Помните, российский офис Cisco в прошлом октябре проводил семинар по вопросам импорта шифровальных средств? Так вот российский офис Cisco решил вновь вернуться к теме шифрования и посвятить очередной семинар также теме шифрования, но уже в контексте лицензирования деятельности в соответствии с ПП-313. А поскольку семинар будет направлен на тех, кто регулярно сталкивается с ПП-313, то российский офис Cisco составляет список вопросов, ответы на которые вы хотели бы услышать.
Предварительный список вопросов, ответы на которые мы хотим осветить на семинаре, приводится ниже.
ЗЫ. О дате и времени семинара я сообще дополнительно, когда мы составим список вопросов и определимся с местом проведения семинара. Как обычно, он будет бесплатным ;-)
Предварительный список вопросов, ответы на которые мы хотим осветить на семинаре, приводится ниже.
- Необходимо ли переоформлять лицензии, организациям, имеющим действующие лицензии на распространение или техническое обслуживание шифровальных средств, в случае, если лицензиат не планирует выполнять новые работы и оказывать новые услуги? Если да, то каков порядок?
- Необходимо ли получение лицензии организации, осуществляющей деятельность, связанную только с электронной цифровой подписью. Если да, то на какой вид деятельности следует получать такую лицензию?
- Каков вид и содержание документа, подтверждающего наличие у лицензиата условий для соблюдения конфиденциальности информации (п.9б Положения)?
- В процессе эксплуатации программно-аппаратных устройств в соответствии с регламентами, установленными производителем, регулярно проходит процедура обновления программного обеспечения, связанная со стадиями жизненного цикла продукта, устранением ошибок и изменением функциональности, в т.ч. криптографической. При этом новые версии программного обеспечения и активационные лицензии, как правило, поставляются по сети Интернет. К какому виду работ или услуг может быть отнесена процедура обновления программного обеспечения: модернизация или установка (инсталляция), наладка или техническое обслуживание шифровальных (криптографических) средств?
- Каковы критерии «гарантированности» заблокирования производителем криптографической функции товара?
- Какие виды работ и услуг могут быть определены как «Передача шифровальных (криптографических) средств»?
- Чем отличаются «Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств» и «Работы по обслуживанию шифровальных (криптографических) средств», если эти оба вида деятельности предусмотрены и регламентированы технической и эксплуатационной документацией на эти средства?
- Возможно ли получение лицензии только на сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств информационных или телекоммуникационных систем, если производителем оборудования не предусмотрена процедура ремонта шифровальных средств?
- Являются ли лицензируемым видом деятельности работы с использованием шифровальных средств, по защите персональных данных сотрудников организации при их передаче между подразделениями организации по сетям связи общего пользования (сети Интернет)?
- Каков вид документа, подтверждающего наличие условий для соблюдения конфиденциальности информации, необходимых для выполнения работ и оказания услуг, определенных настоящим Положением.
- Какова форма обучения для зачета необходимых часов для выполнения лицензионных условий?
ЗЫ. О дате и времени семинара я сообще дополнительно, когда мы составим список вопросов и определимся с местом проведения семинара. Как обычно, он будет бесплатным ;-)
6 коммент.:
Как быть с образованием, полученным до принятия классификатора специальностей?
Какие виды деятельности необходимо лицензировать:
1. Для банка - ДБО
2. Для госуслуг
3. Торговые площадки
и т.п.
Предлагаю еще один вопрос для освещения: Деятельность органа криптографической защиты и актуальность 152 инструкции ФАПСИ, ее стыковка с документами ФСБ по применению криптографии для защиты ПД
Интересует все, что касается легального создания-использования-модификации-адаптации и прочего встраивания как сторонних (например, на базе NIST стандартов, типа OpenSSL FIPS 2.0) так и своих (на базе криптографических библиотек с ГОСТ внутри) криптографических средств, в контексте *производителей* ПО. А также связанные вопросы с распространением-обслуживанием-наладкой и т.п.
Крайне мало информации для разработчиков и поставщиков программных криптографических модулей. При том, что импорт\экспорт ПО с применением криптографических средств очень насущная тема, ведь редкое ПО в ИБ сейчас ничего не хэширует и не шифрует, не использует никаких криптографических примитивов.
Взять банальный Password Manager с кодом, неаккуратно стянутым из OpenSSL – вот он уже попадает под всякие разные экспортные ограничения и лицензируемые виды деятельности или еще нет? А если ПО скачано не с российского сайта? А если построено и подписано сертификатом какого-то LLC SA или Inc?
А как быть разработчикам ПО, которое устанавливает защищенный SSL канал или шифрует данные пользователя для хранения в облаке с помощью алгоритмов, взятых и адаптированных из сторонних крипто-библиотек? А если в ПО шифруются пароли (не персданные пользователя) или используется криптография для различных challenge-response или аутентификационных схем?
Требования ФСБ засекречены и доступны немногим, процесс сертификации и лицензирования совершенно непонятен и непрозрачен, в отличие от NIST. Даже тем, у кого есть допуск – судя по всему, здесь мало что известно.
Например, вопрос для повестки может звучать так:
как именно для криптографических библиотек, включая уже успешно проходивших сертификацию в ФСБ, происходит процесс лицензирования и сертификации, но уже в новом окружении (executable environment)?
Например, если нужна крипта на новой платформе типа МакОси или Андроида. Или поддержать новый режим исполнения кода, если возникнет потребность в криптографии для 16-бит режима какого-нибудь контроллера?
А как распространять, как продавать такое ПО с криптой внутри, чтобы не попасть в немилость к юристам и регуляторам? А если крипту хочется иметь и западную и российскую? Можно ли хоть как-то обновлять крипто-модули через механизм авто-обновлений в продукте или заменять при апгрейде версий?
Вопросов море на самом деле – ровно те же что рядом и что освещаются на семинаре, но интересует с позиции производителя ПО.
Мы проводим семинар НЕ с позиции производителя СКЗИ.
Жаль... :)
Что ж, с интересом подождем семинара.
Алексей, ну и как там, когда ждать семинара? Тема - супер актуальная!
Отправить комментарий