Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Сертифицированные и не сертифицированные СКЗИ
 
Теги: лицензирование, СКЗИ, сертифицированные СКЗИ, не сертифицированные СКЗИ, 1-ФЗ, ст. 160 ГК, Банк-Клиент.

Ув. коллеги, хотел бы начать серию вопросов по сертифицированным и не сертифицированным СКЗИ , их эксплуатации и т.д. (просьба песать про то что знаете а не думаете) (речь идет про использование СКЗИ в системах Банк-Клиент):
1. Подразумевает ли переход на сертифицированные СКЗИ переход на жизнь по 1-ФЗ, т.е. наличие в системе сертификатов, сертифицированных средств проверки ЭЦП  разработчика и т.д. - воопщем жизнь по 1-ФЗ.
2. Кто-нибудь вообще встречал вменяемого юриста по применению ЭЦП, 1-ФЗ, 160 статье ГК. вообще такие люди бывают? если да - где они обитают. интересует применение ЭЦП по ст. 160 ГК. (например, чем грозит использование других аналогов ЭЦП и не сертифицированных СКЗИ, если в суде я могу представить доказательство есессьна средством не сертифицированным и т.д.).
3. У кого-нить бывали юридические прицеденты с ЭЦП и использованию несертифицированных СКЗИ.

для начала это.
разговоры в нете иногда всплывают - но чащще не поделу :(( товарищи оттуда, конечно гнут планку в сторону сертифицированных СКЗИ, разработчики есессьна тоже - но реально ответов получить не получается. в законодательстве нет чёткого обязательства юзать сертифицированные СКЗИ, по 1-ФЗ жить оччень дорого, сложно да и с нашим законодательством не нужно.

Буду очень благодарен за всю информацию, включая источники и т.д. и т.п.
 
Цитата
xell пишет:
2. Кто-нибудь вообще встречал вменяемого юриста по применению ЭЦП, 1-ФЗ, 160 статье ГК. вообще такие люди бывают? если да - где они обитают. интересует применение ЭЦП по ст. 160 ГК. (например, чем грозит использование других аналогов ЭЦП и не сертифицированных СКЗИ, если в суде я могу представить доказательство есессьна средством не сертифицированным и т.д.).
hxxp://www.internet-law.ru/forum/index.php?board=12 здесь обитают вполне себе вменяемые хай-тек юристы)
коротко говоря(если не коротко, боюсь перешагнуть барьер между знаю и думаю :) ) : если есть какие-то регламенты, обязывающий использовать СКЗИ, то нужно использовать сертифицированные средства. Если нет, можете использовать что угодно, но не для защиты информации, а альтернативного хранения данных, и, естественно, без права предоставлять какие-либо услуги на этой почве.
 
использовать сертифиц СКЗИ необходимо при электронном документообороте с организ исполняющими гособоронзаказы, орг гос власти и т.д.
дело тут софсем не в хранении информации а именно  в обеспечении безопасности хранения, обработке и передаче по каналам связи информации с ограниченным доступом с использованием СКЗИ. все банки имееют (по крайне мере обязанны) 3 лицензии по:
-распространению шифровальных (криптографических средств);
-техническому обслуживанию шифровальных (криптографических средств);
-предоставлению услуг в области шифрование информации;
эти лицензии как раз и позволяют этим заниматся.

спасибо за сцылу, попробую посмотреть.
 
Я думаю нужно смотреть вот эту тему:
http://dom.bankir.ru/showthread.php?t=81023

на банкире еще несколько тем по этому поводу есть...а в общих чертах, вам если собираетесь разворачивать банк-клиент нужно получить 3 лицензии на обслуживание, распространение, предоставление услуг...+ естественно ПО Банк клиент должено быть сертифицированно
Про не сертифицированые СКЗИ могу сказать следущее в законе об ЭЦП явно написано: "Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации."...это означает, что если клиент нажалуется на то что применяется несертифицированное СКЗИ у банка возникнут проблемы вплоть до изъятия серверов...
Изменено: Snip_ - 06.08.2008 11:28:57
 
Snip_,
банкир задрал, немогу залогиниться, даи очень много воды и люди абсолютно не понимают о чем пишут, страшно читать сколько банков даже не догадываются,что до них просто руки не доходят....и в случае любого ахтунга, лицензии будут сразу приостановленны, т.е. сразу подпадут под не законную предпринимательскую деятельность...мля - хотябы молчали сидели и не позорились.

1.про 3 лицензии писал постом выше, есессьна они есть.
2.Про то что ПО Банк-клиент должно быть сертифицированно - фигня полная! и кем? ФСБ - с фигале? ФСТЭК - с фигале? .... в каких нормативных доках это есть? ну и вааще, форэкзампал, так сказать - приведите пример хоть одного ПО Банк-Клиент которое там (где это надо сертифицированно) .
3.сервера хер кто отнимет - полный бред, во-вторых - есть 160 статья Гражданского кодекса "2. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.". + есть куча писем ЦБР и АРБ(их много, например это  Письмо Ассоциации Российских Банков от 30 декабря 2002 г. N А-01/5-731). можно жить по 1-ФЗ, а можно по 160 ГК. по 1-ФЗ практически не возможно жить - это очень дорого, ооочень ооочень и сложно юридически. фсе гнут планку 1-ФЗ - и никто не хочет признавать - этой дыры в законадательстве. В.Г.М., при всем моем к нему уважении, не успел довести дело до конца и реально обязать всех жить по этому закону и с сертифицированными СКЗИ.
4.Если у тебя есть лицензии ФСБ - то там знают что у тебя в банк-клиенте используются не сертифицированные СКЗИ, так что клиенту вааще нейух жаловатьсо-про это там знают лучше него и узнали при выдаче этих лицензий.
 
гм...вы думаете, что тут люди понимают, что пишут? :)
кстати на банкире еще и форум юристов есть...по поводу актов где сказано, что нельзя использовать несертифицированные СКЗИ...таких актов нет, если у вас сильные юристы если вы не боитесь изъятия серверов с банк клиентом на пару тройку дней (их к сожалению таки отнимают, а могут и деятельность банка приостановить)...вперед качайте права...лично я считаю, что для банка такой риск недопустим...да и вряд ли суд будет долго разбираться могла ЭЦП быть подделана или нет...скорее всего вынесут решение не в вашу пользу
 
Snip_,
не хотелось бы вас обижать, но сервера с банк-клиентом забрать - ЭТО НОНСЕНС! поверьте мне такого не бывает :)) (вы видимо много читаете книжег про  *  и хацкерофф) и немножко путаете ситуации...с удовольствием расказал бы вам как устроена жизнь в банках-но долго, нет время да и низя. согласен, что законы редко в нашей стране работают - но, поверьте, Банк - это не лапаухий хацкер или фирмёжка, просто так его не закарячишь. и ЭЦП - это не просто абривиатура - тут фсё серьезно. :)))))
ну сё рано спасибо, хоть кто-то интерес проявляет - а вообще вопрос этот очень насущный и дырок много в этом месте в законадательстве, да и мошеннеги еще не очень владеют вопросом и прицедентов маловато очень (да и держат их в большой тайне) - но боюсь что скоро ситуёвина изменится. а если хоть в одном банке есть юрист который в области применения ЭЦП шарит :)) - ну это вааще тогда просто круто, завидую я тогда белой завистью ИТ и ИБ этого Банка. :)))
 
угу...скажите а что по вашему у вас будут проверять в случае если клиент с жалобой прийдет? Вообще же я немножко не понимаю чего вы хотите поднимая эту тему...узнать, что этого делать не надо? есть риски которые ваши топы готовы нести по каким то причинам, есть которые они не готовы нести...а теперь внимание если суд примет сторону хотя бы 1 клиента заявляющему, что он не согласен с переводом с его счета каких то средств на основании информации прошедшей через клиент банк, то вам прийдется менять систему...оно вам надо? Да кстати всем пофиг банк это или ООО..насчет того как она устроена сам знаю, я там работаю, как знаю и то, что нормальные банки берут сертифицированые СКЗИ
вот кстати цитата из ФЗ О ЭЦП:

подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;

Заметьте сертифицированном...возможно если в договоре вы будете обзывать ЭЦП АСП то юридически он прокатит...вопрос в том смогут ли ваши юристы составить такой договор...
Изменено: Snip_ - 06.08.2008 13:26:09
 
если клиент придет с жалобой все будет зависеть от того:какая криптография используется (разработчик, СКЗИ это или ПБЗИ), у вас свой УЦ или покупаете сертификаты, как организован электронный документооборот, как составлен договор или это соглашение и т.д. и т.п. в том то и дело что можно по другому! и намного проще! вот, вы со своей сертифицированной же криптухой и 1-ФЗ (прошу не цитировать...когда-то и каким-то боком имел отношение к его написанию-не как разработчег,но поверте знаю как он рождался)мля затрахаетесь доказывать что ваша ЭЦП верна: ибо,1. если УЦ у вас чужой-то даа будет доказывать сам УЦ - но покупая сертификаты у стороннего УЦ вы очч удоражаете систему и усложняете её техническую организацию. 2. если УЦ свой-ок!!!держитесь тогда: у вас сохранилось заявление на присоединение к регламенту УЦ заверненное клиентом, а заявление на изготовление 1-го сертификата, а заверенный 1-й сертификат? а как у вас организованная внепланавая замена ключей? а временные метки у вас в системе есть (это на случай когда я вам позвоню и скажу что потерял, и тут же сделаю платежь)? а СОС с какой периодичностью у вас обновляется? учитывается ли дельта как-нить, т.е. если я сообщил вам что скомпрометировал ключ, а сос не обновился? а системное время на серваке Банк-клиента и у клиента синхронезированно? а если я ночью ключ проебал - вы тоже залочите в системе, если да а с хуяле? а вы знаете что просто так нельзя оттозвать сертификат без заявления? а распространяете вы СКЗИ и ключи - учитываете их? и самое интересный вопрос-а ваш банк-клиент, т.е. система сама - она тоже работает и взаимодействует с УЦ? и производитель вашего банк-клиента производил исследования корректности встраивания СКЗИ в систему банк-клиент? - я не говорю уже о финансовых затратах, человеко-ресурсах и т.д. и т.п. - я могу долго еще перечислять - но уверен и на 1/4 вопросов вы упаритесь отвечать, а не учтя хотя бы один - я бы вас в суде с вашим банк-клиентом просто порвал бы.
эт так вопросеги для разминки, убив на это минут 60 вы бы очень многое узнали о своем банк-клиенте на сертифицированной криптухе, и сколько много способов по 1-ФЗ вас просто разграмить.
(причем я не против сертифицированных СКЗИ, я только за - НО ПО 1-ФЗ ЖИТЬ ПРАКТИЧЕСКИ НЕ ВОЗМОЖНО,ОН НЕ ЖИЗНЕСПОСОБЕН) и мало тоговот поверьте моему слову, если хотябы 5 процентов банков живет по нему-это просто круто!!!остальные просто не понимают подочто они подписались и как в случае необходимости их можно побить.
 
по 160 статье живет просто уйма людей, просто этого не знают. и договоры  правильные.
точно так же и випы, которые вааще нихера не понимают что такое эцп -да им это и не надо-  не ихнее это дело, а вот специалистам которые занимаются ИТ и ИБ - очень даже не плохо знать как устроена жизнь в этой области.
 
Извините, не могу читать бесит, какого х...я так издеваться над русским языком? И вообще в чем вопрос? Или это не вопрос, а утверждение что по 1 ФЗ жить нельзя? Про требования я знаю, не нужно их тут приводить, все у кого лицензии есть их знают.
Изменено: Snip_ - 06.08.2008 14:48:12
 
не можете не читайте. старался писать на русском, если вам не знакомы слова: сертификат, УЦ, СОС - соррь, обязанны знать раз 1-ФЗ цитируете.
вопросы в первом посте.
сомневаюсь,что знаете про требования и знает их все у кого есть лицензии - имхо ответили бы хотябы на какое-то количество вопросов из предыдущего поста.
(не обижайтесь, ничего личного.)
нервы нужно беречь,клетки нервные не восстанавливаются, да и адронный коллайдер запустили.
 
Цитата
xell пишет:
1. Подразумевает ли переход на сертифицированные СКЗИ переход на жизнь по 1-ФЗ, т.е. наличие в системе сертификатов, сертифицированных средств проверки ЭЦП разработчика и т.д. - воопщем жизнь по 1-ФЗ.
2. Кто-нибудь вообще встречал вменяемого юриста по применению ЭЦП, 1-ФЗ, 160 статье ГК. вообще такие люди бывают? если да - где они обитают. интересует применение ЭЦП по ст. 160 ГК. (например, чем грозит использование других аналогов ЭЦП и не сертифицированных СКЗИ, если в суде я могу представить доказательство есессьна средством не сертифицированным и т.д.).
3. У кого-нить бывали юридические прицеденты с ЭЦП и использованию несертифицированных СКЗИ.

1. Если у вас используется ЭЦП то это по любому жизнь по 1 ФЗ, хотите вы этого или нет.
2. Да встречал, доцент кафедры «Защита информации» Московского инженерно-физического института Горбатов Виктор Сергеевич (495) 324-54-82.
3. Вот у него и поинтерисуйтесь, насколько я помню таких прецендентов много.

По поводу бесит..лично меня бесит "разработчег, мля затрахаетесь, проебал, с хуяле и т.п."..что такое УЦ я поверьте в курсе.
 
"про бесит" - как говорится, у всех свои недостатки (речь в инете совсем ничего не говорит о человеке и т.д. и т.п. - но ресурс не про это, хотя и по этой теме готов рассказать многое :)): "сейчас не про это").
1. дело не в том, что у вас используется, а в том как вы про это заявляетесь! понятно, что реально-конечно это ЭЦП, но если ты заявляешься, что это АСП - то 1-ФЗ не нужен!
2.Snip_, за телефон виктора сергеевича большое спасибо, надеюсь он меня не пошлет. (хотя, думаю мне же нужно будет представиться....тем более раз уж вас так бесит язык Интернета, думаю доценту тоже будет не понятно:"здравствуйте, вам удобно говорить? я xell, ваш телефон мне дал Snip_ с форума www.securitylab.ru. можно с вами проконсультироваться?") :))

большое спасибо,сформулирую вопросы на русском языке с учетом граматики, лексики и т.д. и т.п. и буду звонить.
реально, большое спасибо.
 
Мыло в личку кинул, а телефон его знаю постолько поскольку на одной его лекции был...так что даже мое фио нисколько не поможет )
 
Цитата
xell пишет:
речь идет про использование СКЗИ в системах Банк-Клиент
Вы сейчас спрашиваете про серверную сторону, или про клиентскую? :)

Насколько я ничего не помню из договора - клиент "несет ответственность за сохранность ключей и т.п...", "клиент согласен, что платежи и другие операции, проведенные с помощью выданных ему ключей - являются его платежами и операциями". Зачем при такой постановке вопроса нужны "полностью сертифицированные средства" - не очень понятно.
 
Snip_, категорически благодарю.
 
:)))) СКЗИ если они юзаются в системе будут одинаковы, что на сервачной стороне, что на стороне клиента-ибо по другому не бывает :)).
к сожалению я сам не юрист, но знаю - что если договор противоречит закону или там какому-нить акту - он признается ничтожным, по этому в договоре можно писать многое, но вот как на него посмотрят в суде в случае разбора конфликтной ситуации? - вот ф чом вопроз :((

в том то и дело, что изучив нормативную базу я вижу что явного обязательства сертифицированных СКЗИ нет, а вот органы разные хотят подсадить на сертифиц СКЗИ, не хотя понять, что блять это очень дорого, сложно, гемморойно да вообще пипетс, в случае уже имеющегося количества клиентофф - ХХ ХХХ штуг-это вааще пиз....ец....я просто представляю трудо,денго,чело и т.д. и т.п. затраты :(( очч хочетсо быть уверенным,что мы правы.
Страницы: 1
Читают тему