26 ноября, четверг 17:35
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Электронная подпись для ДБО ИКБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Электронная подпись для ДБО ИКБ

    Добрый день.

    Коллеги, подскажите в каком документе зафиксировано что для в системах дистанционного банковского обслуживания Интернет Клиент-Банк
    обслуживающих юридических лиц требуется криптографическая электронная подпись и более того с использованием сертифицировнных СКЗИ.

    в то же время для физ. лиц может применяться АСП или простая электронная подпись в виде одноразовых SMS-кодов.

    Например, в 383-П ничего подобного нет, но в тоже время все банки действуют по указаной схеме, почему?

  • #2
    Насчёт сертифицированных СКЗИ - такое требование есть в 382-П. Но это требование только если используете СКЗИ российского производства. Всё остальное действительно нигде не регламентировано. Использование конкретных средств защиты личное дело каждого банка. Что считаете нужным (полезным/удобным/надёжным), то и используете.

    Комментарий


    • #3
      Проанализировал 17-П все равно не увидел там необходимость использования криптографической подписи. Но в то же время все банки в общем прорыве делать ИКБ для ЮЛ только через криптографическую подпись, может кто из старожилов знает причину такого явления?

      Комментарий


      • #4
        Сертифицированное СКЗИ ставит квалифицированную электронную подпись (в терминологии 63-ФЗ «Об электронной подписи»), что приравнивает электронный документ к бумажному собственноручно подписанному (статья 6 пункт 1 63-ФЗ).
        Теоретически, можно для этих целей обойтись несертифицированным средством подписи (63-ФЗ это допускает, если в соглашении между участниками электронного взаимодействия прописать нюансы признания документов), но против этого будет 382-П. Круг замыкается.

        Комментарий


        • #5
          Прямой связи между сертифицированным СКЗИ и квалифицированной ЭП нет, не вводите в заблуждение.
          Давайте тогда уж с терминами разберёмся.
          АСП (аналог собственноручной подписи) - термин из ГК, включает в себя все виды ЭП и вообще всё что угодно, что вы решите считать таким аналогом. При этом любой АСП придаёт юридическую значимость документообороту, если он соответствует договору. Банк имеет право использовать любой АСП и при работе с любыми клиентами.
          Электронная подпись регулируется 63-ФЗ. Как правило, простая ЭП используется при работе с физиками, усиленная с юриками. Квалифицированная в банках при работе с клиентами используется исключительно редко. Кто постоянно путает усиленную и усиленную квалифицированную ЭП - велкам читать закон.
          Вопросы сертификации несколько сбоку от ЭП, но всё же... Банк имеет право использовать любую криптографию, какую сочтёт нужным. Хотите зарубежную, хотите российскую. Но если выбрали российскую, то ваши СКЗИ должны быть сертифицированы (это требование 382-П). Зарубежные, естественно, никто сертифицировать не требует. Вопрос использования зарубежной крипты особенно актуален если банк иностранный или клиенты за границей.
          Теперь о причинах того, почему исторически сложилось такое разделение в подписях физиков и юриков. Криптографию банки начали использовать после истории с фальшивыми авизо (кто не слышал, почитайте, очень интересная история был). Самое главное, что позволяет криптография - она не только удостоверяет отправителя документа, но и позволяет гарантировать неизменность этого документа. При правильном применении, естественно.
          Что касается физиков, то было бы неплохо и их перевести на криптографию, но СКЗИ для физиков оказались дороги, клиенты не хотят платить 2-3-5 т.р. за возможность пару раз в месяц закинуть денег на телефон и за ЖКХ, поэтому простая подпись для физиков - это в большинстве случаев результат компромисса между безопасностью, стоимостью защиты и рисками для банка и клиента.

          Комментарий


          • #6
            Полностью согласен с Tor.

            Вот только с зарубежными СКЗИ тоже не все так просто.
            Сертифицировать их не нужно, но требуется получить согласие в ФСБ на их ввоз в Таможенный союз.

            Комментарий


            • #7
              Согласен, для получения квалифицированной ЭП кроме сертифицированного СКЗИ нужен еще и квалифицированный сертификат ключа ЭП, который выдается аккредитованным удостоверяющим центром. Такой УЦ есть сейчас только у очень небольшого числа банков.

              Комментарий


              • #8
                Сообщение от mda74 Посмотреть сообщение
                Вот только с зарубежными СКЗИ тоже не все так просто.
                Сертифицировать их не нужно, но требуется получить согласие в ФСБ на их ввоз в Таможенный союз.
                С зарубежными СКЗИ всё непросто, Вы правы. Но согласие ФСБ на ввоз нужно не для всех СКЗИ, по каждому надо смотреть отдельно - не попадает ли в исключения.
                А сертифицировать их не просто не нужно, а в принципе невозможно в большинстве случаев, т.к. там не используются ГОСТы, а ФСБ другое не сертифицирует.

                Комментарий


                • #9
                  ПКЗ-2005 п. 3 первый подпункт. А далее пункт 47. Это по поводу сертифицированного СКЗИ.
                  Последний раз редактировалось Ярослав В.; 01.09.2015, 15:22.

                  Комментарий


                  • #10
                    Сообщение от Ярослав В. Посмотреть сообщение
                    ПКЗ-2005 п. 3 первый подпункт. А далее пункт 47. Это по поводу сертифицированного СКЗИ.
                    Всё абсолютно правильно. И заодно там же смотрим п. 5. Это по поводу зарубежного СКЗИ.

                    Комментарий


                    • #11
                      Сообщение от Tor Посмотреть сообщение
                      Всё абсолютно правильно. И заодно там же смотрим п. 5. Это по поводу зарубежного СКЗИ.
                      У нас в регионе один банк наказали конкретно за БК и конкретно за работу с СКЗИ иностранного производства, так мне сказали в местном ФСБ.
                      Правда по какой статье не помню, какой то не существенный штраф.

                      Комментарий


                      • #12
                        Сообщение от Ярослав В. Посмотреть сообщение
                        У нас в регионе один банк наказали конкретно за БК и конкретно за работу с СКЗИ иностранного производства, так мне сказали в местном ФСБ.
                        Правда по какой статье не помню, какой то не существенный штраф.
                        А если не секрет, каким сертифицированным СКЗИ российского производства обеспечивается шифрование канала например между клиентами-физиками и всеми остальными, не наказанными банками? Скорее всего используют зарубежный SSL, правильно? И никого за это вроде не наказывали.
                        И если уж сайт госуслуг не брезгует использовать SSL (несертифицированный естественно), то какой спрос за зарубежную криптографию с банка?
                        Так что наказывать за БК с иностранными СКЗИ, кмк., перебор.

                        Комментарий


                        • #13
                          Сообщение от Ярослав В. Посмотреть сообщение
                          У нас в регионе один банк наказали конкретно за БК и конкретно за работу с СКЗИ иностранного производства, так мне сказали в местном ФСБ.
                          Правда по какой статье не помню, какой то не существенный штраф.
                          Скорее всего сам БК использовал СКЗИ типа PGP. При проверке это выяснилось и их наказали.

                          Комментарий


                          • #14
                            Сообщение от Tor Посмотреть сообщение
                            А если не секрет, каким сертифицированным СКЗИ российского производства обеспечивается шифрование канала например между клиентами-физиками и всеми остальными, не наказанными банками? Скорее всего используют зарубежный SSL, правильно? И никого за это вроде не наказывали.
                            И если уж сайт госуслуг не брезгует использовать SSL (несертифицированный естественно), то какой спрос за зарубежную криптографию с банка?
                            Так что наказывать за БК с иностранными СКЗИ, кмк., перебор.
                            Как я понял из разговора: "Если есть возможность использования российской криптографии - используйте ее". В моем случае предметом беседы был толстый клиент (классический Банк-Клиент с устанавливаемым ПО на обычный компьютер) и речь о тонком клиенте (Онлайн банкинге) не шла.

                            Знаю ситуацию когда заставили Банк использовать российскую криптографию для связи с ДО.

                            Комментарий


                            • #15
                              Сообщение от wenum Посмотреть сообщение
                              Например, в 383-П ничего подобного нет, но в тоже время все банки действуют по указаной схеме, почему?
                              В первую очередь, если вам интересны госклиенты (бюджетники и т.п.), то требуется сертифицированное СКЗИ, т.к. не сертифицированные СЗИ такие организации в большенстве случаев использовать не могут, а раз им надо, то проще уж всем сделать.
                              Вторая причина это модель рисков, т.к. суммы у юриков выше, то требуется более надёжные схемы доказательства авторства. В тоже время для юриков, есть примеры облегченных систем ДБО у Сбера, например, есть по "SMS-подпись", сам видел, как переводили миллионы через такую системы с iPad'a. 8)
                              Третья причина в том, что деятельность по оказанию услуг лицензируемая, если ваше СКЗИ не подпадает под исключения, а строгая криптография в общем случае не подпадает (в этой теме много нюансов, есть некоторые исключения, но в общем это так), то у вас нет просто выбора не использовать сертифицированные СКЗИ.

                              Комментарий


                              • #16
                                Сообщение от Ярослав В. Посмотреть сообщение
                                Как я понял из разговора: "Если есть возможность использования российской криптографии - используйте ее". В моем случае предметом беседы был толстый клиент (классический Банк-Клиент с устанавливаемым ПО на обычный компьютер) и речь о тонком клиенте (Онлайн банкинге) не шла.

                                Знаю ситуацию когда заставили Банк использовать российскую криптографию для связи с ДО.
                                Для связи с ДО вполне может быть из-за ПДн, там сложнее отвертеться. Хотя интересно, кто заставил. ФСБ не имеет права проверять банки в части ПДн, РКН не имеет права проверять криптографию ))
                                А что касается ДБО - правильно сказали, если есть возможность использовать российскую сертифицированную крипту - используйте её. Хотя бы потому, что это проще. Зарубежная крипта не запрещена, но, как в приведённом Вами примере, если попадутся дубовые проверяющие, придётся им это доказывать.
                                Использовать зарубежную имеет смысл только либо если клиент заграничный, либо если нашего аналога нет или его сложнее использовать.

                                Комментарий


                                • #17
                                  Сообщение от Tor Посмотреть сообщение
                                  Для связи с ДО вполне может быть из-за ПДн, там сложнее отвертеться. Хотя интересно, кто заставил. ФСБ не имеет права проверять банки в части ПДн, РКН не имеет права проверять криптографию ))
                                  Они заставили на этапе получения Банком лицензии на крипту.

                                  Комментарий


                                  • #18
                                    Сообщение от Ярослав В. Посмотреть сообщение
                                    Они заставили на этапе получения Банком лицензии на крипту.
                                    Криптозащита канала с собственными ДО - нелицензируемый вид деятельности, т.к. осуществляется для собственных нужд, при получении лицензии проверяющим вообще знать не обязательно, что мы там используем.
                                    Кроме того, даже для лицензируемых видов деятельности зарубежная крипта не запрещена. Главное, она должна быть законно ввезена в РФ, см. ПП-313:
                                    6. Лицензионными требованиями при осуществлении лицензируемой деятельности являются:
                                    ж) представление соискателем лицензии (лицензиатом) в лицензирующий орган перечня шифровальных (криптографических) средств, в том числе иностранного производства, не имеющих сертификата Федеральной службы безопасности Российской Федерации, технической документации, определяющей состав, характеристики и условия эксплуатации этих средств, и (или) образцов шифровальных (криптографических) средств;
                                    Т.е. при получении лицензии просто необходимо предоставить перечень и тех.документацию зарубежной крипты, и если она легальная, никто не имеет права запретить ею пользоваться.

                                    Комментарий


                                    • #19
                                      Да, запретить не могут, например, HSM для процессинга без проблем так используются. Но касательно не лицензируемых видов деятельности, есть только одно исключение в перечне, даже установка того же HSM, по сути лицензируемый вид деятельности. Да, есть разные точки зрения, например, ФСТЭК различает деятельность для собственных нужд, но проверяющие ФСБ открывают перечень лицензируемых видов деятельности и если СКЗИ подпадает под действие ПП-313 (не исключается из области его действия) могут потребовать включить такую деятельность в список лицензируемых. Собственно для этого и запрашивается перечень СКЗИ с назначением для чего они используются.

                                      Комментарий


                                      • #20
                                        Сообщение от Zuz Посмотреть сообщение
                                        Да, запретить не могут, например, HSM для процессинга без проблем так используются. Но касательно не лицензируемых видов деятельности, есть только одно исключение в перечне, даже установка того же HSM, по сути лицензируемый вид деятельности. Да, есть разные точки зрения, например, ФСТЭК различает деятельность для собственных нужд, но проверяющие ФСБ открывают перечень лицензируемых видов деятельности и если СКЗИ подпадает под действие ПП-313 (не исключается из области его действия) могут потребовать включить такую деятельность в список лицензируемых. Собственно для этого и запрашивается перечень СКЗИ с назначением для чего они используются.
                                        Не, давайте не путать виды деятельности и СКЗИ, попадающие под исключения в ПП-313 (там, кстати, не одно исключение, а больше десятка).
                                        Если деятельность осуществляется для собственных нужд - она вообще не регулируется ни 99-ФЗ, ни ПП-313. Поэтому попадает или не попадает СКЗИ там под исключения - неважно, т.к. оно вообще не попадает под весь ПП-313.
                                        Если же деятельность лицензируемая, т.е. банк оказывает услугу кому-то, то вот тогда уже смотрим исключения в ПП-313.
                                        И не надо проверяющим при лицензировании вываливать вообще всё, что в банке лежало рядом со всеми СКЗИ. Документы, которые нужно предоставить, должны касаться только тех СКЗИ, с помощью которых оказываются услуги для других (в т.ч. за деньги).
                                        Выяснили
                                        1) какие услуги оказываете другим с применением крипты
                                        2) с помощью каких СКЗИ это делаете
                                        И всё, собрали документы именно на эти СКЗИ и отдали проверяющим. Не надо им лишних бумажек, они тоже люди, им тоже не хочется лишнюю работу работать )))

                                        Комментарий


                                        • #21
                                          Сообщение от Tor Посмотреть сообщение
                                          Не, давайте не путать виды деятельности и СКЗИ, попадающие под исключения в ПП-313 (там, кстати, не одно исключение, а больше десятка).
                                          Формально только один вид деятельности может осуществляться для собственных нужд без лицензии, всё остальное лицензируется, не важно для собственных нужд или нет.

                                          Сообщение от Tor Посмотреть сообщение
                                          Если деятельность осуществляется для собственных нужд - она вообще не регулируется ни 99-ФЗ, ни ПП-313. Поэтому попадает или не попадает СКЗИ там под исключения - неважно, т.к. оно вообще не попадает под весь ПП-313.
                                          Я же писал, что тот же ФСТЭК может так и считает, но практика работы с ФСБ и прочие свидетельства говорят об обратном. Зачем по вашему в ПП-313 сделано исключение только по одному виду деятельности?

                                          Всё остальное, да, верно, но ФСБ реально запрашивает перечень СКЗИ всех, в том числе и не для оказания лицензируемой деятельности (мне давали памятку, в которой именно так и написано). Я понимаю, что это особенности, но есть закон, а есть практика.

                                          Комментарий


                                          • #22
                                            Сообщение от Zuz Посмотреть сообщение
                                            Всё остальное, да, верно, но ФСБ реально запрашивает перечень СКЗИ всех, в том числе и не для оказания лицензируемой деятельности (мне давали памятку, в которой именно так и написано). Я понимаю, что это особенности, но есть закон, а есть практика.
                                            У нас, значит, другая практика была. Памяток нам, правда, не давали, но и претензий не было.
                                            А разговор тут вообще начался с того, что ФСБ кого-то наказал за зарубежную крипту, но в этом Вы, похоже, со мной согласны, что ни запретить использовать, ни наказывать не должны.

                                            Комментарий


                                            • #23
                                              Сообщение от Tor Посмотреть сообщение
                                              А разговор тут вообще начался с того, что ФСБ кого-то наказал за зарубежную крипту, но в этом Вы, похоже, со мной согласны, что ни запретить использовать, ни наказывать не должны.
                                              Да, согласен, но одно дело, когда у вас есть старые Cisco, которые как-то были ввезены со строгой криптой на борту, а другое дело сейчас, когда их просто почти нельзя приобрести, или тот же CheckPoint импортируется без строгой криптографии и нужно скачивать прошивку. Но сделать туннель на базе Windows между двумя хостами, это можно без проблем.

                                              Что касается темы защиты каналов связи и лицензии ФСБ, то нам пришлось тоже перейти на сертифицированное СКЗИ при продлении лицензии для этих целей, а так же по причине замечаний со стороны ЦБ (проводили проверку по Комплексу СТО БР ИББС и сказали вы мол не выполняете: нужны сертифицированные СКЗИ и только КС2, делайте, и это с учётом того, что у нас не введён приказом Комплекс СТО БР ИББС, а рекомендован к применению путём включения на него ссылок). Второе даже больше чем первое повлияло, но в ФСБ интересовались как именно защищаются каналы связи между офисами, и просили указывать все СКЗИ, т.к. ПП-313 не конкретизирует, что нужно предоставить именно перечень СКЗИ только по лицензируемой деятельности (Вы сами же цитировали выше).
                                              А по HSM для процессинга вопросов не было вообще, есть официальные бумаги на ввоз и приобретения, всё ок, пользуйтесь, но, например, про OpenSSL или крипту в JRE я предпочитаю молчать, т.к. её правовой статус шаткий. ЦБ реально при проверке требовало предъявить документацию на крипту из состава почтовой системы http://www.rex400.ru/, к которой ЦБ само и подключено. Там есть OpenSSL для шифрования трафика между серверами, а ещё там есть OpenVPN. )))
                                              Последний раз редактировалось Zuz; 04.09.2015, 17:53.

                                              Комментарий

                                              Обработка...
                                              X