Не могу найти инфу в интернет
Где то читал (в ЖЖ?) статю уважаемого человека, в которой был скан официального ответа ФСБ о том, что "шифрование для себя" тоже подпадает под лицензируемую деятельность, не смотря на заверения высших чинов из того же ведомства.
Теперь не могу найти :(
Буду признателен за ссылку!
SATtva многократно отвечал на форуме и приводил ссылку на законодательство, где чёрным по белому написано, что лицензируемая деятельность — только коммерческая.
В документах возможны противоречия, а практика правоприменения – это отдельная песня об "амплитуде вероятности интегрального вектора воли властных групп". ;)
все верное – по законам так и выходит. И руководящие должности на словах неоднократно об этом говорили. Но ЕСТЬ(!) страница в интернет, где выложен скрин ОФИЦИАЛЬНОГО ответа на запрос о лицензировании, где черным по белому говориться, что шифирование "для себя" без лицензии недопустимо!
Вот эту страницу то я и ищу!!!
Сам нашел:
http://anvolkov.blogspot.com/2010/07/blog-post_06.html
Не вижу, где там в ответе речь о том,
ну как же:
Вопрос: "Требуется ли лицензия на осуществление деятельности по техническому обслуживанию шифровальных средств, если компания эксплуатирует шифровальные средства только для собственных нужд?"
Ответ: "... подлежит обязательному лицензированию ... вне зависимости от того в чьих нуждаз осуществляется лицензируемая деятельность..."
Разве не так? Или я что-то не догоняю(
Из текста постановления можно понять, что лицензируется распространение, техобслуживание, предоставление услуг и разработка. Давно ли использование стало техобслуживанием?
Кроме того:
Это вот о чём речь идёт?
Законопейсатели олигоферны. Вот выберу AES вместо blowfish указав иную опцию в конфиге и всё — получу "изменение криптографических возможностей".
Закон всегда можно толковать как угодно, и сколь угодно широко. Небось, не математика. Использование — это и есть техобслуживание для самого себя.
О том, что продажа ОС со встроенными в неё криптореализациями не подлежит лицензированию. Чтобы можно было продавать MS Windows`ы без лицензии на крипто.
Об этом собственно и речь. Господа из соответствующих органов неоднократно заявляли, что шифрование "для себя" не предмет лицензирования. А официальный ответ звучит прямо противоположно.
Кстати – как закон трактует следующую ситуациию.
Юрлицо (заказчик) заказывает разработку средств шифрования с длиной ключа 54 бит (или даже 1 бит :) и получает по договору все исходные тексты. При этом никакой лицензии от Исполнителя не требуется. Устно договаривается с исполнителем, что длина ключа должна задаваться константой. Получив исходники заказчик меняет длину с 1 бита на 512 и перекомпилирует средства шифрования.
Допустим, что по закону шифрование для себя не лицензируется.
Есть ли здесь нарушение правовыз норм?
А какой ещё вы хотите ответ на вопрос "Требуется ли лицензия на осуществление деятельности по техническому обслуживанию..."? ;)
Может вопрос переформулировать стоит?
А что ж оно техобслуживаться не будет? Вот так будет стоять и работать всю жисть :)
Так вот соврешь – а потом скажут, а что ж вы ребята не написали, что будете техобслуживать – вот вам штраф за это...
Не принято называть техобслуживанием оное, осуществляемое для себя в личных целях :) В самом вопросе уже есть намёк на работу, выполняемую "для кого-то".
В вопросе речь идёт не о личных целях, а о компаниии: "если компания эксплуатирует ...". А в компании бывают, например, сисадмины, деятельность которых как раз естественно называть техобслуживанием, поскольку в этой своей ипостаси они не пользователи.
зы
А даже если и для себя? Вот, например, если автолюбитель проводит техническое обслуживание собственного автомобиля (самостоятельно и в личных целях, и не для бумаг, а что-бы ездило), разве это нельзя так назвать?
http://www.minzdravsoc.ru/docs/others/15/img1303.jpg
http://lukatsky.blogspot.com/2010/07/blog-post_06.html
:)
Деятельность с шифровальными (криптографическими) средствами, не
подпадающими под исключения, изложенные в Положениях о
лицензировании отдельных видов деятельности, связанной с
шифровальными (криптографическими) средствами, утвержденных
постановлением Правительства Российской Федерацмм «Об утверждении
положений о лицензировании отдельных видов деятельности, связанных с
шифровальными (криптографическими) средствами» от 29.12.2007г. №957,
подлежит обязательному лицензированию в соответствии с Федеральным
законом «О лицензировании отдельных видов деятельности» от 08.08.2001г.
№ 128 вне зависимости отого, в чьих нуждах осуществляется
лицензируемая деятельность, а также осуществляется ли эта деятельность на платной или безвозмездной основе.
Одновременно обращаем Ваше внимание, что безлицензионная
деятельность в облает защиты информации, связанная с использованием
шифровальных (криптографических) средств, подпадает под действие части
первой статьи 13.13 Кодекса Российской Федерации об административных
правонарушениях и статьи 171 Уголовного Кодекса Российской Федерации.
http://4.bp.blogspot.com/_qkVgT7LsEH4/TCiYTtzT_oI/AAAAAAAAAKs/JylVP-bkH8g/s1600/fsblicense.PNG
http://lukatsky.blogspot.com/2010/06/blog-post_30.html
В одном запросе явно указано "техническое обслуживание", в другом упомянуты "персональные данные". И то, и другое делает ответ известным заранее :)
А что бы на это сказал SATtva?
Комментирование официальных ответов ФСБ выходит за рамки моих полномочий. :-) Но Гость (24/10/2010 19:41) обратил внимание верно.
[неюристъ]
Когда о говорят о пользовательских "персональных данных" обычно понимают чьи-то массовые обрабатываемые данные. Видимо, именно это законодельцы и имели в виду. Позже, видимо, кое-кто додумался к этому относить в том числе любые данные, связанные с личностью, как то частная личная некоммерческая переписка. Отсюда и имеем то, что имеем. Правда говоря, прерогатива толкования закона — компетенция судов, а не ФСБ, так что, имхо, подобный ответ — не истина последней инстанции.
[/неюристъ]
Бред сивой кобылы – интернет хомячки любят писать кипятком. Чем сильнее свобода зажимается со стороны исполнительной власти тем больше кайфа для таких хомячков.
Вот потому и подтасовали под свое желание.
Российское законодательство оговаривает необходимость производить сетификацию используемой криптографии лишь в том случае, когда юр.лицо о факте использования таковой упоминает публично в тех же договорах офферты. И, или в своей официальной документации – читай официальных документах для акционеров, инвесторов, аудиторов.
Таким образом, все юр.лица официальным образом уверяющие других участников эеономической деятельности о факте использования криптографии для ведения своей деятельности, обязаны подтверждать качество этих своих систем.
Если юр.лицо не декларирует факт использования криптографии для обеспечения своей деятельности, то и не может ввести в заблуждение участников экономической деятельности относительно качества или надежности собственных услуг с помощью упоминания о криптографии.
Усе, других требований нету. Даже если тетя в климаксе и погонах из сертификационного центра будет клястся в обратном.
Ни для юр.лиц, ни для физ.лиц.
А всякие мелкие чиновники всегда любят сказки рассказывать. В том числе и в официальных запросах. Они за эту дезу ответственности не несут вообще никакую. Не предусмотрена таковая для них.
Вот пусть придет представитель надзирающего органа, проведет проверку, выпишет предписание. С ним в суд – пусть подтвердчт законность и обоснованность требований в этом предписании. Потом апеляция решения суда младшей инстанции, потом верховный арбитражный. И только после вступления в силу решения суда наступит обязанность исполнить требования в предписании. А там просто изложено что по мнению проверяющего следует переделать или сертифицировать. С момента его выписывания уже два-три года успеет пройти.
Ссылку на законодательство можно?
Это не тот случай, когда против лжеца или трепла можно использовать стандартные приемы, известные как "пруфлинк в студию".
Потому как будь достаточно опыта и квалификация в этой части юриспруденции, то сцылка не потребовалась бы. А если нет ни того ни другого, то зачем оно? Ведь тогда любые законы и постановления в такой тематике представляют собой тоже самое, что куски кода для человека никогда не занимавшегося программированием.
А вот если же охота заняться изучением вопроса, то это другое дело – начинать имеет смысл начинать с Постановление Правительства РФ от 16.04.2012 N 313[link1]
https://www.pgpru.com/bibliote.....nsing-crypto-957.txt[link2]
Вот этот документ наверно нужно заменить на новый:
Просьба дать ссылку вызвана кашей в Вашем предыдущем посте, которую я, в частности, процитировал. Если лицо оказывает услуги и выполняет работы (список исчерпывающий), подпадающие под действие известных постановлений о порядке лицензирования, оно и получает лицензию (при чём тут непосредственно сертификация?). Вопрос топикстартера был конкретно о "внутреннем применении".
По-вашему, если два лица для ведения той или иной деятельности принимают решение использовать средства криптографии в целях защиты информационного обмена между собой, что отражают в положениях договора, то они, тем самым, подпадают под требования о лицензировании?
Нужно, но там в сущности мало что поменялось относительно прежнего положения, оттого и не торопился.
Пусть есть два юр.лица по роду деятельности которых правовое поле РФ не обязывает их использовать криптографические средства. И сами они, по собственной воли, еще не используют криптографических средств. Заключается договор, в котором в качестве средств организации информационного обмена между ними упомянуто обязательное использование отнюдь не каких-то конкретных продуктов, а прямым текстом "криптографические средства". Конечно же в договоре будет и ответственность за несоблюдение данного пункта.
Через некоторое время наступает конфликтная ситуация. Либо между этими юр.лицами, либо претензии инвесторов к одному из этих юр.лиц. Инвестор упомянут потому, что определенные договорные отношения между юр.лицами могут являться основанием для изменения стоимости активов одной из компаний.
Происходит попытка по суду взыскать убытки(или недополученную прибыль) – не суть важно что именно и кем именно. Важнее, что ответчиком выступает одна из сторон упомянутого договора. Ответчику вменяется несоблюдение обязательности использовать криптографические средства.
Возникает вопрос – на основании чего суд должен решить, были ли ответчиком выполнены данные обязательства?
Что такое лицензирование в данном контексте – средство контроля качества той деятельности, которая связанна с сертифицированными криптографическими средствами(программными или программно-аппаратными).
Это опирается на понятие криптографических средств. Для которых определена классификации и процедура присвоения класса через сертификацию – комплекса мер и методик для оценки качества средств такого рода.
Т.е. четко и однозначно прописаны сущности:
– связанные с самими криптографическими системами/средствами
– процессами/деятельностью по разработке и использования таковых
Касаемо требований обязывающих использовать определенные классы криптографических средств. Таковые распространяются на те типы юр.лиц, которые занимаются определенными видами деятельности.
При этом, регламентируется так же и процесс этого использования. Через лицензирование – меру направленную на регулирование того, как именно будет происходить процесс внедрения/использования/обслуживания. Т.к. безопасность не продукт, а процесс.
Есть и множество юр.лиц чей вид деятельности не предполагает обязательного использования криптографических средств. Однако, они могут самостоятельно принять решение о необходимости использования именно сертифицированных криптографических средств. И правовое поле однозначно определяет какие варианты использования криптографических средств в таких случаях должны контролироваться со стороны гос.органов. Инструмент контроля опять же – лицензирование.
При этом далеко не все варианты добровольного применения криптографических средств подлежат лицензированию. И эти исключения однозначно прописаны в "Постановление Правительства РФ от 16.04.2012 N313".
Значит суду вначале следует определить использовал ли ответчик вообще криптографические средства. А надлежащим ли образом производился – уже через призму того, должен ли был получить соответствующую лицензию. Так же возникнет вопрос был ли соответствующие лицензии у тех, кто привлекался для разворачивания и обслуживания используемых криптографических средств.
"мы против госрегуляторов" существует лишь до тех пор, пока эти самые "мы" не поссорятся и не побегут судиться меж собой. После чего, чем толще стопка бумаг – тем чище задница и тем надежнее она прикрыта.
Всё верно, если договор не предусматривает положений по разрешению спорных ситуаций. Если стороны договорились о применении абстрактных криптосредств, не определяя порядок их применения, единственное, что остаётся суду — положиться на мнение регулятора. Однако, это не мешает сторонам отразить в договоре полный порядок их применения, выход за который и будет поводом для наложения санкций либо для создания конфликтной комиссии / обращения к третейскому арбитру, решение которых будет окончательным для сторон. Это право сторон и, если выполняемые ими работы не попадают на регулируемую поляну (к примеру, передача в рамках этого информационного обмена персональных данных), применение сертифицированных криптосредств и лицензирование не требуются.
Хомячками обычно называют тех, кому нужна не свобода, а только регулярный приём корма и стандартный набор удовольствий. Воплощением этого является царь, который кормит хомяков и думает за них. Царь окружён опричниками (пароль – Слово и Дело), которые пасут хомяков. Чем больше прав у опричников над хомяками, тем выше их статус, который определяет верность царю.
А вообще, какой смысл обращаться к фсб с такими вопросами (шифрование для себя). Сама постановка подразумевает признание их права решать за вас и повышает им самомнение. Скоро так разрешение сходить в туалет будете спрашивать. Каждый запрет и угнетение повышает их статус, поэтому они используют любую возможность получить дополнительные привилегии. Можно просто шифровать и не спрашивать разрешения, независимо от существования запрета.