id: Гость   вход   регистрация
текущее время 19:10 28/03/2024
Автор темы: Гость, тема открыта 20/10/2010 01:52 Печать
Категории: право, политика, спецслужбы, сертификация, лицензирование
https://www.pgpru.com/Форум/Офф-топик/НеМогуНайтиИнфуВИнтернет
создать
просмотр
ссылки

Не могу найти инфу в интернет


Где то читал (в ЖЖ?) статю уважаемого человека, в которой был скан официального ответа ФСБ о том, что "шифрование для себя" тоже подпадает под лицензируемую деятельность, не смотря на заверения высших чинов из того же ведомства.
Теперь не могу найти :(
Буду признателен за ссылку!


 
На страницу: 1, 2 След.
Комментарии
— Гость (24/10/2010 17:28, исправлен 25/10/2010 14:21)   <#>

Деятельность с шифровальными (криптографическими) средствами, не
подпадающими под исключения, изложенные в Положениях о
лицензировании отдельных видов деятельности, связанной с
шифровальными (криптографическими) средствами, утвержденных
постановлением Правительства Российской Федерацмм «Об утверждении
положений о лицензировании отдельных видов деятельности, связанных с
шифровальными (криптографическими) средствами» от 29.12.2007г. №957,
подлежит обязательному лицензированию в соответствии с Федеральным
законом «О лицензировании отдельных видов деятельности» от 08.08.2001г.
№ 128 вне зависимости отого, в чьих нуждах осуществляется
лицензируемая деятельность, а также осуществляется ли эта деятельность на платной или безвозмездной основе.


Одновременно обращаем Ваше внимание, что безлицензионная
деятельность в облает защиты информации, связанная с использованием
шифровальных (криптографических) средств, подпадает под действие части
первой статьи 13.13 Кодекса Российской Федерации об административных
правонарушениях и статьи 171 Уголовного Кодекса Российской Федерации.


http://4.bp.blogspot.com/_qkVgT7LsEH4/TCiYTtzT_oI/AAAAAAAAAKs/JylVP-bkH8g/s1600/fsblicense.PNG


Spanky
Алексей, а что это за документ? Название можете привести?
30 июня 2010 г. 6:34

Алексей Лукацкий


Официальный ответ ЦЛС на официальный запрос по данному вопросу.
30 июня 2010 г. 6:35

...
...
pushkinist


а как запрос был сформулирован?
1 июля 2010 г. 15:10

Алексей Лукацкий


Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств, если компания эксплуатирует шифровальные средства только для собственных нужд? Например, в случаях защищенного подключения удаленных филиалов и дополнительных офисов к центральному офису по VPN-каналам или в случаях шифрования резервных копий информации.


Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств для компании, которая, являясь участником (не оператором) системы электронного документооборота, самостоятельно и только для себя устанавливает средства шифрования и генерирует ключи шифрования? Например, в случае использования системы Интернет-банкинг, когда средства шифрования устанавливаются клиентом (часто в прозрачном режиме) и клиент (для исключения компрометации ключей со стороны банка) самостоятельно генерирует ключевую информацию?


1 июля 2010 г. 22:57

http://lukatsky.blogspot.com/2010/06/blog-post_30.html

— Гость (24/10/2010 19:41)   <#>
В одном запросе явно указано "техническое обслуживание", в другом упомянуты "персональные данные". И то, и другое делает ответ известным заранее :)
— Гость (24/10/2010 23:53)   <#>
А что бы на это сказал SATtva?
— SATtva (25/10/2010 14:26, исправлен 25/10/2010 14:27)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Комментирование официальных ответов ФСБ выходит за рамки моих полномочий. :-) Но Гость (24/10/2010 19:41) обратил внимание верно.

— Гость (25/10/2010 18:04)   <#>
[неюристъ]
Когда о говорят о пользовательских "персональных данных" обычно понимают чьи-то массовые обрабатываемые данные. Видимо, именно это законодельцы и имели в виду. Позже, видимо, кое-кто додумался к этому относить в том числе любые данные, связанные с личностью, как то частная личная некоммерческая переписка. Отсюда и имеем то, что имеем. Правда говоря, прерогатива толкования закона — компетенция судов, а не ФСБ, так что, имхо, подобный ответ — не истина последней инстанции.
[/неюристъ]
— Гость (08/01/2013 16:51)   <#>
Бред сивой кобылы – интернет хомячки любят писать кипятком. Чем сильнее свобода зажимается со стороны исполнительной власти тем больше кайфа для таких хомячков.
Вот потому и подтасовали под свое желание.

Российское законодательство оговаривает необходимость производить сетификацию используемой криптографии лишь в том случае, когда юр.лицо о факте использования таковой упоминает публично в тех же договорах офферты. И, или в своей официальной документации – читай официальных документах для акционеров, инвесторов, аудиторов.
Таким образом, все юр.лица официальным образом уверяющие других участников эеономической деятельности о факте использования криптографии для ведения своей деятельности, обязаны подтверждать качество этих своих систем.
Если юр.лицо не декларирует факт использования криптографии для обеспечения своей деятельности, то и не может ввести в заблуждение участников экономической деятельности относительно качества или надежности собственных услуг с помощью упоминания о криптографии.

Усе, других требований нету. Даже если тетя в климаксе и погонах из сертификационного центра будет клястся в обратном.
Ни для юр.лиц, ни для физ.лиц.

А всякие мелкие чиновники всегда любят сказки рассказывать. В том числе и в официальных запросах. Они за эту дезу ответственности не несут вообще никакую. Не предусмотрена таковая для них.
Вот пусть придет представитель надзирающего органа, проведет проверку, выпишет предписание. С ним в суд – пусть подтвердчт законность и обоснованность требований в этом предписании. Потом апеляция решения суда младшей инстанции, потом верховный арбитражный. И только после вступления в силу решения суда наступит обязанность исполнить требования в предписании. А там просто изложено что по мнению проверяющего следует переделать или сертифицировать. С момента его выписывания уже два-три года успеет пройти.
— SATtva (08/01/2013 17:06)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Российское законодательство оговаривает необходимость производить сетификацию используемой криптографии лишь в том случае, когда юр.лицо о факте использования таковой упоминает публично в тех же договорах офферты.

Ссылку на законодательство можно?
— Гость (08/01/2013 19:14)   <#>
Российское законодательство оговаривает необходимость производить сетификацию используемой криптографии лишь в том случае, когда юр.лицо о факте использования таковой упоминает публично в тех же договорах офферты.
Ссылку на законодательство можно?

Это не тот случай, когда против лжеца или трепла можно использовать стандартные приемы, известные как "пруфлинк в студию".
Потому как будь достаточно опыта и квалификация в этой части юриспруденции, то сцылка не потребовалась бы. А если нет ни того ни другого, то зачем оно? Ведь тогда любые законы и постановления в такой тематике представляют собой тоже самое, что куски кода для человека никогда не занимавшегося программированием.

А вот если же охота заняться изучением вопроса, то это другое дело – начинать имеет смысл начинать с Постановление Правительства РФ от 16.04.2012 N 313
— sentaus (08/01/2013 19:20)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
https://www.pgpru.com/bibliote.....nsing-crypto-957.txt

Вот этот документ наверно нужно заменить на новый:

2. Признать утратившими силу:
постановление Правительства Российской Федерации от 29 декабря 2007 г. N 957 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами"
— SATtva (08/01/2013 20:30)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Потому как будь достаточно опыта и квалификация в этой части юриспруденции, то сцылка не потребовалась бы.

Просьба дать ссылку вызвана кашей в Вашем предыдущем посте, которую я, в частности, процитировал. Если лицо оказывает услуги и выполняет работы (список исчерпывающий), подпадающие под действие известных постановлений о порядке лицензирования, оно и получает лицензию (при чём тут непосредственно сертификация?). Вопрос топикстартера был конкретно о "внутреннем применении".

Таким образом, все юр.лица официальным образом уверяющие других участников эеономической деятельности о факте использования криптографии для ведения своей деятельности, обязаны подтверждать качество этих своих систем.

По-вашему, если два лица для ведения той или иной деятельности принимают решение использовать средства криптографии в целях защиты информационного обмена между собой, что отражают в положениях договора, то они, тем самым, подпадают под требования о лицензировании?

Вот этот документ наверно нужно заменить на новый

Нужно, но там в сущности мало что поменялось относительно прежнего положения, оттого и не торопился.
— Гость (09/01/2013 00:25)   <#>
Таким образом, все юр.лица официальным образом уверяющие других участников эеономической деятельности о факте использования криптографии для ведения своей деятельности, обязаны подтверждать качество этих своих систем.

По-вашему, если два лица для ведения той или иной деятельности принимают решение использовать средства криптографии в целях защиты информационного обмена между собой, что отражают в положениях договора, то они, тем самым, подпадают под требования о лицензировании?

Пусть есть два юр.лица по роду деятельности которых правовое поле РФ не обязывает их использовать криптографические средства. И сами они, по собственной воли, еще не используют криптографических средств. Заключается договор, в котором в качестве средств организации информационного обмена между ними упомянуто обязательное использование отнюдь не каких-то конкретных продуктов, а прямым текстом "криптографические средства". Конечно же в договоре будет и ответственность за несоблюдение данного пункта.
Через некоторое время наступает конфликтная ситуация. Либо между этими юр.лицами, либо претензии инвесторов к одному из этих юр.лиц. Инвестор упомянут потому, что определенные договорные отношения между юр.лицами могут являться основанием для изменения стоимости активов одной из компаний.
Происходит попытка по суду взыскать убытки(или недополученную прибыль) – не суть важно что именно и кем именно. Важнее, что ответчиком выступает одна из сторон упомянутого договора. Ответчику вменяется несоблюдение обязательности использовать криптографические средства.
Возникает вопрос – на основании чего суд должен решить, были ли ответчиком выполнены данные обязательства?

Что такое лицензирование в данном контексте – средство контроля качества той деятельности, которая связанна с сертифицированными криптографическими средствами(программными или программно-аппаратными).
Это опирается на понятие криптографических средств. Для которых определена классификации и процедура присвоения класса через сертификацию – комплекса мер и методик для оценки качества средств такого рода.

Т.е. четко и однозначно прописаны сущности:
– связанные с самими криптографическими системами/средствами
– процессами/деятельностью по разработке и использования таковых

Касаемо требований обязывающих использовать определенные классы криптографических средств. Таковые распространяются на те типы юр.лиц, которые занимаются определенными видами деятельности.
При этом, регламентируется так же и процесс этого использования. Через лицензирование – меру направленную на регулирование того, как именно будет происходить процесс внедрения/использования/обслуживания. Т.к. безопасность не продукт, а процесс.

Есть и множество юр.лиц чей вид деятельности не предполагает обязательного использования криптографических средств. Однако, они могут самостоятельно принять решение о необходимости использования именно сертифицированных криптографических средств. И правовое поле однозначно определяет какие варианты использования криптографических средств в таких случаях должны контролироваться со стороны гос.органов. Инструмент контроля опять же – лицензирование.
При этом далеко не все варианты добровольного применения криптографических средств подлежат лицензированию. И эти исключения однозначно прописаны в "Постановление Правительства РФ от 16.04.2012 N313".

Значит суду вначале следует определить использовал ли ответчик вообще криптографические средства. А надлежащим ли образом производился – уже через призму того, должен ли был получить соответствующую лицензию. Так же возникнет вопрос был ли соответствующие лицензии у тех, кто привлекался для разворачивания и обслуживания используемых криптографических средств.

"мы против госрегуляторов" существует лишь до тех пор, пока эти самые "мы" не поссорятся и не побегут судиться меж собой. После чего, чем толще стопка бумаг – тем чище задница и тем надежнее она прикрыта.
— SATtva (09/01/2013 00:54)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Возникает вопрос – на основании чего суд должен решить, были ли ответчиком выполнены данные обязательства?

Всё верно, если договор не предусматривает положений по разрешению спорных ситуаций. Если стороны договорились о применении абстрактных криптосредств, не определяя порядок их применения, единственное, что остаётся суду — положиться на мнение регулятора. Однако, это не мешает сторонам отразить в договоре полный порядок их применения, выход за который и будет поводом для наложения санкций либо для создания конфликтной комиссии / обращения к третейскому арбитру, решение которых будет окончательным для сторон. Это право сторон и, если выполняемые ими работы не попадают на регулируемую поляну (к примеру, передача в рамках этого информационного обмена персональных данных), применение сертифицированных криптосредств и лицензирование не требуются.
— Гость (10/01/2013 21:28)   <#>
Чем сильнее свобода зажимается со стороны исполнительной власти тем больше кайфа для таких хомячков

Хомячками обычно называют тех, кому нужна не свобода, а только регулярный приём корма и стандартный набор удовольствий. Воплощением этого является царь, который кормит хомяков и думает за них. Царь окружён опричниками (пароль – Слово и Дело), которые пасут хомяков. Чем больше прав у опричников над хомяками, тем выше их статус, который определяет верность царю.

А вообще, какой смысл обращаться к фсб с такими вопросами (шифрование для себя). Сама постановка подразумевает признание их права решать за вас и повышает им самомнение. Скоро так разрешение сходить в туалет будете спрашивать. Каждый запрет и угнетение повышает их статус, поэтому они используют любую возможность получить дополнительные привилегии. Можно просто шифровать и не спрашивать разрешения, независимо от существования запрета.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3