4 марта, четверг 19:07
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Закон об электронной подписи опубликован и вступает в силу сегодня, 08.04.2011

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Закон об электронной подписи опубликован и вступает в силу сегодня, 08.04.2011

    Закон об электронной подписи опубликован и вступает в силу сегодня.

    Коллеги, будете ли Вы что-либо менять в практике дистанционного банковского обслуживания в связи с принятием нового закона ?
    WBR, Александр Турчин

  • #2
    63-ФЗ, Статья 20, п.2:

    "Федеральный закон от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи" (Собрание законодательства Российской Федерации, 2002, N 2, ст. 127) признать утратившим силу с 1 июля 2012 года."

    Так что время ещё есть чуть-чуть.

    Комментарий


    • #3
      Сообщение от ShaluNiko Посмотреть сообщение
      63-ФЗ, Статья 20, п.2:

      "Федеральный закон от 10 января 2002 года N 1-ФЗ "Об электронной цифровой подписи" (Собрание законодательства Российской Федерации, 2002, N 2, ст. 127) признать утратившим силу с 1 июля 2012 года."

      Так что время ещё есть чуть-чуть.
      То что старый закон об ЭЦП теряет силу с 01 июля 2012 года не значит, что новый закон об ЭЦП не вступил в силу.
      В КонсультантеПлюс вот что написано:

      Источник публикации
      "Парламентская газета", N 17, 08-14.04.2011,
      "Российская газета", N 75, 08.04.2011
      "Собрание законодательства РФ", 11.04.2011, N 15, ст. 2036

      Примечание к документу
      ------------------------------------------------------------------
      КонсультантПлюс: примечание.
      Начало действия документа - 08.04.2011.
      - - - - - - - - - - - - - - - - - - - - - - - - - -
      В соответствии со статьей 20 данный документ вступает в силу со дня его официального опубликования (опубликован в "Российской газете" - 08.04.2011).

      Комментарий


      • #4
        Насколько можно понять, сообщество ИБ 63-ФЗ зацепит только в части поддержки квалифицированных сертификатов, поскольку у них презумпция действительности, а в остальном вы как жили - живёте на "соглашении сторон" в нише неквалифицированной подписи (кое где наверное даже и простой) так и будете жить. Но квалифицированная подпись заживёт очень не скоро, поскольку там подзаконных актов не хватает + потребуется разработать нормативку по аккредитации и сертификации новых средств подписи, которые более на караоке (поскольку там надо показать, просмотреть, прослушать .... подписанную инфу) похоже чем на СКЗИ :-) А вот когда это случится, то разработчикам ваших ИБ придётся "принимать" сертификаты от внешних УЦ, уметь строить правильно цепочки сертификации и указывать вашу служебную информацию вне тела сертификата, что понятно, поскольку профиль крупными мазками прописан в Статье 17 63-ФЗ. Но насколько помню эти задачи в вашем сообществе решались достаточно давно кажется Владом М. из бывшей Сибирской Казны или можно поглядеть на стандартные средства , что то вроде атрибутных сертификатов, выпущенных в связке с внешним квалифицированных сертификатом.

        Комментарий


        • #5
          Если ЦБ РФ в ближайшие пол-года жестко не потребует от коммерческих банков использования в системах ДБО ТОЛЬКО усиленной квалифицированной подписи, тогда все разработчики ДБО и банки постепенно мигрируют к штатным для импортных ОС импортным несертифицированным СКЗИ.

          Повсеместное использование SSL в системах ДБО физиков для шифрования трафика от браузера клиента до банковского сервера - яркий пример такой миграции.

          Хотя ничего плохого я лично в этом не вижу.

          И AES-256, и родной ГОСТ 28147-89 - соизмеримо стойкие криптоалгоритмы.
          С уважением, Репан Димитрий
          Компания "БИФИТ" - www.bifit.com

          Комментарий


          • #6
            1. Про квалифицированную вряд ли можно требовать, она может появиться сама. А вот по новому ФЗ о подписи - усиленная (не квалифицированная) подпись НЕ требует сертифицированности техсредств. Однако не забывайте, вам придётся "уметь" обслуживать владельцев квалифицированной подписи это по ФЗ и тут ЦБ РФ вряд ли что сможет поделать, а вот там как раз сертифицированные средства. Но что то мне подсказывает что квалифицированная подпись в новом качестве появится не скоро.
            2. В буржуйском TLS самое плохое, не в RSA, а в том что издатель не управляем и находится в забугорье, это грозить "лёгким движением руки" прекратить вообще всё дистанционное обслуживание, кстати, госуслуги.ру и налог.ру тоже сидят под Тавтом - это просто позорище :-( Пробовал конторе скормить идею создать в РФ аттестованный по вэб-трасту RSA УЦ как то понимания не сильно нашёл, там по прикидкам на круг с бумажным аудитом получается меньше сотки евро.

            Комментарий


            • #7
              Пробовал конторе скормить идею создать в РФ аттестованный по вэб-трасту RSA УЦ как то понимания не сильно нашёл, там по прикидкам на круг с бумажным аудитом получается меньше сотки евро.
              Сергей, можете подробности идеи в личку? Деньги - не такой уж и сложный ресурс
              С уважением, Репан Димитрий
              Компания "БИФИТ" - www.bifit.com

              Комментарий


              • #8
                Всем доброе утро.
                1. информация улетела.
                2. Возвращаясь к теме поднятой этой веткой, а именно, что будет нового: если коротко резюмировать, то надо готовится к тому, что ПО да и сами ИС ДБО должны уметь в качестве идентифицирующих элементов + подпись принимать и обслуживать внешнеизданные (не локальным УЦ банка) ключи и сертификаты, вплоть до квалифицированных, а это означает, что ДБО не управляет наполнением информационной части сертификата и связку с номером счёта (это я грубо говорю) следует осуществлять иными механизмами нежели делается сейчас. Т.е. видимо появится новый (обновлённый) этап в регламенте - "регистрация средства идентификации" (или что то в этом духе) смысл которого: пользователь сообщает ДБО (и подтверждает документально права управления), что он будет дистанционно идентифицироваться для управления счётом (счетами) на вот таких ключах с вот таким сертификатом и вот такой политикой безопасности и вот таким набором ограничений. и.т.д.

                Комментарий


                • #9
                  ... а это означает, что ДБО не управляет наполнением информационной части сертификата и связку с номером счёта (это я грубо говорю) следует осуществлять иными механизмами нежели делается сейчас.
                  Сергей, а Вы можете уточнить в КАКИХ конкретно системах КАКИХ разработчиков ТАК делается - то есть в сертификате клиента указывается прикладная информация (о счетах клиента, правах клиента и пр.)?

                  В iBank2 так НИКОГДА не делалось, не делается, и не будет делаться ибо указание в сертификате информации об области применения сертификата, о счетах и правах клиента для конкретной системы ДБО в конкретном банке - идиотизм, тупиковый подход.

                  Лет восемь..десять назад один из прогрессивно-передовых российских банков, самостоятельно писавший свой Интернет-Банкинг и решивший указывать в сертификате всю прикладную информацию, через год уже локти кусал от своей недальновидности, ибо переиздавать сертификаты приходилось не раз в год, как было запланировано, а чуть ли не каждый месяц, ибо указанные в сертификате прикладные данные менялись несравнимо чаще, чем пара ключей ЭЦП клиента

                  И только потом пришло понимание - мухи отдельно, а котлеты отдельно. В сертификатах открытых ключей ЭЦП клиентов народ стал указывать только владельца. А всё остальное было отдано на откуп прикладным система. Как самый крайний случай - использование атрибутных сертификатов.
                  С уважением, Репан Димитрий
                  Компания "БИФИТ" - www.bifit.com

                  Комментарий


                  • #10
                    Я не совсем это имел ввиду (на тему "мух" - совершенно с вами согласен и всячески это везде пытаюсь объяснить) имелось ввиду - возможность систем ДБО использовать сертификаты выпущенные внешне по отношению к ИС банка, и именно такая ситуация возникнет при использовании квалифицированных сертификатов в рамках нового ФЗ о подписи. А из этого следует, как минимум уметь правильно строить цепочки сертификации. К слову, в мире есть методики NIST на корректное построение цепочки сертификации для абстрактных PKI систем, там порядка 230-240 тестов, я не думаю (точнее я уверен что не пройдут), что системы ДБО смогут пройти все эти тесты когда осуществляют проверку подписи и выясняют факт действительности сертификата автора подписи.

                    Комментарий


                    • #11
                      Коллеги, прошу вас прочитать статью и прокомментировать ее "От ЭЦП к электронной подписи"

                      Комментарий


                      • #12
                        А каковы причины банкам работать именно по 63-ФЗ? Почему к примеру не вернуться к старому доброму АСП по 160 Статье ГК?
                        Просто на сегодня очень много непонятно, РП 1214-р провалено по выпуску НПА во исполнение 63-ФЗ, все выжидают ... на носу выборы в Думу и следом президента, по моим предчувствиям чтоб не обвалить рынок всего ЭДО с подписями придётся двигать сроки в 63-ФЗ, к осознанию этого придут как всегда за день до срока :-)
                        А пока все выжидают .... вот читаю слова из "боевого" договра системы виртуальных денег:

                        Аналог собственноручной подписи (далее – «АСП&#187– реквизит ЭД, предназначенный для защиты данного ЭД от подделки, полученный в результате криптографического преобразования информации с помощью программного обеспечения, с использованием Закрытого ключа АСП и позволяющий идентифицировать Владельца Средств АСП, а также установить отсутствие искажения информации в ЭД.

                        и далее

                        Используются сертификаты, соответствующие рекомендации X.509v3, тип открытого ключа - RSA, длина ключа – 2048 бит, алгоритм хэширования – sha1, срок действия – 1 год.

                        Я даже не буду тут говорить, что на SHA-1 есть известные способы атаки и всё это крайне небезопасно, но видимо время дороже безопасности .... и ситуация будет далее всё более усугубляться с кренов от ЭЦП, ЭП в АСН в рамках 160 статьи ГК , что вполне законно. Другими словами, если с реализацией нормативки по электронной подписи так и будут тянуть, бизнес уйдёт в другое русло, что может быть и правильно по большому счёту, уж больно регулирующих звеньев много рисуется :-)
                        И ещё в догонку про терминологию, если вы планируете использовать отечественную криптографию, то прежде чем менять терминологию ЭЦП на ЭП и про названия ключей, то не плохо бы глянуть в текст ГОСТ Р 34.10-2001 как там называется подпись, в противном случае подогнав под 63-ФЗ вы оторвётесь от терминологии стандарта криптоподписи.
                        И ещё в догонку, я в своё время попытался собрать в одно место все замеченные мной технические вопросы, которые вытекали из реализации 63-ФЗ вот тут: http://www.gosbook.ru/news/20057 Читающих просьба учесть, что это писалось сразу после принятия ФЗ и эмоции конечно присутствуют :-(
                        Последний раз редактировалось Sergey_Murugov; 20.10.2011, 12:28.

                        Комментарий


                        • #13
                          Сообщение от dupon Посмотреть сообщение
                          Коллеги, прошу вас прочитать статью и прокомментировать ее "От ЭЦП к электронной поВдписи"
                          Статья великолепна!
                          С моим видением практически совпадает, плюс отметил для себя несколько моментов, на которые не обратил внимание.
                          Года полтора назад я начинал прорабатывать немного другой подход: разделить всю систему на 2: электронный документооборот и ДБО. Клиент подключается банком к системе электронного документооборота, которая действует в рамках Закона об ЭЦП (теперь уже Закона об ЭП). ДБО действует в рамках документов ЦБ, а отдельным договором или актом между банком и клиентом устанавливается:
                          1. Обмен платёжными электронными документами ведётся через систему ЭДО.
                          2. ЭЦП (ЭП) физического лица - представителя организации признаётся АСП организации (в рамках терминов 17-П: идентификатором организации и необходимым и достаточным реквизитом электронного платёжного документа).
                          Но до конца проработать такой подход доя сих пор не успел - текучка

                          Комментарий

                          Обработка...
                          X