id: Гость   вход   регистрация
текущее время 17:05 28/03/2024
Автор темы: kenga80, тема открыта 01/12/2006 17:21 Печать
создать
просмотр
ссылки

Защита информации


Зравствуйте!
Хотела обратиться к Вам за разъяснениями. В коммерческом банке используется система электронного обмена-система клиент-банк. Для обеспечения защиты информации используется криптографическая система PGP FreeWare version 6.5.3. Не является ли это нарушением закона, ведь PGP не является сертифицированным ФСБ России продуктом.


 
Комментарии
— SATtva (01/12/2006 19:43)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Федеральное законодательство не регулирует порядок применения СКЗИ для защиты конфиденциальных данных, не отнесённых к государственной тайне, т.е. каждый владелец информации определяет этот порядок самостоятельно (но в рамках ГК, законов "Об информации...", "О коммерческой тайне" и др.). Однако, Центробанк выпускает нормативы и рекомендации по защите банковской тайны, и что содержится в наиболее свежих документах я сказать не могу. Знаю, что многие банки используют собственное ПО, но его, как правило, разрабатывают подразделения, имеющие лицензии ФСБ на разработку СКЗИ.

В общем, Вам лучше обратиться за разъяснениями в региональное управление ЦБ, лучше в письменной форме. Тогда хотя бы получите бумажку, которой в необходимом случае сможете прикрыть жизненно важные органы.
— Евген (08/12/2006 14:46, исправлен 08/12/2006 20:46)   профиль/связь   <#>
комментариев: 10   документов: 1   редакций: 0
2 SATva
Пользуясь темой, хотелось бы реально знать, как "по закону" обосновать применение на фирмах несертифицированных СКЗИ для конфиденциал. инфы в обмене с клиентами (тем более Вы вроде с законом "на ты"?). А то услышал тут ответы на одной конференции и потом почитал и озадачился:
Регулирующий Фед. закон как минимум один есть ФЗ №128, 2001г. – "О лицензировании отдельных видов деятельности", по которому лицензируется предоставление услуг в области шифрования информации, а по полномочиям правительства, вводимым в этом законе, утверждено постановлением правительства N 691,2002 г. file"Положение о лицензировании предоставления услуг в области шифрования", где лицензирование закреплено за ФСБ и сказано:

"3. Деятельность по предоставлению услуг в области шифрования информации включает в себя:
а) шифрование информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц;
б) имитозащиту информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц;
в) предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации, не содержащей сведений, составляющих государственную тайну;
г) обеспечение пользователей системы электронного документооборота ключевой информацией (включая ее формирование и распределение) независимо от вида носителя ключевой информации, предназначенной для защиты информации, не содержащей сведений, составляющих государственную тайну.
4. Настоящее Положение не распространяется на предоставление услуг в области шифрования информации с использованием:
а) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;
б) персональных кредитных карточек со встроенными микроЭВМ, криптографические возможности которых не могут быть изменены пользователями;
в) портативных или мобильных радиотелефонов гражданского назначения (типа радиотелефонов, предназначенных для использования в коммерческих гражданских системах сотовой радиосвязи), которые не имеют функции сквозного шифрования;
г) приемной аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрования цифрового сигнала, в которой шифрование ограничено функциями управления видео- или аудиоканалами;
д) специально разработанных и применяемых только для банковских и финансовых операций шифровальных (криптографических) средств в составе терминалов единичной продажи (банкоматов), криптографические возможности которых не могут быть изменены пользователями;
е) специально разработанных и применяемых только в составе контрольно – кассовых машин шифровальных (криптографических) средств защиты фискальной памяти;
ж) шифровальных (криптографических) средств (независимо от их назначения), реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 40 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на вычислении дискретных логарифмов в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит.
6. Лицензионными требованиями и условиями при предоставлении услуг в области шифрования информации являются:
а) выполнение нормативных правовых актов Российской Федерации и соблюдение государственных стандартов, относящихся к лицензируемой деятельности;
б) выполнение нормативных документов лицензирующего органа, регламентирующих осуществление лицензируемой деятельности, зарегистрированных в установленном порядке Министерством юстиции Российской Федерации, и методических документов по лицензируемой деятельности, издаваемых лицензирующим органом в пределах своей компетенции;
в) представление в лицензирующий орган перечня шифровальных (криптографических) средств, используемых при осуществлении лицензируемой деятельности (с предоставлением по запросу технической документации и (или) образцов шифровальных (криптографических) средств, которые не имеют сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации);
г) использование шифровальных (криптографических) средств иностранного производства при условии, что эти средства были ввезены на территорию Российской Федерации и распространялись в порядке, установленном нормативными правовыми актами Российской Федерации;"

Так что, если фирма официально в договоре с клиентом запишет, что при обслуживании клиенту предоставят средства подписи и защиты передаваемых по открытым системам связи данных, то деятельность лицензирутся, а например PGP FreeWare version 6.5.3 не попадает под исключения (не компанент операционки) по п.4.а), а значит должна через ФСБ получить добро в конкретном применении.
Формально официальные лица трактуют это дело так, что даже активное сетевое оборудование с возможностью 3DES, если при ввозе официально эта опция для конкретной партии не декларирована и не прошла согласование (было например просто DES), а пользователи оборудования потом докупают в форме лицензии и скачивают в форме файла обновления – уже является незаконной в использовании для защиты клиентов распределенной сети!
— SATtva (08/12/2006 20:55)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Да, Вы правы. Всё это относится не столько к сертификации PGP, сколько к лицензированию банка на предоставление услуг криптографической защиты информации.

Одна ремарка: если организация обеспечивает защиту только собственной информации, получать лицензию она не обязана. Разумеется, все риски, проистекающие из качества такой защиты, организация должна будет нести сама. Что касается услуг по договорам, где организация поручает обеспечение защиты информации другой фирме-лицензиату, то при возникновении у заказчика ущерба, вызванного несанкционированным доступом к защищаемой информации, компенсировать его должен будет исполнитель, осуществлявший по договору эту самую защиту.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3