотя в данной ситуации можно будет говорить и о не доверии к квалифицированной ЭП, тк средства на которых она должна быть выработана должны пройти аттестацию и сертификацию (вот тут кстати очеь хорошо могут сыграть зарубежные средства выработки ЭП).

                                                      Сообщение от Zuz Посмотреть сообщение
                                                      т.к. легко можно будет показать, что все иные переводы банк для других клиентов, подписанные с помощью того же средства электронной подписи были исполнены.
                                                      Согласен данный аргумент достаточно силён, но его тоже можно опровергнуть, у нас не прецендентное право, рассматривается данный конкретный случай, другие коиенты здесь не причём.



                                                      Сообщение от Zuz Посмотреть сообщение
                                                      И нелегитимное шифрование интересно, что это? )
                                                      Не обеспечивающее своё основное свойство: сокрытие информации от неавторизованного пользователя.



                                                      Сообщение от Zuz Посмотреть сообщение
                                                      И цепочку у СКЗИ закончился срок действия сертификата = сделанная с его помощью ЭП не легитимна чуть подробнее раскройте. Действительно интересно, т.к. такие риски теоретически могут иметь место быть и нужно быть готовым.
                                                      На основании 63 ФЗ можно говорить, о том, что если на момент подписи ЭП не была скомпрометирована, то данный документ считается юридически значимым. Т.е, не на момент выработки (когда СКЗИ ещё имела сертификат) а на момент когда подпись проставлялась под документом. Можно предположить, что сертификат не был продлён-производитель\регулятор считают данное СКЗИ необходимо вывести из эксплуатации. На примере той же Вербы, в ней нет нового алгоритма формирования подписи (2012 года). Я не очень помню документы к нему, но наверняка там стоит срок использования старых алгоритмов 2001 и 94 годов, если этот срок наступит раньше, чем была проставлена подпись можно будет смело утверждать о компрометации подписи. Разумеется это только голая теория, и вряд кто то будет копать так далеко и глубоко, но если передо мной организация ставила задачу я бы нарисовал примерно такую схему (с некоторыми доработками разумееется).
                                                      [OFF]Красим белим, иногда защищаем[/OFF]

                                                      Комментарий


                                                      • #28
                                                        Сообщение от akitukitua Посмотреть сообщение
                                                        Разумеется это только голая теория, и вряд кто то будет копать...
                                                        И вряд ли с этой теорией согласится суд... компрометация, это событие никак не связанное с алгоритмом.


                                                        Вы лучше порассуждайте на тему того, что вот закончился срок действия сертификата соответствия на ваш автомобиль, его больше не производит завод, а ГАИшник на посту вам заявляет, что раз сертификат закончился, то ездить на авто вы не имеете право, должны поменять на новый.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от ost Посмотреть сообщение
                                                          Вы лучше порассуждайте на тему того, что вот закончился срок действия сертификата соответствия на ваш автомобиль, его больше не производит завод, а ГАИшник на посту вам заявляет, что раз сертификат закончился, то ездить на авто вы не имеете право, должны поменять на новый.
                                                          Хм, машину не вожу давно, мог что-то пропустить. Разве разрешили эксплуатацию автомобиля с просроченным талоном техосмотра?
                                                          Смех смехом, а в ФЗ "Об электронной цифровой подписи" так и было ("положительный результат проверки сертифицированным средством" или как-то так, прямо в определениях).

                                                          При неквалифицированной ЭП условия признания равнозначности устанавливается договором. Если в договоре прописано признание ЭП равнозначной собственноручной подписи только в случае положительной проверки сертифицированным средством - таки да, отсутствие сертификата может означать невозможность признания равнозначности подписи. При квалифицированной ЭП "протухание" сертификата средства проверки подписи при отсутствии сертифицированных аналогов автоматически переводит подпись из квалифицированных в неквалифицированные со всеми вытекающими правовыми последствиями, прямо по определению.

                                                          Есть некоторый шанс, что при рассмотрении спора суд примет во внимание дух закона, а не букву, но это сильно маловероятно.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от malotavr Посмотреть сообщение
                                                            Хм, машину не вожу давно, мог что-то пропустить. Разве разрешили эксплуатацию автомобиля с просроченным талоном техосмотра?
                                                            Не совсем корректно. Машина имеет износ и прочее. А с СЗИ тем более программным, что "изнашивается"? Если говорить об ослаблении алгоритмов для СКЗИ, то тут дело ФСБ следить, вот завтра найдут уязвимость в ГОСТ, я буду показывать сертификат на СКЗИ и по вашему всё хорошо, а по факту это не так и представим себе, что можно подделывать ЭП, а мы машем бумажкой и радуемся легитимности.

                                                            Сообщение от malotavr Посмотреть сообщение
                                                            Смех смехом, а в ФЗ "Об электронной цифровой подписи" так и было ("положительный результат проверки сертифицированным средством" или как-то так, прямо в определениях).
                                                            Само собой, укрепление рынка. )))

                                                            Сообщение от malotavr Посмотреть сообщение
                                                            При неквалифицированной ЭП условия признания равнозначности устанавливается договором. Если в договоре прописано признание ЭП равнозначной собственноручной подписи только в случае положительной проверки сертифицированным средством - таки да, отсутствие сертификата может означать невозможность признания равнозначности подписи. При квалифицированной ЭП "протухание" сертификата средства проверки подписи при отсутствии сертифицированных аналогов автоматически переводит подпись из квалифицированных в неквалифицированные со всеми вытекающими правовыми последствиями, прямо по определению.
                                                            А почему СЗИ сертификат соответсвтия, которого истёк не сертифицированное? Вчера было можно, а сегодня нельзя. Почему? В этом и был вопрос топикстартера. Когда изделие приобреталось оно имело действующий сертификат, значит оно сертифицировано по определению!

                                                            Для программных СКЗИ типа КриптоПро всё могло быть несколько проще, там лицензия на 1 год, год закончился ты не можешь купить новую, если для данной версии не продлён сертификат (т.к. производитель по сути не может их продавать), для программно-аппаратных, в паспорте как на любое изделие типа телевизора должен быть прописан срок эксплуатации, вот в течение этого срока и должны мы иметь возможность использовать изделие. Тот же токен имеет какой-то же срок эксплуатации.

                                                            Комментарий

                                                            Обработка...
                                                            X