23 октября, вторник 22:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Криптобиблиотека

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Криптобиблиотека

    В свое время при разработке собственной системы "интернет-банка" была использована криптобиблиотека стороннего разработчика, прошедшая сертификацию ФАПСИ. Однако срок действия сертификата закончился, а разработчик библиотеки по каким то своим причинам не может продлить сертификат на свой продукт.
    Если я не ошибаюсь, то теперь система "интернет-банка" с такой криптобиблиотекой не имеет права на использование.
    Какой выход из этой ситуации можете предложить? Разарабатывать свою криптобиблиотеку и сертифицировать в ФАПСИ? Или может быть делать ставку сразу на несколько разработчиков?
    Заранее спасибо за помощь.

  • #2
    Система-то имеет право на использование.
    Но у вас же есть лицензия ФАПСИ/ФСБ, где наверняка русским по белому написано о том, что разрешается распространять и техобслуживать СЕРТИФИЦИРОВАННЫЕ средства шифрования. Получается, что вы невольно нарушаете условия лицензии. И наверняка это всплывёт при её продлении.
    Могу вам только посочувствовать, вы поставили не на ту лошадь - бывает...
    Писать что-то своё и пытаться сертифицировать - вы представляете всю эту процедуру? какие затраты сил и денег?
    Тем более что на рынке сейчас уже неплохой выбор производителей СКЗИ, у которых проблем с сертификацией нет.

    Комментарий


    • #3
      Проблема понятна. Со своей стороны можем предложить решения на базе СКЗИ Крипто-КОМ 3.1 - это криптобиблиотека Message-PRO или криптопровайдер Signal-COM CSP. При должной квалификации можно встроить в систему и саму низкоуровневую криптобиблиотеку - Крипто-КОМ 3.1. Если я правильно понимаю о какой криптобиблиотеке в вашем случае идет речь, то некоторые наши партнеры этот путь уже прошли.
      В настоящее время в ФСБ РФ завершается сертификация совместимого СКЗИ Крипто-КОМ 3.2, так, что 6-7 лет в запасе у Вас будет точно. Информацию найдете на сайте www.signal-com.ru

      Комментарий


      • #4
        Уважаемые коллеги,

        Просьба поделиться информацией о всех гос. органах и документах, регулирующих/лицензирующих регистрацию вновь внедряемой системы "интернет-банк". Есть ли к-либо требования со стороны закона к средствам идентификации и шифрования данных.
        Какие лицензии банк со своей стороны обязан получить для внедрения интернет-банка?
        Есть ли к-либо изменения в связи с реорганизацией ФАПСИ?

        Премного благодарен за любую информацию.
        Дмитрий

        Комментарий


        • #5
          purple Поищите тему что-то типа "Лицензии ФСБ". Вместо ФАПСИ - сейчас ФСБ.

          PS. Лично я не стал заморачиваться - с госучреждениями по клиент-банку не работаю.
          С уважением, Антон

          Комментарий


          • #6
            отправил signal-com
            Со своей стороны можем предложить решения на базе СКЗИ Крипто-КОМ 3.1
            Настоятельно рекомендую присмотреться к решениям Сигнал-КОМа.

            По личному опыту разработчика, непосредственно занимавшегося встраиванием СКЗИ "Крипто-КОМ 3.1" в систему электронного банкинга "iBank 2", могу подтвердить:

            Крипто-КОМ 3.1 - добротная, достаточно производительная, многоплатформенная и подробно задокументированная криптобиблиотека. Рекомендую.
            С уважением, Репан Димитрий
            Компания "БИФИТ" - www.bifit.com

            Комментарий


            • #7
              to Demin

              Спасибо, Антон
              Я правильно понял что если интрнет банк только для физиков (обычная процедура идентификации ID/password + шифрование SSL) то никаких лицензий/сертификаций не требуется?

              Комментарий


              • #8
                purple интрнет банк только для физиков Затрудняюсь ответить - у меня только юрики.
                С уважением, Антон

                Комментарий


                • #9
                  Demin
                  Тем более)
                  Т.е. вы как банк не получали никаких никаких лицензий/сертификаций?
                  Получается юридически все аспекты использования системы интернет-банк оговариваются в договоре с клиентом/условиях обслуживания?

                  Комментарий


                  • #10
                    purple Действуем согласно ГК и договора ДБО.
                    С уважением, Антон

                    Комментарий


                    • #11
                      спасибо, Антон.

                      Однако появились еще вопросы:
                      Необходимо ли в обяз. порядке применение ЭЦП - или только если среди клиентов есть гос. учреждения?
                      Каково юридическое основания исп-я протокола SSL в России в интернет банках? Если он уже встроен скажем в Internet Exprorer, кот. распространяет Microsoft, значит ли это что он был сертифицирован для России?

                      Комментарий


                      • #12
                        purple Для госучреждений - обязательно примение сертифицированных ФСБ ЭЦП и СКЗИ.
                        По SSL - требование производителей.
                        С уважением, Антон

                        Комментарий


                        • #13
                          Purple, Вы издеваетесь?!

                          1. В России сертифицировать средства криптографический защиты информации может только ФСБ РФ.

                          2. Реализация от Microsoft криптографического протокола SSL в России НЕ СЕРТИФИЦИРОВАНА.
                          С уважением, Репан Димитрий
                          Компания "БИФИТ" - www.bifit.com

                          Комментарий


                          • #14
                            Дмитрий
                            И не думаю, просто я не профессионал в этом вопросе.
                            2. Означает ли это что Microsoft и большинство интернет-банков в России, кот. используют SSL нарушают закон?

                            Комментарий


                            • #15
                              2 Димитрий:
                              2. Реализация от Microsoft криптографического протокола SSL в России НЕ СЕРТИФИЦИРОВАНА.
                              А разве сие необходимо?
                              Обратимся к Постановлению Правительства РФ от 23 сентября 2002 г. N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами":

                              3. Настоящее Положение не распространяется на деятельность по распространению:
                              а) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;


                              4. Настоящее Положение не распространяется на деятельность по техническому обслуживанию:
                              а) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;


                              4. Настоящее Положение не распространяется на предоставление услуг в области шифрования информации с использованием:
                              а) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;

                              Комментарий


                              • #16
                                to Zuz
                                Согласен, однако как быть с Приказом ФСБ РФ от 9 февраля 2005·г. N·66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", кот. применяется в случае если "обязательность защиты информации конфиденциального характера возлагается законодательством Российской Федерации на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации;"
                                Что в свете принятого в январе Федерального закона N·152-ФЗ "О персональных данных" становится обязательным для банков..
                                он как раз вроде обязывает все лицензировать..
                                Хотя в положении есть еще оговорочка:
                                Настоящее Положение не регулирует отношения, связанные с экспортом и импортом СКЗИ, и не распространяется на использование шифровальных (криптографических) средств иностранного производства."
                                интересно, это к SSL относится ??

                                Комментарий


                                • #17
                                  2 purple:
                                  интересно, это к SSL относится??
                                  ИМХО, да.

                                  Вообще, ПКЗ-2005 очень сильный документ по сравнению с ПКЗ-99. В нём впервые СКЗИ названы все шифровальные (криптографические) средства, применяемые для защиты информации конфиденциального характера (ранее сказано, что таковой считается информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну ), ранее было с оговоркой, что СКЗИ только те, которые были сертифицированы тогда ещё ФАПСИ ;-)

                                  Но, что в ПКЗ-2005 такого страшного-то (или я чего проглядел)? Максимум, что при эксплуатации необходимо поэкземплярный учет вести, требования к сертификационной чистоте к СКЗИ не предъявляется.

                                  он как раз вроде обязывает все лицензировать..
                                  Поясни о чём ты, о лицензировании деятельности по технической защите информации или про ФСБ'шные лицензии? Если второе, то поясни логику...

                                  2 All:
                                  Каково юридическое основания исп-я протокола SSL в России в интернет банках?
                                  Интересно, что скажет по этому поводу Димитрий, т.к. в его системе ДБО он используется на стадии доставки java-аплета и компания должна была проработать этот впрос с юридической точки зрения.

                                  Комментарий


                                  • #18
                                    to Zuz
                                    Да нет, скорее я проглядел
                                    Положение ПКЗ-2005, регулирует вопросы использования СКЗИ, в целях обеспечения защиты информационной системы и информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. Оно снимает требования по обязательной сертификации СКЗИ. Требования к СКЗИ сводятся к двум моментам: 1) СКЗИ должны удовлетворять требованиям технических регламентов, в соответствии с ФЗ №184-ФЗ «О техническом регулировании» от 27.12.2002; 2) СКЗИ должны соответствовать требования по безопасности информации соласно законодательству РФ, причем, разработчик СКЗИ отвечает за реализацию данных требований в конкретных образцах СКЗИ. Другими словами, законодатель не выдвигает никаких требований по сертификации СКЗИ, в том числе применяемых в органах государственной власти, при обработке информации, не являющейся гостайной.
                                    это моему тезке )

                                    Комментарий


                                    • #19
                                      Еще вопрос об ЭЦП.
                                      Есть мнение, что ее использовать обязательно для работы по системе Клиент-банк с юр. лицами с гос. участием. А где это написано, не подскажете?
                                      Пока нашел только вот это, (Закон об ЭЦП):
                                      Статья 16. Использование электронной цифровой подписи в сфере государственного управления
                                      1. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов, организаций.

                                      Комментарий

                                      Пользователи, просматривающие эту тему

                                      Свернуть

                                      Присутствует 1. Участников: 0, гостей: 1.

                                      Обработка...
                                      X