И снова вспомним 57-ФЗ. После сообщения о том, что Royal Bank of Scotland запретили увеличить долю в ЗАО «Королевский банку Шотландии» по причине наличия у последнего лицензии ФСБ на криптографию. И вот ФАС внес в Правительство пакет поправок, который исключает деятельность банков (кроме банков с госучастием) в области криптографии из стратегических видов деятельности.
ЗЫ. Правда, непонятно, почему исключение касается только банков? Но все равно хоть что-то… Первый шаг сделан.
Этот комментарий был удален автором.
Это значит, что скором времени банкам не нужно будет получать лицензии ФСБ?
> ФАС внес
Стыд и срам!
В чем стыд? В том, что использован мужской род? Так ФАС — это не только служба, но и орган (федеральный орган исполнительной власти) 😉
Это примерно как все ФСТЭК относят к мужскому роду 😉
Ну таким образом можно любое существительное в русском языке использовать в любом роде 😀
Насколько мне известно все эти ограничения только опосредованные , кстати и у ФСБ по крипту 4 лицензии, так вот самая существенная за которой могут повлечься хоть какие ограничения — это на разработку СКЗИ , требования к которой секретные, и для получения этой 4 лицензии требуется сначала получить лицензию на гостайну, вот именно вокруг неё и идёт возня. А банкам вполне хватает 3 (услуга, продажа и техобслуживание) и там нет ни каких ограничений.
Криптолицензия на гражданку это бред, российское (с маленькой буквы) ноу-хау. Как и многое другое.
Что такое "криптолицензия на гражданку" ? Возможно вы имеете ввиду крипт для гражданских нужд, т.е. крипт слабенький, ключ коротенький, так для всего этого не нужны никакие лицензии вообще, см. ПП 957 от 2007г — всё что вы называете "гражданской криптографией" не регулируется государством!
Ограничения вполне реальные — Банк Шотландии уже пострадал от этого.
И насчет нерегулирования государством гражданской крипты… Вы в каком государстве живете? В России регулируется любая криптография. Даже для частного применения, т.к. Указ 334 до сих пор никто не отменял.
Вам известна правоприменительная практика по Указу 334? Я думаю её нет. А вот то что Центр Лицензирования и Сертификации сразу отстаёт когда показываешь что работаешь на коротеньких ключиках и том что есть в дистрибутиве MS или NSS — это факт, я лично отбился от административного штрафа в 20 000 (кажется) в 2006 или 2007 году.
Отсутствие практики правоприменения — не есть отсутствие регулирования. Хотя она есть 😉 Также как и использование вами слабой криптографии — не является примером отсутствия регулирования. Скорее наоборот. Просто слабая криптография по регулированию не подлежит лицензированию ее обладателя.
А кто тогда регулирует "слабую криптографию", если по 957 — это не является СКЗИ?
Это СКЗИ, только попадает под исключения, не требующие лицензирования.
Ну так раскройте секрет, к чему такая интрига, КТО регулирует оборот-использование СКЗИ (это вы его так назвали , не я) находящегося вне ПП 957 ?
ФСБ 😉 Оборот это не только использование. Это также разработка, ввоз/вывоз, продажа, оказание услуг, техобслуживание и т.п. Так вот ввоз слабой криптографии регулируется ФСБ. Без согласования с ней ввезти даже слабую крипту вы не имеете права.
По моему вы не правы, она запросто ввозится в составах Windows, MacOS FreeBSD, Linux …. и ещё кучи разных пакетов (и никто не согласовывает ввоз операционок с ФСБ), дистрибутивов и систем. К слову, перед выходом 957 я лично разговаривал с начотдела ЦЛС (не буду называть ФИО), так вот 957 как и готовилось для того чтобы отвязать обязанности ФСБ по ПП 611 (кажется такой номерок был у предшественника 957) в отношении "слабой криптографии". Поскольку как вы сами понимаете , они были обязаны пресекать даже Винду и поскольку этого не происходило и физически не могло произойти, то они ходили под грузом не исполненной работы за которую могли покарать в любой момент. Вы не поймите что я тут кого то пытаюсь оправдать, выгодородить, просто давайте честно смотреть в лицо фактам, то что вы рассказываете ни есть факт, а скорее домысел.
Вы ошибаетесь насчет запросто. Оно все ввозится по уведомительной схеме после регистрации нотификаций в ФСБ.
ОК.
Спрошу в ЦЛС или восьмёрке при случае, но что то мне говорит что это просто невозможно сделать из-за объема, особенно при нецентрализованных поставках (раз крипт гражданский — вот его граждане сами и приобретают) и в части СПО и сетевого размещения дистрибутивов, тот же FF содержит NSS да и любой браузер и почтарь, а обновления сетевые и.т.д.
Будет информация из прервых рук сообщу.
Про объемы они не думают, т.к. бОльший объем крипты в России — контрабанда 😉 Они также не думают, когда требуют, чтобы КАЖДАЯ организация получила лицензию на ТО СКЗИ. А таких наберется несколько миллионов по России!!! Но никто не получает, а ФСБ закрывает на это глаза до того момента, когда им вдруг не приспичит кого-то прижать.
И еще раз уточню, что гражданская криптография — это не та, что только для граждан. Это та, которая для бизнеса тоже (исключая критически важные объекты). ВПК и госорганы в гражданскую крипту не попадают.
1. То что на неполучении лицензии можно поиграть — вполне в духе нынешнего времени. Но мы лицензий тут не касаемся. Хотя повторяю, сидя в кабинете на Молодёжке с меня сняли административное нарушение и я не платил ничего, т.е. "они" НЕ "требовали" чтобы я получил лицензию на ТО СКЗИ — ЭТО ФАКТ!
2. Давайте придумаем критерий по которому можно судить гражданская она или нет, я предложил считать гражданскую = слабой (т.е. той для которого не предусмотрено государственное регулирования в виде лицензирования) без привязки к конкретной зоне использования.
Соответственно "не гражданская" — та которая по каким либо причинам (любым законным) требует более длинных ключей и т.д. и деятельность её лицензируется. Так вот осталось узнать из авторитетного источника в конторе на тему нормативки регулирования "гражданской криптографии" конторой.
Для меня гражданская значит не для госорганов и КВО
Мне кажется имелось ввиду другое — тип-класс-название СКЗИ зависит от модели угроз — рисков, а не от место применения. Я так думаю что и в бизнесе есть секреты которые их хозяин захочет защитить круче гостайны.
Есть. Только как владелец этих секретов ОН, а не ФСБ, будет определять как их защищать и с помощью чего. Это, кстати, в ФЗ-149 и записано.
Бросив в попыхах фразу про "криптолицензию на гражданку" я сегодня вернулся поглядеть поподробнее, но Вы, Алексей, уже все сказали за меня 🙂
Леша, Сергей! Ну вы как дети малые — сказано же криптографией ТУТ У НАС считается все что по ГОСТам, а всякие AES/3DESы,ECDSA и пр это "кодирование/преобразование" и не употребимо в ОГВ по определению. Для все остальных целей на усмотрение владельцев информации. А откуда такой пыл обсуждения "гражданской крипты"? Кто-то надул в уши Президенту, он как-то озвучил это и все… Реально ее как юридического понятия НЕТУ:-)
Ау, народ, вы чего? Или что-то я пропустил в ТК26:-)
Откуда такие ограничения? В определении шифровальных средств нет ни слова про поддержку отечественных алгоритмов ;-(
Докладываю, пару часов назад встречался с Кузминым А.С (известная всем надеюсь личность) — его почти дословный ответ, всё что не подпадает под регулирование через лицензирование, ФСБ явно никак не регулируется, однако следует остерегаться других механизмов регулирования которые по совокупе сводятся к "не законному предпринимательству" или ИС, где средства защиты диктуются иными правовыми актами, т.е. уровень защиты определен не владельцем информации, а уровнем ФЗ.
Так что если ничего такого нет, живи как хошь.
При всем моем уважении к Кузьмину, его ЧАСТНОЕ мнение здесь мало что значит ;-( Баранов тоже заявлял, что лицензия на ТО для собственных нужд не нужна, а ЦЛС официально ответил, что нужна.
Не верить Кузьмину мне позволяет как практика, с которой я сталкивался, так и хотя бы тот факт, что ввоз СКЗИ не относится к лицензированию, а ох как контролируется ФСБ. И его слова про "другие механизмы регулирования" это подтверждают. Именно ими они и пользуются, например, проталкивая свои требования по сертификации МСЭ, антивирусов, IDS и т.д. А ведь в ПП-957 про это ни слова ;-(
Алексей вы как то в одну кучу всё сваливайте, давайте частями:
1. ввоз СКЗИ — хочу заметить не крипта с короткими ключами а боевые СКЗИ — контроль ФСТЭК по закону а те запрашивают заключение-разрешение из ФСБ — это внутреннее право ФСТЭК делать свое заключение с опорой на запросы в иные службы.
2. ЦЛС — опирается на ПП 957 а там действительно формально для себя нужна лицензия на ТО, к слову 4.10.2010 в Думе было заседание Экспертной группы на тему нового ФЗ О лицензировании, я там быть не смог, но Волчинской отписал, свои мысли по изъятию требований лицензирования "для себя", может прислушаются, кстати у Елены Константиновны по этой позиции такое же решение.
3. "другие механизмы регулирования" — что вас тут смущает — совершенно всё правильно, например, если иной ФЗ, например 152-ФЗ требует использовать сертифицированное СКЗИ или ФЗ-1 тоже этого требует, то о какой криптографии с короткими ключами может идти речь? И в этом случае ФСБ будет контролировать не ПП 957 а выполнение 152-ФЗ или ФЗ-1.
Вот как то так.
Кто кого путает? 😉
1. ФСТЭК никоим боком не имеет отношение к ввозу. ВООБЩЕ никаким. Ввоз — это импорт. А ФСТЭК занимается ЭКСПОРТОМ. Уже поверьте мне, как представителю вендора, который получил разрешение ФСБ на ввоз пяти с лишним тысяч наименований своей продукции.
2. Я про то и говорю 😉 Позиция регулятора колеблется как камыш на ветру. В прежнем постановлении была приписка "для собственных нужд" и вопросов о лицензии не возникало. В 957-м ее убрали и ЦЛС стал требовать лицензии. А восьмерка говорит "не надо". А в новом проекте приказа ФСБ по персданным тоже говорится, что не надо. Но для персданных только. Нечеткость требований приводит к росту коррупции и излишней зарегулированности ;-(
3. А ФЗ-152 вообще о криптографии ни слова не говорит. И ПП-781 тоже. Они говорят о конфиденциальности, которая может быть достигнута 5-6 различными вариантами. О сертифицированным СКЗИ говорится только в двух нелегитимных документах ФСБ. Только что-то никто не готов их оспаривать, т.к. все боятся этой конторы. А контора этим пользуется 😉 Хотя несколько дел в судах уже проиграла 😉
1. Может быть, при случае уточню в конторе на основании чего идёт регулирование.
2. это обычное состояние — чем больше недосказанности и намёков тем больше рычагов влиять. Тут с вами согласен, но я хотел про другое сказать, контора на сейчас формально права — исполняет ПП 957, я тут не говорю хорошее оно или плохое, я только говорю что оно есть и ФСБ работает по нему.
3. Готов удалить из своего поста 152-ФЗ (там действительно спорно, особенно если правки учесть). Но тогда в силе приведенный мной ФЗ-1, где для проверки подписи требуется использовать сертифицированные СКЗИ. Пример, ровно тот о котором я писал. И всё тут правильно. Закон прямого действия обязывает использовать сертифицированную криптографию не давая право выбора и подставляя под действие ПП 957. Именно то что Кузьмин и говорил.
ФЗ-1 разрешает несертифицированную ЭЦП, но для корпоративного применения.
Ничего подобного, вот определение из ФЗ-1:
"подтверждение подлинности электронной цифровой подписи в электронном документе — положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;