Защита информации
Зравствуйте!
Хотела обратиться к Вам за разъяснениями. В коммерческом банке используется система электронного обмена-система клиент-банк. Для обеспечения защиты информации используется криптографическая система PGP FreeWare version 6.5.3. Не является ли это нарушением закона, ведь PGP не является сертифицированным ФСБ России продуктом.
комментариев: 11558 документов: 1036 редакций: 4118
В общем, Вам лучше обратиться за разъяснениями в региональное управление ЦБ, лучше в письменной форме. Тогда хотя бы получите бумажку, которой в необходимом случае сможете прикрыть жизненно важные органы.
комментариев: 10 документов: 1 редакций: 0
Пользуясь темой, хотелось бы реально знать, как "по закону" обосновать применение на фирмах несертифицированных СКЗИ для конфиденциал. инфы в обмене с клиентами (тем более Вы вроде с законом "на ты"?). А то услышал тут ответы на одной конференции и потом почитал и озадачился:
Регулирующий Фед. закон как минимум один есть ФЗ №128, 2001г. – "О лицензировании отдельных видов деятельности", по которому лицензируется предоставление услуг в области шифрования информации, а по полномочиям правительства, вводимым в этом законе, утверждено постановлением правительства N 691,2002 г. "Положение о лицензировании предоставления услуг в области шифрования", где лицензирование закреплено за ФСБ и сказано:
Так что, если фирма официально в договоре с клиентом запишет, что при обслуживании клиенту предоставят средства подписи и защиты передаваемых по открытым системам связи данных, то деятельность лицензирутся, а например PGP FreeWare version 6.5.3 не попадает под исключения (не компанент операционки) по п.4.а), а значит должна через ФСБ получить добро в конкретном применении.
Формально официальные лица трактуют это дело так, что даже активное сетевое оборудование с возможностью 3DES, если при ввозе официально эта опция для конкретной партии не декларирована и не прошла согласование (было например просто DES), а пользователи оборудования потом докупают в форме лицензии и скачивают в форме файла обновления – уже является незаконной в использовании для защиты клиентов распределенной сети!
комментариев: 11558 документов: 1036 редакций: 4118
Одна ремарка: если организация обеспечивает защиту только собственной информации, получать лицензию она не обязана. Разумеется, все риски, проистекающие из качества такой защиты, организация должна будет нести сама. Что касается услуг по договорам, где организация поручает обеспечение защиты информации другой фирме-лицензиату, то при возникновении у заказчика ущерба, вызванного несанкционированным доступом к защищаемой информации, компенсировать его должен будет исполнитель, осуществлявший по договору эту самую защиту.