о том, что именно такой лицензии нет. Поправлен был справедливо, хотя я и подразумевал под этим понятием пакет лицензий, а не какую-то конкретную. Тем не менее, что-то не давало покоя, и, роясь в нормативно-правовых документах, я наткнулся на старый, но все еще действующий указ Президента РФ №334 от 03.04.1995. Его 4-ый пункт нереально "порадовал":
4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
Что означает выделенное, надо расшифровывать или и так понятно?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Что означает выделенное, надо расшифровывать или и так понятно?
Это уже такой баянище...
Ну ей Богу сейчас лень рыться в поисках всех документов, но темы уже поднимались (может и не на rsdn), короче насколько я понял, указ, хотя и действующий, давно перекрыт более поздними разными законами. Реально наличие лицензии на использование (пакета лицензий) нужно госпредприятиям или фирмам в которых есть защита гостайн разных.
KV>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>Что означает выделенное, надо расшифровывать или и так понятно?
расшифруй, пожалуйста, фразу "эксплуатацией шифровальных средств" — это касается исключительно железных шифровальщиков или относится и к алгоритмам/софту?. Раскрой термин "шифровальное средство"..
Здравствуйте, Ikemefula, Вы писали:
KV>>Что означает выделенное, надо расшифровывать или и так понятно? KV>> I>А как ты хотел ? В любой нормальнйо стране это есть.
Ну там в Иране, Саудовской Аравии всякой. Да, есть.
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Что означает выделенное, надо расшифровывать или и так понятно?
M>Это уже такой баянище...
M>Ну ей Богу сейчас лень рыться в поисках всех документов, но темы уже поднимались (может и не на rsdn), короче насколько я понял, указ, хотя и действующий, давно перекрыт более поздними разными законами.
Было очень интересно почитать, правда.
M>Реально наличие лицензии на использование (пакета лицензий) нужно госпредприятиям или фирмам в которых есть защита гостайн разных.
Выделенное — неверно безотносительно приведенного мной указа. Если родом деятельности предприятия является одно из:
5) деятельность по распространению шифровальных (криптографических) средств;
6) деятельность по техническому обслуживанию шифровальных (криптографических) средств;
7) предоставление услуг в области шифрования информации;
8) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
, то в соответствии с ФЗ-128 (http://www.fstec.ru/_docs/doc_1_2_006.htm) данная деятельность подлежит обязательному лицензированию в порядке, установленном данным законом. Это я тебе говорю как человек, неоднократно принимавший участие в лицензировании коммерческих контор, чья деятельность не имеет ни малейшего отношения к гос.тайне.
Меня же больше интересует применимость исходного указа в разрезе физлиц. Действительно ли есть законодательные акты, перекрывающие этот указ в части касающейся именно граждан, а не организаций?
Здравствуйте, neFormal, Вы писали:
F>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>
KV>>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>>Что означает выделенное, надо расшифровывать или и так понятно?
F>расшифруй, пожалуйста, фразу "эксплуатацией шифровальных средств" — это касается исключительно железных шифровальщиков или относится и к алгоритмам/софту?. Раскрой термин "шифровальное средство"..
совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем и осуществлять криптографическое преобразование информации для обеспечения ее безопасности
Здравствуйте, Ikemefula, Вы писали:
I>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Что означает выделенное, надо расшифровывать или и так понятно?
KV>>
I>А как ты хотел ? В любой нормальнйо стране это есть.
Есть что? Запрет на использование средств криптографии физ.лицам?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Что означает выделенное, надо расшифровывать или и так понятно?
KV>>>
I>>А как ты хотел ? В любой нормальнйо стране это есть.
KV>Есть что? Запрет на использование средств криптографии физ.лицам?
KV>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>Что означает выделенное, надо расшифровывать или и так понятно?
то, что ты не умеешь читать? там кое-что кроме выделенного было
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Меня же больше интересует применимость исходного указа в разрезе физлиц. Действительно ли есть законодательные акты, перекрывающие этот указ в части касающейся именно граждан, а не организаций?
По сути читать это надо так: ФСБ (тогда еще ФАПСИ) была поставлена задача обеспечить регулирование в области использования СКЗИ на территории РФ.
Задача не была выполнена до конца. Причем до сих пор. Причины могут быть разные — начиная от реорганизации ФАПСИ (ходят байки, что в процессе, например, тупо потеряли ряд нормативных актов, которые уже должны были вот-вот вступить в силу — например, в отношении аттестации УЦ), заканчивая заигрываниями с ВТО в начале века (западу бы очень не понравилось такое регулирование, до сих пор наше регулирование криптографии не совместимо с международным сотрудничеством — то же требование PCI DSS, например, по сути запрещает использование сертифицированный СКЗИ, поскольку криптографический алгоритм должен быть открытым и общепризнанным).
В общем как всегда — есть прикольная дубинка, которой можно как-нибудь и воспользоваться, для особо неугодных лиц. У нас хватает таких дубинок в законодательстве и есть примеры их применения: http://lukatsky.blogspot.com/2010/08/blog-post_30.html
Здравствуйте, Ikemefula, Вы писали:
KV>>Что означает выделенное, надо расшифровывать или и так понятно? KV>> I>А как ты хотел ? В любой нормальнйо стране это есть.
Троллишь?
Вот обобщенная информация по регулированию криптографии в мире: http://rechten.uvt.nl/koops/cryptolaw/cls-sum.htm
Здравствуйте, March_rabbit, Вы писали:
M_>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>
KV>>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>>Что означает выделенное, надо расшифровывать или и так понятно? M_>то, что ты не умеешь читать? там кое-что кроме выделенного было
о том, что именно такой лицензии нет. Поправлен был справедливо, хотя я и подразумевал под этим понятием пакет лицензий, а не какую-то конкретную. Тем не менее, что-то не давало покоя, и, роясь в нормативно-правовых документах, я наткнулся на старый, но все еще действующий указ Президента РФ №334 от 03.04.1995. Его 4-ый пункт нереально "порадовал":
KV>
KV>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>Что означает выделенное, надо расшифровывать или и так понятно?
Сейчас лениво искать, но где-то видел указ, допускающий послабления этого. Кроме того на конференции по правовым аспектам защиты информации юристы дали понять что исполнение таких законов сильно зависит от того что называть, а что не называть этим самым шифрованием. Вот например Oracle и MS сертифицировали свои БД с функциями шифрования данных как защищенные (по одному нормативному акту), но при этом для их использование не нужна лицензия ФСБ (по другому акту).
Здравствуйте, gandjustas, Вы писали:
G>Сейчас лениво искать, но где-то видел указ, допускающий послабления этого.
Нет такого.
G>Кроме того на конференции по правовым аспектам защиты информации юристы дали понять что исполнение таких законов сильно зависит от того что называть, а что не называть этим самым шифрованием.
Это известная фишка, но пока это удел теоретиков-юристов. Ни одна компания еще не осмелилась прикинуться шлангом перед ФСБ и обозвать шифрование кодированием или еще как-то в этом роде. Т.е. проблему-то это не снимает — если где-то правовая дыра, то работает пословица: закон, что дышло...
G>Вот например Oracle и MS сертифицировали свои БД с функциями шифрования данных как защищенные (по одному нормативному акту), но при этом для их использование не нужна лицензия ФСБ (по другому акту).
Потому что они сертифицировали конкретные функции своих продуктов. И в конструкторской документации, которая подавалась на сертификацию, поверь мне, про шифрование ни пол-слова.
Здравствуйте, DOOM, Вы писали:
G>>Вот например Oracle и MS сертифицировали свои БД с функциями шифрования данных как защищенные (по одному нормативному акту), но при этом для их использование не нужна лицензия ФСБ (по другому акту). DOO>Потому что они сертифицировали конкретные функции своих продуктов. И в конструкторской документации, которая подавалась на сертификацию, поверь мне, про шифрование ни пол-слова.
Конкретно представитель Oracle рассказывал что их БД сертифицирована для работы с персональными данными (именно за счет шифрования), но лицензия ФСБ не нужна. Представитель MS говорил что-то аналогичное.
Здравствуйте, gandjustas, Вы писали:
G>Конкретно представитель Oracle рассказывал что их БД сертифицирована для работы с персональными данными (именно за счет шифрования), но лицензия ФСБ не нужна.
Номер сертификата? В Oracle те еще болтуны и тоноскти сертификации представляют слабо (кстати, кто именно от Oracle выступал?).
G>Представитель MS говорил что-то аналогичное.
Эти тоже сами слабо понимают как происходит сертификация софта и что такое "сертификация для работы с ПДн" (такой нет, если что), вся сертифицированная продукция Microsoft у нас вообще поставляется не MS, а Алтекс-Софт или СИС. У них тоже есть все перечни сертификатов — единственное, что там есть необычное — это сертификат ФСБ на Sharepoint 2007 — но там используется СКЗИ КриптоПро (которое именно что СКЗИ по документам).
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Было очень интересно почитать, правда.
Извини, но сейчас просто нет времени и особого желания искать и поднимать документы. Я просто запомнил, что по этому поводу были споры и сошлись на таком вот положении. Если вспомню, сообщу подробнее. Но кажется, отсыл был к закону об информации и информатизации, перечню лицензируемых видов деятельности (да, разработка и продажа требует лицензий) и еще чему-то по совокупности.
KV>Меня же больше интересует применимость исходного указа в разрезе физлиц. Действительно ли есть законодательные акты, перекрывающие этот указ в части касающейся именно граждан, а не организаций?
Если физлицам тоже запрещено, то мы тут все нарушители Dvd и/или Blu-Ray плеер есть? Сотовый телефон? А в браузере уже вырезана всякая криптография и по https он не соединяет?
KV>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>Что означает выделенное, надо расшифровывать или и так понятно?
Расшифруй, плиз, кто определяет, что данное средство относится к "шифровальным" и "защищённым". Существуют ли для этого формальные критерии? Или как всегда проводится "экспертиза", где noname эксперт пишет, что данное оборудование/ПО является таковым (ага, разумеется не неся никакой ответственности за заключение, поскольку в отсутствие формальных признаков доказать его ошибочность невозможно)
KV>
Курица — это инструмент, с помощью которого одно яйцо производит другие.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Что означает выделенное, надо расшифровывать или и так понятно?
Насколько я знаю, юр-документы читаются по оссобенному.
4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
Это означает, что вы неможете: изобрести И сделать И использовать ИЛИ продать СВОЕ устройство без лицензии.
Но купить "разрешенное/лицензированное" устройство и использовать его, никто незапрещает.
Если бы запрещали использование крипто-устройств физ-лицам, то это было бы прописано буквально отдельно от остального. т.е было бы буквально написано
"запретить физическим лицам эксплуатацию шифровальных средство без лицензии выданной Федеральным агенством правительственной связи и информации, данному физическому лицу".
Если в юридическом документе идет перечисление, это означает не "раз ИЛИ два ИЛИ три", а типа "раз ПЛЮС два ПЛЮС три", если что-то нужно выделить из перечисления, оно описывается отдельно, конкретно, чтобы небыло вопросов. как-то так.
т.е то что вы хотите узнать из этого закона, надо читать так
4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
а лицензия имеется в виду — у производителя устройств, а не у вас.
Здравствуйте, maxlosyam, Вы писали:
M>а лицензия имеется в виду — у производителя устройств, а не у вас.
Все равно, вопросы остаются, даже в таком прочтении. Допустим производители сотового оборудования какие-то лицензии и получили, хотя сомневаюсь.
А вот уж производители телевизоров и dvd-плееров, точно не лицензировались. Про производителей браузеров и речи нет, кроме может MS и то с оговорками. Примерно тоже самое и вообще с операционными системами и кучей софта. Сейчас шифрование можно встретить в самых неожиданных местах.
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, maxlosyam, Вы писали:
M>Все равно, вопросы остаются, даже в таком прочтении. Допустим производители сотового оборудования какие-то лицензии и получили, хотя сомневаюсь.
M>А вот уж производители телевизоров и dvd-плееров, точно не лицензировались. Про производителей браузеров и речи нет, кроме может MS и то с оговорками. Примерно тоже самое и вообще с операционными системами и кучей софта. Сейчас шифрование можно встретить в самых неожиданных местах.
ну за нелегальные яблофоны пока несажают, так что в принципе пока всем по барабану.
M>Все равно, вопросы остаются, даже в таком прочтении. Допустим производители сотового оборудования какие-то лицензии и получили, хотя сомневаюсь. M>А вот уж производители телевизоров и dvd-плееров, точно не лицензировались. Про производителей браузеров и речи нет, кроме может MS и то с оговорками. Примерно тоже самое и вообще с операционными системами и кучей софта. Сейчас шифрование можно встретить в самых неожиданных местах.
Читай положение о лицензировании по разработке СКЗИ:
Настоящее Положение не распространяется на разработку, производство:
а) шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну;
б) портативных или мобильных радиотелефонов гражданского назначения (в том числе предназначенных для использования в коммерческих гражданских системах сотовой радиосвязи), которые не имеют функции сквозного шифрования;
в) приемной аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрования цифрового сигнала, в которой шифрование ограничено функциями управления видео- или аудиоканалами;
г) применяемых только для банковских и финансовых операций шифровальных (криптографических) средств в составе терминалов единичной продажи (банкоматов), криптографические возможности которых не могут быть изменены пользователями;
д) шифровальных (криптографических) средств независимо от их назначения, реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 56 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит;
е) беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах);
ж) шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей, не относящихся к критически важным объектам.
Уж там, где документы по лицензированию есть — что относить к СКЗИ, а что нет — определено достаточно четко.
KV>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>Что означает выделенное, надо расшифровывать или и так понятно?
Но есть один нюанс — Указ президента не является документом обязательным для исполнения физическими лицами и большинством юридических.
Здравствуйте, pagid, Вы писали:
P>Но есть один нюанс — Указ президента не является документом обязательным для исполнения физическими лицами и большинством юридических.
Это кто тебе такое сказал?