использование иностранного крипто в России
Здравствуйте, подскажите пожалуйста какие номативные документы разрешают (позволяют) использовать иностранные криптоалгоритмы для защиты "К" в России. Чтение ПКЗ, СТР, законов, приказов ФАПСИ больше запутало. Интересует на основании чего я могу использовать AES или что-либо иное на территории РФ. Прошу не рассматривать момент негласного использования. Спасибо.
Принятая в России правовая модель исходит из презумпции дозволения: "разрешено всё, что не запрещено". Законодательство вводит только одно ограничение: защита информации, отнесённой к государственной тайне, а также конфиденциальных данных в органах государственной власти могут осуществляться исключительно сертифицированными СКЗИ, а поскольку сертификацию у нас традиционно проходят только средства, реализующие алгоритмы, "рекомендованные" ФАПСИ/ФСБ, соответственно, и ничего, кроме ГОСТ, Вы там не найдёте.
Для любых коммерческих и частных целей можете использовать всё, что угодно.
Добрый день! Хотелось бы поднять этот вопрос вновь (три года прошло с момента последнего поста). Как сейчас обстоит дело с использованием иностранного криптоПО на территории РФ? Разрешено ли юридическому лицу использовать программу не имеющую соответствующий сертификат ФСБ?
Коммерческое использование иностранных (несертифицированных) СКЗИ не запрещено, если это только не касается государственных учреждений, а также защиты государственной тайны РФ.
Проблема в том, что купить это ПО легально значительно сложнее. Продавец – юр.лицо РФ не в состоянии выполнить условия поставки (продажа без лицензии ФСБ на распространение СКЗИ запрещена, а лицензия прямо запрещает реализацию несертифицированных СКЗИ) и следовательно сделка считается недействительной, а ПО нелицензионным, с соответстующими последствиями.
Купить это ПО для юридическтго лица напрямую у иностранных разработчиков или продавцов тоже непросто – валютный контроль и требования таможенного кодекса ограничивают такую возможность необходимостью получать разрешение на импорт СКЗИ.
Физические лица могут без проблем приобрести это ПО в онлайне с использованием пластиковых карт и пользоваться для защиты СВОЕЙ информации.
Прошу поправить/дополнить, если необходимо.
Вопрос об этом у нас поднялся в этом году. В 2007 мы официально закупили ПО BestCrypt, но в этом году, после того как решили обновить лицензию, продавец сказал, что больше не имеет права продать/обновить нам этот продукт. Однако на сайте softkey.ru (я так предполагаю, что он является налоговым резидентом РФ) данная программа имеется в наличии и ее можно купить. На мой вопрос о наличии сертификата у данной програмы, они ответили что он есть, но предъявить его не смогли.
После этого у нас встал вопрос, можем ли мы пользоваться программой купленной в 2007 году и какова мера ответственности если использование данной программы запрещено.
В седьмом году закупалась подписная лицензия (subscription license)? Если нет, если в лицензии не оговорен срок её действия, то никаких причин для невозможности продолжать использовать программу я не вижу.
О каком сертификате речь? Сертификат ФСБ на СКЗИ? BestCrypt им не обладает.
До вступления в силу IV части ГК РФ (с 1 января 2008 года) правовое определение ПО и лицензионных прав на него было очень размытым, что позволяло продавать несертифицированные СКЗИ не как средства, а как "лицензионные ключи" или что-то в этом роде, избегая таким образом необходимости лицензирования этой деятельности. В конце концов у продавца никто эту программу в руках не держал и не устанавливал.
Но теперь все стало лучше определено и подобные уловки не работают. Этим и объясняется что ни один из Российских авторизованных ранее партнеров PGP более не предлагает этот софт.
Но поскольку Вы покупали BestCrypt в прошлом году, то скорее всего проблем с дальнейшим использованием не должно возникнуть. Подписку на обновления можно покупать и в этом году, так как по своей сути это не является ни растространением СКЗИ ни поддержкой/обслуживанием, являясь лишь правом конечного пользователя самостоятельно загружать новые версии имеющегося у вас ПО.
Лицензия производителя позволяет использовать программу после истечения срока действия лицензии, просто мы теряем право на тех. поддержку и бесплатное обновление.
Т.е. не важно, что:
Просто в нашей ситуации получается, что программа не имеет сертификата ФСБ, а значит ввезена (скачана через Интернет) и куплена не лагально.
Сергей,
Ваш вывод про "нет Сертификата ФСБ -> не легально" не логичен и ничем не подкреплен. До начала этого года было возможно продавать несертифицированное ПО (только shareware ПО, но не закрытое и не "железо") вполне легально, не нарушая никакие законы и нормативные документы.
Понял, спасибо что разъяснили.
получается что сейчас приобрести ПО типа BestCrypt или Drivecrypt plus pack для юр. лица невозможно?! И что делать, если мне нужно зашифровать винты на рабочих машинах легальным путем?
Использовать Free and Open Source Software.
SATtva, подскажи пожалуйста "Free and Open Source Software" аналог программы DriveCrypt plus pack
DiskCryptor[link1] и TrueCrypt[link2]
dresden, например, diskcryptor, truecrypt. Но также для легального шифрования можно воспользоваться программами с соотвествующими сертификатами и использующими алгоритм ГОСТ, например, SafeDisk от Infotecs, бетаверсия подобного продукта есть у ИнфоВотч и иные.