22.08.2012

Семинар по лицензированию в области шифрования

Помните, российский офис Cisco в прошлом октябре проводил семинар по вопросам импорта шифровальных средств? Так вот российский офис Cisco решил вновь вернуться к теме шифрования и посвятить очередной семинар также теме шифрования, но уже в контексте лицензирования деятельности в соответствии с ПП-313. А поскольку семинар будет направлен на тех, кто регулярно сталкивается с ПП-313, то российский офис Cisco составляет список вопросов, ответы на которые вы хотели бы услышать.

Предварительный список вопросов, ответы на которые мы хотим осветить на семинаре, приводится ниже.
  1. Необходимо ли переоформлять лицензии, организациям, имеющим действующие лицензии на распространение или техническое обслуживание шифровальных средств, в случае, если лицензиат не планирует выполнять новые работы и оказывать новые услуги? Если да, то каков порядок?
  2. Необходимо ли получение лицензии организации, осуществляющей деятельность, связанную только с электронной цифровой подписью. Если да, то на какой вид деятельности следует получать такую лицензию?
  3. Каков вид и содержание документа, подтверждающего наличие у лицензиата условий для соблюдения конфиденциальности информации (п.9б Положения)?
  4. В процессе эксплуатации программно-аппаратных устройств в соответствии с регламентами, установленными производителем, регулярно проходит процедура обновления программного обеспечения, связанная со стадиями жизненного цикла продукта, устранением ошибок и изменением функциональности, в т.ч. криптографической. При этом новые версии программного обеспечения и активационные лицензии, как правило, поставляются по сети Интернет. К какому виду работ или услуг может быть отнесена процедура обновления программного обеспечения: модернизация или установка (инсталляция), наладка или техническое обслуживание шифровальных (криптографических) средств?
  5. Каковы критерии «гарантированности» заблокирования производителем криптографической функции товара?
  6. Какие виды работ и услуг могут быть определены как «Передача шифровальных (криптографических) средств»?
  7. Чем отличаются «Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств» и «Работы по обслуживанию шифровальных (криптографических) средств», если эти оба вида деятельности предусмотрены и регламентированы технической и эксплуатационной документацией на эти средства?
  8. Возможно ли получение лицензии только на сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных или телекоммуникационных систем, если производителем оборудования не предусмотрена процедура ремонта шифровальных средств?
  9. Являются ли лицензируемым видом деятельности работы с использованием шифровальных средств, по защите персональных данных сотрудников организации при их передаче между подразделениями организации по сетям связи общего пользования (сети Интернет)?
  10. Каков вид документа, подтверждающего наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением.
  11. Какова форма обучения для зачета необходимых часов для выполнения лицензионных условий? 
Вопросы можно оставлять в комментариях.

ЗЫ. О дате и времени семинара я сообще дополнительно, когда мы составим список вопросов и определимся с местом проведения семинара. Как обычно, он будет бесплатным ;-)

6 коммент.:

Сергей комментирует...

Как быть с образованием, полученным до принятия классификатора специальностей?
Какие виды деятельности необходимо лицензировать:
1. Для банка - ДБО
2. Для госуслуг
3. Торговые площадки
и т.п.

Михаил Ракутько комментирует...

Предлагаю еще один вопрос для освещения: Деятельность органа криптографической защиты и актуальность 152 инструкции ФАПСИ, ее стыковка с документами ФСБ по применению криптографии для защиты ПД

Valery Boronin комментирует...

Интересует все, что касается легального создания-использования-модификации-адаптации и прочего встраивания как сторонних (например, на базе NIST стандартов, типа OpenSSL FIPS 2.0) так и своих (на базе криптографических библиотек с ГОСТ внутри) криптографических средств, в контексте *производителей* ПО. А также связанные вопросы с распространением-обслуживанием-наладкой и т.п.


Крайне мало информации для разработчиков и поставщиков программных криптографических модулей. При том, что импорт\экспорт ПО с применением криптографических средств очень насущная тема, ведь редкое ПО в ИБ сейчас ничего не хэширует и не шифрует, не использует никаких криптографических примитивов.


Взять банальный Password Manager с кодом, неаккуратно стянутым из OpenSSL – вот он уже попадает под всякие разные экспортные ограничения и лицензируемые виды деятельности или еще нет? А если ПО скачано не с российского сайта? А если построено и подписано сертификатом какого-то LLC SA или Inc?


А как быть разработчикам ПО, которое устанавливает защищенный SSL канал или шифрует данные пользователя для хранения в облаке с помощью алгоритмов, взятых и адаптированных из сторонних крипто-библиотек? А если в ПО шифруются пароли (не персданные пользователя) или используется криптография для различных challenge-response или аутентификационных схем?


Требования ФСБ засекречены и доступны немногим, процесс сертификации и лицензирования совершенно непонятен и непрозрачен, в отличие от NIST. Даже тем, у кого есть допуск – судя по всему, здесь мало что известно.


Например, вопрос для повестки может звучать так:


как именно для криптографических библиотек, включая уже успешно проходивших сертификацию в ФСБ, происходит процесс лицензирования и сертификации, но уже в новом окружении (executable environment)?


Например, если нужна крипта на новой платформе типа МакОси или Андроида. Или поддержать новый режим исполнения кода, если возникнет потребность в криптографии для 16-бит режима какого-нибудь контроллера?


А как распространять, как продавать такое ПО с криптой внутри, чтобы не попасть в немилость к юристам и регуляторам? А если крипту хочется иметь и западную и российскую? Можно ли хоть как-то обновлять крипто-модули через механизм авто-обновлений в продукте или заменять при апгрейде версий?


Вопросов море на самом деле – ровно те же что рядом и что освещаются на семинаре, но интересует с позиции производителя ПО.

Алексей Лукацкий комментирует...

Мы проводим семинар НЕ с позиции производителя СКЗИ.

Valery Boronin комментирует...

Жаль... :)

Что ж, с интересом подождем семинара.

Андрей Калашников комментирует...

Алексей, ну и как там, когда ждать семинара? Тема - супер актуальная!