С московского семинара я вернулся не только с багажом ответов, но и вопросов. В частности, там активно обсуждалась законодательная база крипто-защиты интернет-потоков. Как Вы знаете, на данный момент использование средств криптошифрования в России запрещено. В Думе, вроде как, лежит закон, который разрешить использовать эти технологии корпоративным заказчикам, но он пока не принят.
А как же обстоит дело у нас на Украине — это-то меня интересовало уже давно. Для чего? Те, кто знаком с подробностями осуществления интернет-транзакций, тот, думаю, знает как важно при приеме конфиденциальной информации (номера кред. карточек и т.д.) использование ПО класса «secure server». Интернет-поток на участке клиент-сервер криптуется (наиболее распространенным является протокол SSL со 128 ключом), что сильно затрудняет перехват и дешифровку этой информации.
И хоть специалисты говорят, что мало кто будет пытаться перехватить информацию на этом участке, т.к. это само по себе сложно, даже без SSL, но тем не менее, на Западе использовние Secure Server является чем-то вроде «мытья рук перед едой», или еще одним средством убеждения недоверчивого клиента: «Смотрите, как у нас все классно шифруется! Никто не сможет узнать номера Ваших карточек! Можете быть совершенно спокойны.» .Т.е., это скорее более важный психологический фактор, нежели фактор защиты информации. Использование secure server — это своего рода «правило хорошего тона», без которого сервер e-commerce не может считаться полноценным.
Как же обстоят дела с криптованием на Украине? Оказывается, есть законы!
1. У К А З ПРЕЗИДЕНТА УКРАИНЫ О Положении о порядке осуществления криптографической защиты информации в Украине» (С изменениями, внесенными согласно Указа Президента N 1019/98 от 15.09.98)
*** Настоящее Положение определяет порядок осуществления криптографической защиты информации с ограниченным доступом, разглашение которой причиняет (может причинить) ущерб государству, обществу или лицу.
2. Об утверждении Инструкции об условиях и правилах осуществления предпринимательской деятельности (лицензионные условия), связанной с разработкой, изготовлением, ввозом, вывозом, реализацией и использованием средств криптографической защиты информации, а также с предоставлением услуг по криптографической защите информации, и контроль за их соблюдением.
*** Действие Инструкции распространяется на всех субъектов предпринимательской деятельности, которые осуществляют деятельность в области криптографической защиты информации, независимо от их организационных форм ведения хозяйства и форм собственности.
Можно почитать, кому интересно. Таким образом, использование средств криптографической защиты на Украине ВОЗМОЖНО, но подлежит лицензированию. Сколько это стоит, какие требования к фирме — информация здесь.
Если Вы собираетесь ставить свой e-commerce сервер на Украине — придется лицензироваться. Хотя, можно пойти и по более простому пути — арендовать сервер в Штатах, к примеру. Или воспользоваться услугами компаний, предоставляющих услуги secure server. У каждого подхода свои преимущества и недостатки. Но решения есть.
P.S. Знакомые хакеры таскают номера кредиток с западных серверов, где они хранятся на диске C: в файле customers.doc в совершенно открытом виде! Смех сквозь слезы: американцы получают номера карточек от клиентов по супер-защищенному 128 bit SSL-протоколу, а потом хранят их в вордовских файлах на своих насквозь дырявых NT-серверах. 8-\
P.P.S. Совет: один мой знакомый подал идею, что для интернет-покупок нужно держать отдельную карточку, на которой хранить не более 50 дол. Разумно! Безопасно! Рекомендую воспользоваться. Кстати, есть отличное, дешевое и универсальное решение — интернет-карта.
С уважением,
Вячеслав Горобец
e-mail: slawa19@ua.fm
PC Club — компьютерный журнал-клуб