30.09.2010

И вновь о 57-ФЗ

И снова вспомним 57-ФЗ. После сообщения о том, что Royal Bank of Scotland запретили увеличить долю в ЗАО "Королевский банку Шотландии" по причине наличия у последнего лицензии ФСБ на криптографию. И вот ФАС внес в Правительство пакет поправок, который исключает деятельность банков (кроме банков с госучастием) в области криптографии из стратегических видов деятельности.

ЗЫ. Правда, непонятно, почему исключение касается только банков? Но все равно хоть что-то... Первый шаг сделан.

33 коммент.:

zabrodin комментирует...
Этот комментарий был удален автором.
zabrodin комментирует...

Это значит, что скором времени банкам не нужно будет получать лицензии ФСБ?

anti-forensics комментирует...

> ФАС внес

Стыд и срам!

Алексей Лукацкий комментирует...

В чем стыд? В том, что использован мужской род? Так ФАС - это не только служба, но и орган (федеральный орган исполнительной власти) ;-)

Это примерно как все ФСТЭК относят к мужскому роду ;-)

anti-forensics комментирует...

Ну таким образом можно любое существительное в русском языке использовать в любом роде :D

msm59 комментирует...

Насколько мне известно все эти ограничения только опосредованные , кстати и у ФСБ по крипту 4 лицензии, так вот самая существенная за которой могут повлечься хоть какие ограничения - это на разработку СКЗИ , требования к которой секретные, и для получения этой 4 лицензии требуется сначала получить лицензию на гостайну, вот именно вокруг неё и идёт возня. А банкам вполне хватает 3 (услуга, продажа и техобслуживание) и там нет ни каких ограничений.

Алексей Волков комментирует...

Криптолицензия на гражданку это бред, российское (с маленькой буквы) ноу-хау. Как и многое другое.

msm59 комментирует...

Что такое "криптолицензия на гражданку" ? Возможно вы имеете ввиду крипт для гражданских нужд, т.е. крипт слабенький, ключ коротенький, так для всего этого не нужны никакие лицензии вообще, см. ПП 957 от 2007г - всё что вы называете "гражданской криптографией" не регулируется государством!

Алексей Лукацкий комментирует...

Ограничения вполне реальные - Банк Шотландии уже пострадал от этого.

И насчет нерегулирования государством гражданской крипты... Вы в каком государстве живете? В России регулируется любая криптография. Даже для частного применения, т.к. Указ 334 до сих пор никто не отменял.

msm59 комментирует...

Вам известна правоприменительная практика по Указу 334? Я думаю её нет. А вот то что Центр Лицензирования и Сертификации сразу отстаёт когда показываешь что работаешь на коротеньких ключиках и том что есть в дистрибутиве MS или NSS - это факт, я лично отбился от административного штрафа в 20 000 (кажется) в 2006 или 2007 году.

Алексей Лукацкий комментирует...

Отсутствие практики правоприменения - не есть отсутствие регулирования. Хотя она есть ;-) Также как и использование вами слабой криптографии - не является примером отсутствия регулирования. Скорее наоборот. Просто слабая криптография по регулированию не подлежит лицензированию ее обладателя.

msm59 комментирует...

А кто тогда регулирует "слабую криптографию", если по 957 - это не является СКЗИ?

Алексей Лукацкий комментирует...

Это СКЗИ, только попадает под исключения, не требующие лицензирования.

msm59 комментирует...

Ну так раскройте секрет, к чему такая интрига, КТО регулирует оборот-использование СКЗИ (это вы его так назвали , не я) находящегося вне ПП 957 ?

Алексей Лукацкий комментирует...

ФСБ ;-) Оборот это не только использование. Это также разработка, ввоз/вывоз, продажа, оказание услуг, техобслуживание и т.п. Так вот ввоз слабой криптографии регулируется ФСБ. Без согласования с ней ввезти даже слабую крипту вы не имеете права.

msm59 комментирует...

По моему вы не правы, она запросто ввозится в составах Windows, MacOS FreeBSD, Linux .... и ещё кучи разных пакетов (и никто не согласовывает ввоз операционок с ФСБ), дистрибутивов и систем. К слову, перед выходом 957 я лично разговаривал с начотдела ЦЛС (не буду называть ФИО), так вот 957 как и готовилось для того чтобы отвязать обязанности ФСБ по ПП 611 (кажется такой номерок был у предшественника 957) в отношении "слабой криптографии". Поскольку как вы сами понимаете , они были обязаны пресекать даже Винду и поскольку этого не происходило и физически не могло произойти, то они ходили под грузом не исполненной работы за которую могли покарать в любой момент. Вы не поймите что я тут кого то пытаюсь оправдать, выгодородить, просто давайте честно смотреть в лицо фактам, то что вы рассказываете ни есть факт, а скорее домысел.

Алексей Лукацкий комментирует...

Вы ошибаетесь насчет запросто. Оно все ввозится по уведомительной схеме после регистрации нотификаций в ФСБ.

msm59 комментирует...

ОК.
Спрошу в ЦЛС или восьмёрке при случае, но что то мне говорит что это просто невозможно сделать из-за объема, особенно при нецентрализованных поставках (раз крипт гражданский - вот его граждане сами и приобретают) и в части СПО и сетевого размещения дистрибутивов, тот же FF содержит NSS да и любой браузер и почтарь, а обновления сетевые и.т.д.
Будет информация из прервых рук сообщу.

Алексей Лукацкий комментирует...

Про объемы они не думают, т.к. бОльший объем крипты в России - контрабанда ;-) Они также не думают, когда требуют, чтобы КАЖДАЯ организация получила лицензию на ТО СКЗИ. А таких наберется несколько миллионов по России!!! Но никто не получает, а ФСБ закрывает на это глаза до того момента, когда им вдруг не приспичит кого-то прижать.

И еще раз уточню, что гражданская криптография - это не та, что только для граждан. Это та, которая для бизнеса тоже (исключая критически важные объекты). ВПК и госорганы в гражданскую крипту не попадают.

msm59 комментирует...

1. То что на неполучении лицензии можно поиграть - вполне в духе нынешнего времени. Но мы лицензий тут не касаемся. Хотя повторяю, сидя в кабинете на Молодёжке с меня сняли административное нарушение и я не платил ничего, т.е. "они" НЕ "требовали" чтобы я получил лицензию на ТО СКЗИ - ЭТО ФАКТ!
2. Давайте придумаем критерий по которому можно судить гражданская она или нет, я предложил считать гражданскую = слабой (т.е. той для которого не предусмотрено государственное регулирования в виде лицензирования) без привязки к конкретной зоне использования.
Соответственно "не гражданская" - та которая по каким либо причинам (любым законным) требует более длинных ключей и т.д. и деятельность её лицензируется. Так вот осталось узнать из авторитетного источника в конторе на тему нормативки регулирования "гражданской криптографии" конторой.

Алексей Лукацкий комментирует...

Для меня гражданская значит не для госорганов и КВО

msm59 комментирует...

Мне кажется имелось ввиду другое - тип-класс-название СКЗИ зависит от модели угроз - рисков, а не от место применения. Я так думаю что и в бизнесе есть секреты которые их хозяин захочет защитить круче гостайны.

Алексей Лукацкий комментирует...

Есть. Только как владелец этих секретов ОН, а не ФСБ, будет определять как их защищать и с помощью чего. Это, кстати, в ФЗ-149 и записано.

Алексей Волков комментирует...

Бросив в попыхах фразу про "криптолицензию на гражданку" я сегодня вернулся поглядеть поподробнее, но Вы, Алексей, уже все сказали за меня :)

cat комментирует...

Леша, Сергей! Ну вы как дети малые - сказано же криптографией ТУТ У НАС считается все что по ГОСТам, а всякие AES/3DESы,ECDSA и пр это "кодирование/преобразование" и не употребимо в ОГВ по определению. Для все остальных целей на усмотрение владельцев информации. А откуда такой пыл обсуждения "гражданской крипты"? Кто-то надул в уши Президенту, он как-то озвучил это и все... Реально ее как юридического понятия НЕТУ:-)
Ау, народ, вы чего? Или что-то я пропустил в ТК26:-)

Алексей Лукацкий комментирует...

Откуда такие ограничения? В определении шифровальных средств нет ни слова про поддержку отечественных алгоритмов ;-(

msm комментирует...

Докладываю, пару часов назад встречался с Кузминым А.С (известная всем надеюсь личность) - его почти дословный ответ, всё что не подпадает под регулирование через лицензирование, ФСБ явно никак не регулируется, однако следует остерегаться других механизмов регулирования которые по совокупе сводятся к "не законному предпринимательству" или ИС, где средства защиты диктуются иными правовыми актами, т.е. уровень защиты определен не владельцем информации, а уровнем ФЗ.
Так что если ничего такого нет, живи как хошь.

Алексей Лукацкий комментирует...

При всем моем уважении к Кузьмину, его ЧАСТНОЕ мнение здесь мало что значит ;-( Баранов тоже заявлял, что лицензия на ТО для собственных нужд не нужна, а ЦЛС официально ответил, что нужна.

Не верить Кузьмину мне позволяет как практика, с которой я сталкивался, так и хотя бы тот факт, что ввоз СКЗИ не относится к лицензированию, а ох как контролируется ФСБ. И его слова про "другие механизмы регулирования" это подтверждают. Именно ими они и пользуются, например, проталкивая свои требования по сертификации МСЭ, антивирусов, IDS и т.д. А ведь в ПП-957 про это ни слова ;-(

msm59 комментирует...

Алексей вы как то в одну кучу всё сваливайте, давайте частями:
1. ввоз СКЗИ - хочу заметить не крипта с короткими ключами а боевые СКЗИ - контроль ФСТЭК по закону а те запрашивают заключение-разрешение из ФСБ - это внутреннее право ФСТЭК делать свое заключение с опорой на запросы в иные службы.
2. ЦЛС - опирается на ПП 957 а там действительно формально для себя нужна лицензия на ТО, к слову 4.10.2010 в Думе было заседание Экспертной группы на тему нового ФЗ О лицензировании, я там быть не смог, но Волчинской отписал, свои мысли по изъятию требований лицензирования "для себя", может прислушаются, кстати у Елены Константиновны по этой позиции такое же решение.
3. "другие механизмы регулирования" - что вас тут смущает - совершенно всё правильно, например, если иной ФЗ, например 152-ФЗ требует использовать сертифицированное СКЗИ или ФЗ-1 тоже этого требует, то о какой криптографии с короткими ключами может идти речь? И в этом случае ФСБ будет контролировать не ПП 957 а выполнение 152-ФЗ или ФЗ-1.
Вот как то так.

Алексей Лукацкий комментирует...

Кто кого путает? ;-)

1. ФСТЭК никоим боком не имеет отношение к ввозу. ВООБЩЕ никаким. Ввоз - это импорт. А ФСТЭК занимается ЭКСПОРТОМ. Уже поверьте мне, как представителю вендора, который получил разрешение ФСБ на ввоз пяти с лишним тысяч наименований своей продукции.

2. Я про то и говорю ;-) Позиция регулятора колеблется как камыш на ветру. В прежнем постановлении была приписка "для собственных нужд" и вопросов о лицензии не возникало. В 957-м ее убрали и ЦЛС стал требовать лицензии. А восьмерка говорит "не надо". А в новом проекте приказа ФСБ по персданным тоже говорится, что не надо. Но для персданных только. Нечеткость требований приводит к росту коррупции и излишней зарегулированности ;-(

3. А ФЗ-152 вообще о криптографии ни слова не говорит. И ПП-781 тоже. Они говорят о конфиденциальности, которая может быть достигнута 5-6 различными вариантами. О сертифицированным СКЗИ говорится только в двух нелегитимных документах ФСБ. Только что-то никто не готов их оспаривать, т.к. все боятся этой конторы. А контора этим пользуется ;-) Хотя несколько дел в судах уже проиграла ;-)

msm комментирует...

1. Может быть, при случае уточню в конторе на основании чего идёт регулирование.
2. это обычное состояние - чем больше недосказанности и намёков тем больше рычагов влиять. Тут с вами согласен, но я хотел про другое сказать, контора на сейчас формально права - исполняет ПП 957, я тут не говорю хорошее оно или плохое, я только говорю что оно есть и ФСБ работает по нему.
3. Готов удалить из своего поста 152-ФЗ (там действительно спорно, особенно если правки учесть). Но тогда в силе приведенный мной ФЗ-1, где для проверки подписи требуется использовать сертифицированные СКЗИ. Пример, ровно тот о котором я писал. И всё тут правильно. Закон прямого действия обязывает использовать сертифицированную криптографию не давая право выбора и подставляя под действие ПП 957. Именно то что Кузьмин и говорил.

Алексей Лукацкий комментирует...

ФЗ-1 разрешает несертифицированную ЭЦП, но для корпоративного применения.

msm59 комментирует...

Ничего подобного, вот определение из ФЗ-1:
"подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;