17 ноября, суббота 21:57
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Новый КоаП и шифровальные средства

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Новый КоаП и шифровальные средства

    Интересно можно интерпретировать ст. 13.12:
    Статья 13.12. Нарушение правил защиты информации
    1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), -
    влечет наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
    2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
    влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой.
    Это как, придут, обнаружат на сервере "несертифицированный шифровальный софт" и конфискуют сервер? Заманчивая перспектива...

    p.s. Кто не знаком с текстом, он есть по адресу http://www.garant.ru/upk/DOC_1202526...sub_para_N_130
    Earl Vlad Drakula. ///

  • #2
    hugevlad
    Проясняю ситуацию.
    Пункт первый относится исключительно к лицензиатам, и фактически не изменился ( в сравнении со страым КоАП). Он в целом логичен - "нельзя нарушать условия действия лицензии".
    Пункт второй обратите внимание на следующее ... если они подлежат обязательной сертификации.
    Теперь открываем законы РФ "Об информатизации ...", "О сертификации ..." и др. Выясняем следующее:
    1. В РФ НЕТ обязательной системы сертификации для систем и средств защиты информации, БД и банков данных.
    2. В законе не указано где и кем должна осуществляться сертификация. Например вполне достаточно иметь сертификат Госстанадрта РФ (о соответствии стандартам РФ).
    3. В дурную ситуацию попадают государственные организации, поскольку для них обязательная сертификация средств защиты информации, в .т.ч. т.н. шифровальных средств установлена указом Президента. Вот их в случае наличия чего-либо несертифицированного и отимеют по новому КоАП.


    Алексей.

    Комментарий


    • #3
      1.
      П.1 ст.1 Федерального закона «О лицензировании отдельных видов деятельности» №128-ФЗ от 08 августа 2001г. устанавливает, что действие закона распространяется на отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности в соответствии с перечнем, предусмотренным пунктом 1 статьи 17 закона. В соответствии с абз.12 п.1 ст.17 деятельность по технической защите конфиденциальной информации подлежит лицензированию. Государственным органом, в соответствии с Законом РФ «О федеральных органах правительственной связи и информации» осуществляющим лицензирование указанного вида деятельности, является Федеральное агентство правительственной связи и информации при Президенте Российской Федерации (ФАПСИ). В соответствии с пунктом «к» ст.11 Закона РФ «О федеральных органах правительственной связи и информации» ФАПСИ определяет порядок разработки, производства, реализации, эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации в Российской Федерации; осуществляет в пределах своей компетенции лицензирование и сертификацию этих видов деятельности, товаров и услуг. Приказом Федерального агентства правительственной связи и информации при Президенте РФ от 23 сентября 1999 г. N 158 утверждено «Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну». Согласно указанному положению использование средств криптографической защиты конфиденциальной информации (СКЗИ) осуществляется лицами, имеющими лицензию ФАПСИ (п.36 положения). К СКЗИ относятся:
      - реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи, включая СКЗИ;
      - реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от несанкционированного доступа к информации при ее обработке и хранении;
      - реализующие криптографические алгоритмы преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты от навязывания ложной информации, включая средства имитозащиты и "электронной подписи";
      - аппаратные, программные и аппаратно-программные средства, системы и комплексы изготовления и распределения ключевых документов для СКЗИ независимо от вида носителя ключевой информации.
      П.37 указанного положения предусматривает, что лицам, не имеющим лицензии ФАПСИ, могут предоставляться услуги по криптографической защите их конфиденциальной информации с использованием СКЗИ лицами, имеющими лицензии ФАПСИ, на основании соответствующего договора. Но при использовании системы «Банк-Клиент» непосредственно услугу по защите информации предоставляет «Запсибкомбанк» ОАО.
      П.2 ст.1 закона «О лицензировании отдельных видов деятельности» предусматривает, что деятельность данного закона не распространяется на деятельность кредитных организаций, но действие указанного закона не распространяется на кредитные организации в части лицензирования их деятельности в качестве кредитных организаций и осуществления ими банковских операций.
      Ст.857 ГК РФ, ст.26 Закона «О банках и банковской деятельности» обязывают банк хранить тайну банковского вклада, банковского счета, операций по счету и сведения о клиенте. При использовании системы «Банк-Клиент» без использования средств защиты информации возможна утечка информации третьим лицам. Использование третьими лицами сведений, составляющих банковскую тайну, может привести к предъявлению к Банку от клиентов исков о возмещении убытков и потере имиджа Банка, как надежного кредитного учреждения.
      Из вышеизложенного следует, что БАНК обязан получить лицензию ФАПСИ РФ на осуществление деятельности по технической защите конфиденциальной информации.

      2.Кодекс РФ об административных правонарушениях, вступающий в силу с 01 июля 2002 года, устанавливает ответственность за незаконную деятельность в области защиты информации (ст.13.13).
      Федеральный закон «О лицензировании отдельных видов деятельности» в абз.12 п.1 ст.17 устанавливает правило, согласно которому деятельность по технической защите конфиденциальной информации подлежит лицензированию. Ч.1 ст.13.13. Кодекса РФ об административных правонарушениях устанавливает правило, согласно которому занятие видами деятельности в области защиты информации без получения специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), влечет наложение на должностных лиц штрафа от двадцати до тридцати МРОТ с конфискацией средств защиты информации или без таковой; на юридических лиц - от ста до двухсот МРОТ с конфискацией средств защиты информации или без таковой.
      В соответствии с п.28.3. Кодекса органы ФСБ РФ и ФАПСИ при Президенте РФ вправе составлять протоколы об административных правонарушениях, предусмотренных ст.13.13. Кодекса. Органами, которые рассматривают дела об административных правонарушениях, предусмотренных вышеуказанной статьей, являются ФСБ РФ и ФАПСИ при Президенте РФ, их территориальные органы (ст.23.46 Кодекса). Указанные органы вправе вынести предписание об устранении нарушений законодательства, невыполнение в установленный срок такого предписания влечет наложение административного штрафа на должностных лиц - от пяти до десяти МРОТ; на юридических лиц - от пятидесяти до ста МРОТ (ст.19.5., ст.23.46. ч.2. п.54 Кодекса).
      Ст.3.7. Кодекса РФ об административных правонарушениях устанавливает, что конфискация как вид административного наказания применяется судьей.
      Орган, рассматривающий дело об административном правонарушении, вправе передать дело на рассмотрение судье (ч.2 ст.23.1. Кодекса). С момента получения протокола об административном правонарушении и других материалов дела судья в пятнадцатидневный срок рассматривает дело. В случае необходимости срок рассмотрения дела может быть увеличен до одного месяца.
      В соответствии с п.31.9. Кодекса постановление об административном наказании должно быть исполнено в течение года со дня вынесения. Постановление судьи о конфискации вещи исполняется судебным приставом-исполнителем (ст.32.4. Кодекса).
      Таким образом, неполучение лицензии на осуществление деятельности по защите информации либо использование несертифицированных систем защиты информации может привести к негативным последствиям для Банка вплоть до конфискации программных средств защиты информации, что приведет к невозможности оказания услуги «Банк-Клиент», убыткам и потере имиджа БАНКА в глазах его клиентов.

      Комментарий


      • #4
        Уважаемый Serpantin
        Вы, являясь юрисконсультом, в своем постинге допускаете ряд грубых юридических ошибок. Фактически сначала Вы цитируете ФЗ 128 (О лицензировании) и ФЗ "О ФОПСИ"
        Закон о ФОПСИ дает право ФОПСИ осуществлять деятельность лицензиара в области защиты информации, но при этом эти права не исключительны, ровно таким же лицензиаром является Государственная техническая комиссия при Президенте РФ. Именно это закреплено в принятом в июле положении о защите конфиденциальной информации, где права ФАПСИ, как лицензиара ограничены работой с органами высшей государственной власти и т.н. шифровальными средствами.
        Далее вы подробно, но непонятно зачем цитируете т.н. ПКЗ 99 («Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».) Как ведомственное положение оно обязательно только для государственных организаций, о чем неоднократно говорили представители ФАПСИ, если Вы взваливаете на себя обязанность соблюдать приказы ФАПСИ, то не надо грузить этим остальных.
        Попытка процитировать ПКЗ в части определения шифровальных средств – это наивность. В настоящее время нет юридически значимого определения этого понятия. Фактически шифровальное средство – это то, что так спозиционировано производителем.
        В связи с этим обязательность получения Банком лицензии не следует ни откуда, именно поэтому большая часть банков и не является лицензиатами ФАПСИ.
        Далее непонят6но зачем цитируется новый КоАП причем с таким затуманиванием ситуации, что диву даешься.
        А надо было всего-навсего написать следующее:

        Согласно статье 28 часть 3.
        «Помимо случаев, предусмотренных частью 2 настоящей статьи, протоколы об административных правонарушениях, предусмотренных частями 2 и 3 статьи 14.1, статьей 19.20 настоящего Кодекса, вправе составлять должностные лица федеральных органов исполнительной власти, их учреждений, структурных подразделений и территориальных органов, а также иных государственных органов, осуществляющих лицензирование отдельных видов деятельности и контроль за соблюдением условий лицензий, в пределах компетенции соответствующего органа.»
        Что собственно говорит опять о том же, если есть лицензия ФАПСИ, то ее надо соблюдать, а если нет, то смело посылать проверяющих куда подальше.

        В связи этим следует заметить, что подобно г-ну Serpantin пытался рассуждать О.А. Беззубцев из ФАПСИ (нач. центра лицензирования и сертификации) на семинаре по безопасности в Балчуге. После просьбы четко сформулировать права ФАПСИ и наши обязанности было сказано следующее – проверять правила использования систем защиты информации ФАПСИ имеет право только у государственных организаций или организаций-лицензиатов ФАПСИ.
        Собственно на этом можно поставить точку. Но остается еще один вопрос, а что делать банкам лицензиатам ФАПСИ – четко читать пункты лицензии.
        Лицензия выдана на эксплуатацию шифровальных средств, строго в рамках этой лицензии ФАПСИ и имеет право осуществлять проверку, т.е. проверку правильности эксплуатации шифровальных средств – они должны быть сертифицированы, легально куплены и т.д. Если же Вы используете иные системы защиты информации, то сначала надо доказать, что это шифровальные средства, а потом уже проверять правильность их эксплуатации. ФАПСИ в 2000-2001 году проиграло несколько дел, в которых пыталось доказать, что кто-то производит или эксплуатирует шифровальные средства. И ни одного не выиграло.
        Аналогия простая – если к Вам приходит санэпидемстанция, то проверку огнетушителей она не осуществляет.

        P.S. Читайте наши законы и делайте правильные выводы. Не запугивайте себя тем, чего нет и не было.


        Алексей.

        P.P.S.
        Ну не могу удержаться. Serpantin прав с небольшой коррекцией
        Таким образом, ПОЛУЧЕНИЕ лицензии на осуществление деятельности по защите информации либо использование СЕРТИФИЦИРОВАННЫХ систем защиты информации может привести к негативным последствиям для Банка вплоть до конфискации программных средств защиты информации, что приведет к невозможности оказания услуги «Банк-Клиент», убыткам и потере имиджа БАНКА в глазах его клиентов.

        Комментарий


        • #5
          Alexei Volchkov

          Спасибо за ответ. Вобщем-то мой постинг был не вопросом "как себя вести и что делать дальше?" (лично мне тут все понятно), это скорее реплика в зал на тему слишком размытых формулировок в законе, дающих потенциальную возможность для злоупотреблений. Смысл в том, что даже если кто-то и попадет полностью под все признаки нарушения, то при "конфискации средства защиты информации" могут не разбираться особо, что тут конкретно шифрует, а просто изымут основной сервер. Потом вернут, конечно, после жалоб и аппеляций, но покойника выкапывать будет уже поздно...

          Попытка процитировать ПКЗ в части определения шифровальных средств – это наивность. В настоящее время нет юридически значимого определения этого понятия. Фактически шифровальное средство – это то, что так спозиционировано производителем.
          Алексей, а как насчет документа "Система сертификации СКЗИ POCC RU.0001.030001" от 15.11.93. Приведенное в нем определение криптосредств не явяется юридичсеки значимым?

          В любом случае, давайте попробуем угадать, при возникновении спорной ситуации кого суд пригласит для дачи заключения "шифровальное средство или нет рассматриваемая сущность"?

          В РФ НЕТ обязательной системы сертификации для систем и средств защиты информации, БД и банков данных.
          Положение "О сертификации средств защиты информации по требованиям безопасности информации" (Свидетельство N Р0СС RU. 0001. 01БИ00))
          Или зарегистрированные положения о порядке сертификации не являются обязательными?
          Earl Vlad Drakula. ///

          Комментарий


          • #6
            Serpantin

            Но при использовании системы «Банк-Клиент» непосредственно услугу по защите информации предоставляет «Запсибкомбанк» ОАО.

            Андрей, не увлекайтесь цитированием цитированием внутренних документов, а то Вас могут неправильно понять (например, что в любой системе К-Б защиту осуществляет Ваш банк ).

            Из вышеизложенного следует, что БАНК обязан получить лицензию ФАПСИ РФ на осуществление деятельности по технической защите конфиденциальной информации.
            Согласно постановлению Правительства РФ N290 от 30 апреля 2002, лицензирование деятельности по технической защите конфиденциальной информации осуществляет Гостехкомиссия РФ. ФАПСИ (в соответствии с ФЗ "О лицензировании отдельных видов деятельности") лицензирует деятельность по техническому обслуживанию, распространению и т.п. шифровальных средств и предоставление услуг по шифрованию (а также другие виды деятельности, но в данном контексте это неважно).
            Насчет того, что банк обязан получать лицензию на тех. защиту конф. информации - спорно. Я могу заявить, что не занимаюсь такой деятельностью, а лишь шифрую информацию, и на это (тех. обслуживание СКЗИ, их распространение, предоставление услуг по шифрованию) у меня уже есть соотв. лицензии ФАПСИ. Равно как и получивший лицензию ГТК может заявить, что не занимается шифрованием, а лишь "осуществляет техническую защиту конф. информации в соответствии с лицензией". Доказать обратное - нетривиально. Хотя, ситуация складывается паршивая: практически, могут попытаться заставить получать 2 разные лицензии в разных ведомствах, фактически на одну и ту же деятельность. И многие на это пойдут. Ибо если в банке дело поставлено нормально, процесс лицензирования не отнимает много времени и денег, сработает принцип "спокойствие дороже".
            Earl Vlad Drakula. ///

            Комментарий


            • #7
              hugevlad
              Алексей, а как насчет документа "Система сертификации СКЗИ POCC RU.0001.030001" от 15.11.93. Приведенное в нем определение криптосредств не явяется юридичсеки значимым?

              Положение "О сертификации средств защиты информации по требованиям безопасности информации" (Свидетельство N Р0СС RU. 0001. 01БИ00))
              Или зарегистрированные положения о порядке сертификации не являются обязательными?



              С уважением
              Алексей.

              Собственно говоря это один и тот же вопрос, хотя системы сертификации формально разные.
              Итак в РФ существуют два типа систем сертификации - добровольные и обязательные. И те и другие решистрируются в Государственном комитете по стандартизации и метрологии (ГКСМ)). Есть утвержденные правила регистрации таковых систем сертификации и соответствующих положений к ним. Маленькая ремарка мы говорим только о конфиденциалке, с гостайной немного не так. Так вот, и ГТК и ФАПСИ зарегистрировали в ГКСМ ведомственные добровольные системы сертификации. Например для ФАПСИ одним из камнем претконовений на пути зарегистрировать обязательную систему сертификации было то, что требования к серифицируемой продукции должны быть публичны (чего ФАПСИ понятное дело не допускает ; )? были и другие проблемы. В связи с этим ФАПСИ не может обязать никого (кроме госорганизаций и органов власти, что сделано через указ президента) обязать сертифицровать свои продукты и использовать сертифицированные средства. Согласно статусу документа "Система сертификации СКЗИ ..." (регистрация в ГКСМ статуса не меняет) это есть ведомственная инструкция, которая никоим образом не может использоваться для разбирательства в суде.

              Теперь далее. Позиция ГТК достаточно ясна и суть ее в том, что лицензию должен получать только тот, кто разрабатывает, поставляет и обслуживает системы защиты информации, а также занимается технической защитой информацией в интересах третьих лиц. Банки и организации, использующие системы защиты информации для своих нужд не должны быть лицензиатами ГТК (ГТК не притягивает за уши разделение БИС на бакновскую и клиентскую часть).

              Еще важный вопрос
              В любом случае, давайте попробуем угадать, при возникновении спорной ситуации кого суд пригласит для дачи заключения "шифровальное средство или нет рассматриваемая сущность"?
              В том то и дело, что если с иском в суд обращается ФАПСИ, его представиетли не могут быть экспертами, ситуация еще более забавное (продемонстрировано в МАП в деле ФАПСИ via ЛАН Крипто) представители лицензиатов ФАПСИ также не могут выступать экспертами в деле, поскольку находятся в зависимом от ведомства положении. То есть если возникакет вопрос о некой сущности "не шифровальное ли это средство" эксперту ассоциированному с ФАПСИ дается элементарный отвод из-за "пристрастности эксперта" - знаем проверяли.

              И еще последнее, но не менее важное полистал тут вечерком копии лицензии выданных ФАПСИ - о радость практически все имеют особым условием действия лицензии следующий пункт: "Действие лицензии распространяется только на сертифицированные ФАПСИ шифровальные средства". То есть по новому КоАП Вас могут привлечь к ответственности представители ФАПСИ только в том случае, если они найдут у Вас несертифицированные шифровальные средства (а таких я не знаю, за исключением некоего периода времени, в течении которого не продлевали сертификат на Вербу). Если же они захотят проверить несертифицированные системы защиты информации, то они смело посылаются.

              Комментарий


              • #8
                Alexei Volchkov
                Например для ФАПСИ одним из камнем претконовений на пути зарегистрировать обязательную систему сертификации было то, что требования к серифицируемой продукции должны быть публичны
                Кстати, да. Как и перечень лицензиатов, сертифицированных средств и требования к соискателю лицензии. Почему-то они хоть и без грифа секретности,
                но появляются лишь когда кто-то изъявляет желание лицензироваться... Политика ГТК в этом плане более логична.

                В связи с этим ФАПСИ не может обязать никого (кроме госорганизаций и органов власти, что сделано через указ президента) обязать сертифицровать свои продукты и использовать сертифицированные средства.
                Тут другой прикол получается. Предоставление услуг по шифрованию, тех обслуживание СКЗИ и т.д. по закону подлежат обязательному лицензированию. Лицензирует это дело ФАПСИ. Но ФАПСИ выставляет в лицензии особое условие - только сертифицированные СКЗИ и перечень должен быть согласован с ним. Были ли прецеденты опротестования в судебном порядке особых условий лицензии?

                То есть если возникакет вопрос о некой сущности "не шифровальное ли это средство" эксперту ассоциированному с ФАПСИ дается элементарный отвод из-за "пристрастности эксперта" - знаем проверяли.
                Дается кем? Ответчиком или судом? Так ведь можно и эксперта-криминалиста в уголовном процессе отвести, потому что он ассоциирован с правоохранительными органами

                Если же они захотят проверить несертифицированные системы защиты информации, то они смело посылаются.
                Алексей, это все прекрасно на декларативном уровне. Но как только наступают процессульные подробности, то как в той рекламе "но все меняется, когда приходят ОНИ" Я имею ввиду, что процесс разборки и доказательства, что невиновны, со всякими сопутствующими ограничениями (и все в рамках закона!) может запросто похоронить контору.
                Earl Vlad Drakula. ///

                Комментарий


                • #9
                  hugevlad
                  Кстати, да. Как и перечень лицензиатов, сертифицированных средств и требования к соискателю лицензии. Почему-то они хоть и без грифа секретности, но появляются лишь когда кто-то изъявляет желание лицензироваться... Политика ГТК в этом плане более логична.
                  Ситуация следуящая. Перечень требований к лицензиату это неазконный документ. Есть документ "Положение о лицензировании ..." этот документ открыт по закону и потому доступен. В нем есть забавный пункт о том, что лицензиат должен соблюдать нормативные документы ФАПСИ (кстати в новой редакции положения, которое еще не утверждено есть оговорка "зарегистрированных в минюсте"). Фактически лицензиату и передаются эти самые документы, которые ФАПСИ по действующему положению не обязано публиковать, поскольку они ведомственные и в минюсте не зарегистрированы.
                  На лицензирование идут по двум причинам - первая желание работать с госорганами и продавать им свои продукты (обычно страшно кривые), этот бизнес понятное дело специфичен и мне, да я думаю и Вам не интересен.

                  Вторая - "суровая необходимость" для госорганизаций и "слабость характера" для организаций коммерческих, например в Молскве и области подавляющее число банков не имеют лицензии ФАПСИ, и не собираются ее получать. Есть правда и третий вариант, когда руководство организации не понимает ситуации с законами и получает лицензию "чтобы отстали". В первом случае механизм лицензирования используется для "отделения своих от чужих", во втором для "снятия денег с клиента".
                  Ни первые ни вторые не заинтересованы в возбуждении "волны" против незаконности действий, первые - довольны, вторым - по барабану.

                  Предоставление услуг по шифрованию, тех обслуживание СКЗИ и т.д. по закону подлежат обязательному лицензированию. Лицензирует это дело ФАПСИ.
                  Во первых что такое "Предоставление услуг по шифрованию" - это услуга, заключающаяся в том, что одно лицо предоставляет другому услугу типа "ты мне информацию предоставь, а я ее для тебя зашифрую", могу Вас смело заверить что по множеству причин (в частности из-за СОРМ) никто таких услуг не оказывает. Если я пардон зашифровал, по сети прокинул, а Вы расшифровали, то никакой услуги нет, поэтому на этот вид деятельности можно смело забить. Этим видом деятельности занимаются организации, предоставляющие защищенные каналы связи для нужд госорганов и к нам это не относится.
                  Далее не путайте, ни в одном законе про СКЗИ не сказано, сказано лишь про шифровальные средства - это любимый ход ФАПСИ начать говорить про шифровальные средства, а потом плавно перейти к СКЗИ. Соответственно лицензируется "разработка и производство", "техническое обслуживание", "распространение".
                  Ни под один вид деятельности банк не подпадает, кроме того бремя доказывания того что в банке не шифровальные средства лежит не на банке, а на производителе. Поэтому банку в принципе лицензия ФАПСИ не нужна.

                  Так ведь можно и эксперта-криминалиста в уголовном процессе отвести, потому что он ассоциирован с правоохранительными органами
                  Нет здесь аналогия не уместна. Дело в том, что например у холодного оружия есть т.н. квалифицирующие признаки и есть однозначная процедура отнесения (или не отнесения) данного конкретного изделия к холодному оружию. Аналогично существуют методики дактилоскопической, баллистической и трассологической экспертизы. Суть в том, что эксперт строго следуя формальным процедурам дает заключение, при этом данные формальные процедуры могут быть воспроизведены другими экспертами. Аналогично есть методики оценки ущерба транспортным средствам и т.д. Проблема в том, что ФАПСИ не может определить, что чкрывается за термином "шифровальные средства". В суде от них требуется сформулировать те критерии по которым они относят "некую сущность" к шифровальным средствам, голого утвердждения "это так, потому что мы так считаем" слава богу нашему суду не достаточно. Именно поэтому экспертиза ФАПСИ это "пшик".

                  Алексей, это все прекрасно на декларативном уровне. Но как только наступают процессульные подробности, то как в той рекламе "но все меняется, когда приходят ОНИ" Я имею ввиду, что процесс разборки и доказательства, что невиновны, со всякими сопутствующими ограничениями (и все в рамках закона!) может запросто похоронить контору.
                  Самая острая ситуация была в 1994 году после памятного указа Президента, но и тогда ни одного судебного процесса ФАПСИ не выиграло !!! (а ведь были).

                  Алексей.

                  Комментарий


                  • #10
                    Alexei Volchkov
                    Во первых что такое "Предоставление услуг по шифрованию" - это услуга, заключающаяся в том, что одно лицо предоставляет другому услугу типа "ты мне информацию предоставь, а я ее для тебя зашифрую", могу Вас смело заверить что по множеству причин (в частности из-за СОРМ) никто таких услуг не оказывает.
                    Хм. Открываем лицензию:
                    Федеральное агентство правительственной связи и информации при Президенте Российской Федерации предоставляет
                    (наименование юридического лица)
                    (местонахождение юридического лица)
                    право осуществлять предоставление услуг в области шифрования информации, не содержащей сведений составляющих государственную тайну, в его системе электронного документооборота.
                    Трактуется этого очень логична для того же интернет-банка: канал связи клиент организует сам (подключается к провайдеру), но защищенный канал связи поверх него организует банк. А если платеж внутрибанковский, то на логическом уровне это выглядит как шифрование информации (платежа) от одного клиента другому. ТО, что он перешифровывается в середине - уже детали

                    Вторая - "суровая необходимость" для госорганизаций и "слабость характера" для организаций коммерческих, например в Молскве и области подавляющее число банков не имеют лицензии ФАПСИ, и не собираются ее получать. Есть правда и третий вариант, когда руководство организации не понимает ситуации с законами и получает лицензию "чтобы отстали".
                    Тогда еще 4 вариант: банк сознательно хочет получить лицензию, потому как при ее выдаче проверяется насколько правильно в банке все организовано вплане безопасной эксплуатации скзи. Может, кто-то и "покупает", как считают некоторые, свечку не держал, утверждать не буду.

                    Нет здесь аналогия не уместна. Дело в том, что например у холодного оружия есть т.н. квалифицирующие признаки и есть однозначная процедура отнесения (или не отнесения) данного конкретного изделия к холодному оружию.
                    Ну, раз уж и Вы продолжили эту аналогию
                    Признаки холодного оружия (длина клинка от 90 мм, твердость материала по Роквеллу и т.д.) где изложены? В законе? Или в каком-то другом документе? Собственно, не вижу большой разницы между подачей ФАПСИ в ведомственном документе определения шифровальных средств и аналогичного способа определения холодного оружия.

                    А вообще, мне кажется, что народ нападает на ФАПСИ с придирками к определениям и т.п. не потому, что они такие плохие, а потому, что государство просто не тем способом защищает потребителей в данной ситуации. Да, потребитель не может сам оценить опасность применения плохой криптухи, его надо защитить. но обязательное лицензирование/сертификация - не выход. Вот если это все протащить через механизм страхования рисков, то разработчики и предлагающие услугу банки сами ломануться обвешиваться бумагами от "зависимых и независимых экспертов", ибо им надо будет убедить страховую компанию застраховать этот риск. А клиент фиг пойдет в банк, который при прочих равных условиях не предоставляет страховых гарантий.
                    Причем, у ФАПСИ неплохо получится быть экспертом в этой ситуации, ибо страховая ему больше доверять будет Хотя, независимый эксперт может нести материальную ответственность за качество сертифицированного им продукта, с госконторы денег не взять...
                    Earl Vlad Drakula. ///

                    Комментарий


                    • #11
                      hugevlad
                      Трактуется этого очень логична для того же интернет-банка: канал связи клиент организует сам (подключается к провайдеру), но защищенный канал связи поверх него организует банк. А если платеж внутрибанковский, то на логическом уровне это выглядит как шифрование информации (платежа) от одного клиента другому. ТО, что он перешифровывается в середине - уже детали
                      Извините, но есть строгое понятие "оказание услуги". В частности оно подразумевает заключение договора услуги. То есть Вы хотите сказать, что Вы в договре пишите, что оказываете услуги по шифрованию (однако интересно). ФАПСИ может трактовать Ваши действия как угодно, важно как Вы сами оформили документы. Например услуга интернет банкинга - это услуга управления счетом через интернет. Хотелось бы видить, как с помощью интеренет- банкинга или клиент-банка клиент (простите за тавтологию) сумеет обменяться с другим клиентом шифрованным посланием. По моему это сильно затруднительно. То что Вы имеете лицензию на оказание услуг по шифрованию отражает исключительно Вашу позицию, я еще раз подчеркну подавляющее количество банков вообще никаких лицензий не имеет.

                      Тогда еще 4 вариант: банк сознательно хочет получить лицензию, потому как при ее выдаче проверяется насколько правильно в банке все организовано вплане безопасной эксплуатации скзи. Может, кто-то и "покупает", как считают некоторые, свечку не держал, утверждать не буду.

                      Это вряд ли. Поверьте мне технология защиты информации в банке, да и вообще в любой коммерческой структуре радикально отличается от технологии, которую знают в ФАПСИ - технология защиты гостайны. Отсюда вся кривизна Вербы с секретными ключами, безумные инструкции и т.д. Максимум что могут сделать люди из ФАПСИ это попытаться внедрить свое понимание защиты информации в Вашем банке, после этого мало что будет работать.

                      Ну, раз уж и Вы продолжили эту аналогию
                      Признаки холодного оружия (длина клинка от 90 мм, твердость материала по Роквеллу и т.д.) где изложены? В законе? Или в каком-то другом документе? Собственно, не вижу большой разницы между подачей ФАПСИ в ведомственном документе определения шифровальных средств и аналогичного способа определения холодного оружия.

                      Ну во первых не надо служить в МВД, чтобы провести экспертизу поскольку и длину и твердость и насыщение углеродом можно измерить в любой нормальной лаборатории, при этом ЕСТЬ ОДНОЗНАЧНЫЙ КРИТЕРИИ по которым принимаются решения. А исходя из определения ФАПСИ MS Word это шифровальное средство.
                      Мы с Вами договорились о использовании какого-то шрифта. Я написал документ, помеянл шрифт на другой (например windings) никто прочесть не может - зашифровано, Вы получили подставлили наш шрифт и читаете - расшифровали. Ну как убедительно или нет. Проблема в том, что если проследить логику то понятие шифровального средства определяется через алгоритм шифрования, шифрование через криптографическое преобразование и ничего нового не получается, еще более забавная ситуация с ГОСТ 28147-89.

                      Определения терминов в примечаниях к стандарту ГОСТ28147-89 приводят к порочному кругу :
                      Шифрование определяется через Шифр,
                      Шифр - через Ключ,
                      Ключ - через Криптографическое преобразование,
                      Криптографическое преобразование - снова через Шифрование.

                      Итак как же Вы проведете экспертизу по отнесению чего либо к какому-то классу в отсутсвтие критериев отнесения этого чего либо к данному классу.


                      А вообще, мне кажется, что народ нападает на ФАПСИ с придирками к определениям и т.п. не потому, что они такие плохие, а потому, что государство просто не тем способом защищает потребителей в данной ситуации. Да, потребитель не может сам оценить опасность применения плохой криптухи, его надо защитить. но обязательное лицензирование/сертификация - не выход. Вот если это все протащить через механизм страхования рисков, то разработчики и предлагающие услугу банки сами ломануться обвешиваться бумагами от "зависимых и независимых экспертов", ибо им надо будет убедить страховую компанию застраховать этот риск. А клиент фиг пойдет в банк, который при прочих равных условиях не предоставляет страховых гарантий.

                      Обеими руками за (и даже ногами).

                      Причем, у ФАПСИ неплохо получится быть экспертом в этой ситуации, ибо страховая ему больше доверять будет Хотя, независимый эксперт может нести материальную ответственность за качество сертифицированного им продукта, с госконторы денег не взять...

                      Здесь тоже верная позиция, при этом страховая контора может сама выьрать эксперта, а ФАПСИ просто один из них.

                      Почему ФАПСИ против этого - ответ простой неясно где и как денег получать.

                      Алексей.

                      P.S.
                      Может, кто-то и "покупает", как считают некоторые, свечку не держал, утверждать не буду.

                      А я вот что называется держал, поэтому со всей ответственностью заявляю - деньги в ФАПСИ берут.

                      Комментарий


                      • #12
                        Alexei Volchkov
                        Поэтому банку в принципе лицензия ФАПСИ не нужна

                        Ув. Алексей, банк использует шифровальные средства в общем
                        - для защиты собственной информации,
                        - для защиты конфиденциальной информации клиентов.

                        В первом случае лицензирование не нужно ни технически, ни юридически.

                        Во втором случае это "деятельность по технической защите конфиденциальной информации" и она по процитированным выше документам "подлежит лицензированию". Это несомненно, хотя в силу косноязычия законодательных актов трудно доказуемо. Обратное же недоказуемо.

                        Я думаю, нужно разделить вопрос кретинизма лицензирующих органов и вопрос защиты клиентов банков. Клиенты должны быть защищены. Контора, оказывающая им услуги, должна иметь лицензию. Средства, которые она использует, должны быть независимо проверены (сертифицированы).

                        Здесь было много обсуждений на тему необходимости сертификации. Доводы ЗА приводить смысла нет, и так ясно, а основной довод ПРОТИВ - "там сидят дураки и вымогатели". Там же неоднократно предлагалось лекарство от этой застарелой болезни - выработать систему сертификации, при которой это делают квалифицированные специалисты и делают исходя из интересов конечного пользователя. В частности я поднял идею страхования рисков - по-моему это лучшее лекарство (точнее, наименее вредное).

                        Возвращаясь же к теме - если "придут, обнаружат", то будут правы. Юридицки.
                        М.Голованов

                        Комментарий


                        • #13
                          mgolovanov

                          Ув. Алексей, банк использует шифровальные средства в общем
                          - для защиты собственной информации,
                          - для защиты конфиденциальной информации клиентов.


                          Давайте начнем сначала. Что же использует банк. Если Вы даже используете шифровальные средства, то простите защита конфиденциальной информации третьих лиц это не есть лицензируемый вид деятельности. Открываем ФЗ 128 и читаем:
                          - разработка и и производство (для банка очевидно этого нет)
                          - распространение (также нет, если Вы подключает клиентов к банковской информационной системе, а не продаете им комплекты шифровальных средств)
                          - техническое обслуживание (тоже нет, т.к. стандартные системы защиты "необслуживаемы" по документации).
                          - оказание услуг по шифрованию (Банк не оказывает услуг по шифрованию, он защищает данные в своей информационной системе).
                          Вот если Вы вдруг решите заняться аутсорсингом и передавать через Вашу информационную систему произвольные сообщения от клиента к клиенту, то тогда теоретически возникает услуга шифрования информации.

                          Опять же теоретически деятельность по технической защите конфиденциальной информации" подлежит лицензированию, но не со стороны ФАПСИ, а со стороны ГОСТЕХКОМИССИИ, позиция последней достаточно ясна, (см. выше).

                          Возвращаясь же к теме - если "придут, обнаружат", то будут правы. Юридицки.
                          Абсолютно неверно. Что значит придут и обнаружат. Если у Вас есть лицензия, то "придти и проверить" могут только в рамках своей компетенции, то есть в рамках того на что выдана лицензия. Простой пример - патрульные милиционеры не проверяют соблюдение Вами правил дорожного движения - полномочий нет. Санинспекция, даже обнаружив у Вас отсутствие огнетушителей сделать ничего не сможет. Если же у Вас нет лицензии, то прийти и проверить ни ФАПСИ и ГОСТЕХКОМИССИЯ не имеют права.

                          Алексей.

                          Комментарий


                          • #14
                            Alexei Volchkov
                            он защищает данные в своей информационной системе

                            Вот то-то и оно. Если бы пользователями, скажем, "клиента банка" были сотрудники банка, то то это была бы его информационная система. Но если пользователем "клиента банка" вступает самостоятельное физическое или юридическое лицо, то "клиент банка" - это компннент его (самостоятельного лица) информационной системы, которая взаимодействует с информационной системой банка. Следовательно, банк оказывает услуги шифрования трафика, ВНЕШНЕГО по отношению к его ИС, и подпадает под требования лицензирования.

                            Предвидя возражение, что "клиент банка" предоставлен банком: это побоку. Здесь существенны правоотношения в процессе деятельности, а не источники тех или иных средств.
                            М.Голованов

                            Комментарий


                            • #15
                              Alexei Volchkov
                              - распространение (также нет, если Вы подключает клиентов к банковской информационной системе, а не продаете им комплекты шифровальных средств)
                              Алексей, под распространением в том числе понимается и передача. Так что если банк передает клиенту софт, осуществляющий функции шифрования, то он распространяет шифровальные средства.
                              Насчет "необслуживаемых" - тоже спорно. Инсталлировать надо? Настраивать надо?
                              Earl Vlad Drakula. ///

                              Комментарий


                              • #16
                                mgolovanov
                                Но если пользователем "клиента банка" вступает самостоятельное физическое или юридическое лицо, то "клиент банка" - это компннент его (самостоятельного лица) информационной системы, которая взаимодействует с информационной системой банка. Следовательно, банк оказывает услуги шифрования трафика, ВНЕШНЕГО по отношению к его ИС, и подпадает под требования лицензирования.
                                Абсолютно неверное рассуждение. Пользователь интернета, подключен к опредленному провайдеру. В браузере встроена функция шифрования но отсюда не следует, что провайдер оказывает услуги шифрования. Другой пример, Вы подключает пользователя к своей информационной системе и рассылаете ему статьи из периодики (вопрос с авторскими правами считаем улаженным) отсюда не следует, что Вам нужна лицензия как СМИ.
                                Еще раз повторюсь если есть неясности. Что есть услуга шифрования информации. Одна сторона является владельцем шифровальных средств, а другая сторона владельцем информации первая сторона предает второй открытую (шифрованную) информацию вторая передает первой шифрованную (открытую) информацию. Вот и все. Объясните где в системе клиент-банк в т.ч. в документах возникает такая ситуация. Ее нет и быть не может.

                                hugevlad
                                . Так что если банк передает клиенту софт, осуществляющий функции шифрования, то он распространяет шифровальные средства
                                Вообще говоря софт, содержащий функции шифрования и шифровальное средство это не одно и тоже, следуя Вашей логики операционная система MS Windows это самое что ни на есть шифровальное средство, а Microsoft должен иметь лицензию от ФАПСИ. Поскольку этого нет и не будет давайте сами себя не запугивать.

                                Алексей.

                                Комментарий


                                • #17
                                  Alexei Volchkov
                                  Вообще говоря софт, содержащий функции шифрования и шифровальное средство это не одно и тоже, следуя Вашей логики операционная система MS Windows это самое что ни на есть шифровальное средство, а Microsoft должен иметь лицензию от ФАПСИ. Поскольку этого нет и не будет давайте сами себя не запугивать.

                                  Алексей, как Вы сами говорили, нет формального определения "шифровальное средство", посему утверждать, что это не одно и то же также нельзя. Впрочем, давайте ради корректности заменим в той фразе софт, осуществляющий функции шифрования на шифровальные средства , это я и имел ввиду. Если же исходить от постулата, что банк не использует "шифровальные средства", то все разговоры о лицензиях просто снимаются...
                                  Earl Vlad Drakula. ///

                                  Комментарий


                                  • #18
                                    hugevlad
                                    Если же исходить от постулата, что банк не использует "шифровальные средства", то все разговоры о лицензиях просто снимаются...
                                    Да, конечно. Я с Вами полностью согласен. Еще раз подчеркну, что в конечном итоге все опредлеяется позицией банка по отношению к лицензированию.

                                    Алексей.

                                    Комментарий


                                    • #19
                                      Alexei Volchkov
                                      все опредлеяется позицией банка по отношению к лицензированию
                                      К сожалению, не только. Вот никак не могу дождаться ответа в юридическом форуме по пикантной ситуации. Фирме, которая имеет необходимые лицензии на ввоз оборудования, ФАПСИ не разрешает продавать нам эту железяку, пока мы не получим лицензию "на использование HSM". Вдвойне странно, ибо лицензия на "техническое обслуживание" у нас есть... Доказывать правоту через суд? Ну, положим, докажем. Но получение лицензии займет гораздо меньше времени и отнимет гораздо меньше денег
                                      Earl Vlad Drakula. ///

                                      Комментарий


                                      • #20
                                        hugevlad пока мы не получим лицензию "на использование HSM".

                                        Тут ситуация по моему разумению совсем поганая. При участии ФАПСИ кто-то из Питера "склеил" свою HSM и теперь ФАПСИ этот девайс всеми правдами и неправдами навязывает. Теперь Вам действительно придется получать лицензию, но при этом проверять ФАПСИ может только правильность ее использования, а осатльное это "не его компетенция".

                                        Алексей.

                                        Комментарий


                                        • #21
                                          Alexei Volchkov
                                          При участии ФАПСИ кто-то из Питера "склеил" свою HSM и теперь ФАПСИ этот девайс всеми правдами и неправдами навязывает
                                          Нет, нам никто не предлагает доморощенных разработок. Но для покупки требуют получить лицензию.
                                          Теперь Вам действительно придется получать лицензию, но при этом проверять ФАПСИ может только правильность ее использования
                                          Позвольте узнать, на основании чего? ФЗ "О лицензировании..." говорит, что надо лицензировать деятельность по тех. обслуживанию шифровальных средств. Такая лицензия есть. Это все равно что имея лицензию на торговлю пищевыми продуктами, получать отдельные лицензии на продажу кефира "данон" и йогурта "фрутис" потому что они импортные...
                                          Хотя... Механизм лицензирования известен и отлажен, цена вопроса и сроки известны. Проще ни с кем не ссориться...
                                          Earl Vlad Drakula. ///

                                          Комментарий


                                          • #22
                                            hugevlad
                                            Отвечаю. Для тех кто "связался" с ФАПСИ необходимо четко читать документы, которые они выдают. Наверняка у Вас есть лицензия "На обслуживание ...", особым условием действия котрой является "обслуживание сертифицированных ФАПСИ шифровальных средств", а простите по логике ФАПСИ HSM это средство не сертифицированное.
                                            Здесь к сожалению протянулась цепочка. Фирма ввозит HSM таможня запрос в ФАПСИ, ФАПСИ ответ - "это шфировальное средство", фирма получает лицензию на рапространение и разрешение на ввоз, а Вы как клиент однозхначно получаете "шифровальное средство", далее см. выше.
                                            Такая позиция сложилась в частности из-за мягкотелости импортеров и потребителей, типа "проплатить за лицензию проще, чем сопротивляться". Вот результаты такой позиции.

                                            Алексей.

                                            Комментарий


                                            • #23
                                              Alexei Volchkov
                                              Что есть услуга шифрования информации. Одна сторона является владельцем шифровальных средств, а другая сторона владельцем информации первая сторона предает второй открытую (шифрованную) информацию вторая передает первой шифрованную (открытую) информацию. Вот и все. Объясните где в системе клиент-банк в т.ч. в документах возникает такая ситуация.

                                              Вы привели неудачный пример, толкующий вопрос в Вашу пользу. Это как если бы мне дали текст на английском, я вернул на русском - я оказал услугу перевода.

                                              Услуга КЗИ (шифрования) оказывается не так, и Вы это знаете лучше меня. В этом случае должна иметь место СКЗИ, которую банк предлагает для использования клиенту для шифрования приватной информации. Для этого случая повторим вышеприведенное:

                                              лицам, не имеющим лицензии ФАПСИ, могут предоставляться услуги по криптографической защите их конфиденциальной информации с использованием СКЗИ лицами, имеющими лицензии ФАПСИ, на основании соответствующего договора .

                                              Где здесь расхождение? именно это и делает банк, предлагая клиенту защищенный канал документооборота.
                                              М.Голованов

                                              Комментарий

                                              Пользователи, просматривающие эту тему

                                              Свернуть

                                              Присутствует 0. Участников: 0, гостей: 0.

                                              Обработка...
                                              X