о том, что именно такой лицензии нет. Поправлен был справедливо, хотя я и подразумевал под этим понятием пакет лицензий, а не какую-то конкретную. Тем не менее, что-то не давало покоя, и, роясь в нормативно-правовых документах, я наткнулся на старый, но все еще действующий указ Президента РФ №334 от 03.04.1995. Его 4-ый пункт нереально "порадовал":
4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
Что означает выделенное, надо расшифровывать или и так понятно?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Что означает выделенное, надо расшифровывать или и так понятно?
Это уже такой баянище...
Ну ей Богу сейчас лень рыться в поисках всех документов, но темы уже поднимались (может и не на rsdn), короче насколько я понял, указ, хотя и действующий, давно перекрыт более поздними разными законами. Реально наличие лицензии на использование (пакета лицензий) нужно госпредприятиям или фирмам в которых есть защита гостайн разных.
KV>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>Что означает выделенное, надо расшифровывать или и так понятно?
расшифруй, пожалуйста, фразу "эксплуатацией шифровальных средств" — это касается исключительно железных шифровальщиков или относится и к алгоритмам/софту?. Раскрой термин "шифровальное средство"..
Здравствуйте, Ikemefula, Вы писали:
KV>>Что означает выделенное, надо расшифровывать или и так понятно? KV>> I>А как ты хотел ? В любой нормальнйо стране это есть.
Ну там в Иране, Саудовской Аравии всякой. Да, есть.
Здравствуйте, Michael7, Вы писали:
M>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Что означает выделенное, надо расшифровывать или и так понятно?
M>Это уже такой баянище...
M>Ну ей Богу сейчас лень рыться в поисках всех документов, но темы уже поднимались (может и не на rsdn), короче насколько я понял, указ, хотя и действующий, давно перекрыт более поздними разными законами.
Было очень интересно почитать, правда.
M>Реально наличие лицензии на использование (пакета лицензий) нужно госпредприятиям или фирмам в которых есть защита гостайн разных.
Выделенное — неверно безотносительно приведенного мной указа. Если родом деятельности предприятия является одно из:
5) деятельность по распространению шифровальных (криптографических) средств;
6) деятельность по техническому обслуживанию шифровальных (криптографических) средств;
7) предоставление услуг в области шифрования информации;
8) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
, то в соответствии с ФЗ-128 (http://www.fstec.ru/_docs/doc_1_2_006.htm) данная деятельность подлежит обязательному лицензированию в порядке, установленном данным законом. Это я тебе говорю как человек, неоднократно принимавший участие в лицензировании коммерческих контор, чья деятельность не имеет ни малейшего отношения к гос.тайне.
Меня же больше интересует применимость исходного указа в разрезе физлиц. Действительно ли есть законодательные акты, перекрывающие этот указ в части касающейся именно граждан, а не организаций?
Здравствуйте, neFormal, Вы писали:
F>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>
KV>>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>>Что означает выделенное, надо расшифровывать или и так понятно?
F>расшифруй, пожалуйста, фразу "эксплуатацией шифровальных средств" — это касается исключительно железных шифровальщиков или относится и к алгоритмам/софту?. Раскрой термин "шифровальное средство"..
совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем и осуществлять криптографическое преобразование информации для обеспечения ее безопасности
Здравствуйте, Ikemefula, Вы писали:
I>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Что означает выделенное, надо расшифровывать или и так понятно?
KV>>
I>А как ты хотел ? В любой нормальнйо стране это есть.
Есть что? Запрет на использование средств криптографии физ.лицам?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>>Что означает выделенное, надо расшифровывать или и так понятно?
KV>>>
I>>А как ты хотел ? В любой нормальнйо стране это есть.
KV>Есть что? Запрет на использование средств криптографии физ.лицам?
KV>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>Что означает выделенное, надо расшифровывать или и так понятно?
то, что ты не умеешь читать? там кое-что кроме выделенного было
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Меня же больше интересует применимость исходного указа в разрезе физлиц. Действительно ли есть законодательные акты, перекрывающие этот указ в части касающейся именно граждан, а не организаций?
По сути читать это надо так: ФСБ (тогда еще ФАПСИ) была поставлена задача обеспечить регулирование в области использования СКЗИ на территории РФ.
Задача не была выполнена до конца. Причем до сих пор. Причины могут быть разные — начиная от реорганизации ФАПСИ (ходят байки, что в процессе, например, тупо потеряли ряд нормативных актов, которые уже должны были вот-вот вступить в силу — например, в отношении аттестации УЦ), заканчивая заигрываниями с ВТО в начале века (западу бы очень не понравилось такое регулирование, до сих пор наше регулирование криптографии не совместимо с международным сотрудничеством — то же требование PCI DSS, например, по сути запрещает использование сертифицированный СКЗИ, поскольку криптографический алгоритм должен быть открытым и общепризнанным).
В общем как всегда — есть прикольная дубинка, которой можно как-нибудь и воспользоваться, для особо неугодных лиц. У нас хватает таких дубинок в законодательстве и есть примеры их применения: http://lukatsky.blogspot.com/2010/08/blog-post_30.html
Здравствуйте, Ikemefula, Вы писали:
KV>>Что означает выделенное, надо расшифровывать или и так понятно? KV>> I>А как ты хотел ? В любой нормальнйо стране это есть.
Троллишь?
Вот обобщенная информация по регулированию криптографии в мире: http://rechten.uvt.nl/koops/cryptolaw/cls-sum.htm
Здравствуйте, March_rabbit, Вы писали:
M_>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>
KV>>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>>Что означает выделенное, надо расшифровывать или и так понятно? M_>то, что ты не умеешь читать? там кое-что кроме выделенного было
о том, что именно такой лицензии нет. Поправлен был справедливо, хотя я и подразумевал под этим понятием пакет лицензий, а не какую-то конкретную. Тем не менее, что-то не давало покоя, и, роясь в нормативно-правовых документах, я наткнулся на старый, но все еще действующий указ Президента РФ №334 от 03.04.1995. Его 4-ый пункт нереально "порадовал":
KV>
KV>4. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".
KV>Что означает выделенное, надо расшифровывать или и так понятно?
Сейчас лениво искать, но где-то видел указ, допускающий послабления этого. Кроме того на конференции по правовым аспектам защиты информации юристы дали понять что исполнение таких законов сильно зависит от того что называть, а что не называть этим самым шифрованием. Вот например Oracle и MS сертифицировали свои БД с функциями шифрования данных как защищенные (по одному нормативному акту), но при этом для их использование не нужна лицензия ФСБ (по другому акту).
Здравствуйте, gandjustas, Вы писали:
G>Сейчас лениво искать, но где-то видел указ, допускающий послабления этого.
Нет такого.
G>Кроме того на конференции по правовым аспектам защиты информации юристы дали понять что исполнение таких законов сильно зависит от того что называть, а что не называть этим самым шифрованием.
Это известная фишка, но пока это удел теоретиков-юристов. Ни одна компания еще не осмелилась прикинуться шлангом перед ФСБ и обозвать шифрование кодированием или еще как-то в этом роде. Т.е. проблему-то это не снимает — если где-то правовая дыра, то работает пословица: закон, что дышло...
G>Вот например Oracle и MS сертифицировали свои БД с функциями шифрования данных как защищенные (по одному нормативному акту), но при этом для их использование не нужна лицензия ФСБ (по другому акту).
Потому что они сертифицировали конкретные функции своих продуктов. И в конструкторской документации, которая подавалась на сертификацию, поверь мне, про шифрование ни пол-слова.
Здравствуйте, DOOM, Вы писали:
G>>Вот например Oracle и MS сертифицировали свои БД с функциями шифрования данных как защищенные (по одному нормативному акту), но при этом для их использование не нужна лицензия ФСБ (по другому акту). DOO>Потому что они сертифицировали конкретные функции своих продуктов. И в конструкторской документации, которая подавалась на сертификацию, поверь мне, про шифрование ни пол-слова.
Конкретно представитель Oracle рассказывал что их БД сертифицирована для работы с персональными данными (именно за счет шифрования), но лицензия ФСБ не нужна. Представитель MS говорил что-то аналогичное.
Здравствуйте, gandjustas, Вы писали:
G>Конкретно представитель Oracle рассказывал что их БД сертифицирована для работы с персональными данными (именно за счет шифрования), но лицензия ФСБ не нужна.
Номер сертификата? В Oracle те еще болтуны и тоноскти сертификации представляют слабо (кстати, кто именно от Oracle выступал?).
G>Представитель MS говорил что-то аналогичное.
Эти тоже сами слабо понимают как происходит сертификация софта и что такое "сертификация для работы с ПДн" (такой нет, если что), вся сертифицированная продукция Microsoft у нас вообще поставляется не MS, а Алтекс-Софт или СИС. У них тоже есть все перечни сертификатов — единственное, что там есть необычное — это сертификат ФСБ на Sharepoint 2007 — но там используется СКЗИ КриптоПро (которое именно что СКЗИ по документам).
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Было очень интересно почитать, правда.
Извини, но сейчас просто нет времени и особого желания искать и поднимать документы. Я просто запомнил, что по этому поводу были споры и сошлись на таком вот положении. Если вспомню, сообщу подробнее. Но кажется, отсыл был к закону об информации и информатизации, перечню лицензируемых видов деятельности (да, разработка и продажа требует лицензий) и еще чему-то по совокупности.
KV>Меня же больше интересует применимость исходного указа в разрезе физлиц. Действительно ли есть законодательные акты, перекрывающие этот указ в части касающейся именно граждан, а не организаций?
Если физлицам тоже запрещено, то мы тут все нарушители Dvd и/или Blu-Ray плеер есть? Сотовый телефон? А в браузере уже вырезана всякая криптография и по https он не соединяет?