Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Всеволод  
#1 Оставлено : 15 декабря 2008 г. 14:47:07(UTC)
Всеволод

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.12.2008(UTC)
Сообщений: 2
Откуда: Санкт-Петербург

К теме "ЛИЦЕНЗИРОВАНИЕ РАЗРАБОТКИ, ПРОИЗВОДСТВА ШИФРОВАЛЬНЫХ СРЕДСТВ"

Наша организация тоже занимается разработкой систем электронного документооборота. Мы собираемся использовать КриптоПро CPS и КриптоПро ЭЦП.
Имеются лицензии на распространение и техническое обслуживание шифровальных средств, и на оказание услуг в области шифрования информации.

Теперь нам нужно встроить вызов функций КриптоПро ЭЦП в наш собственный код. В частности - генерацию и проверку цифровой подписи.
Вопрос: является ли встраивание вызовов функций КриптоПРО CPS разработкой криптографических средств?
И - нужно ли получать лицензию на разработку?

Вопрос не очень простой. Предлагаю обратиться к Постановлению 957 и внимательно его прочитать.

Цитирую:

Положение
о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем
(утв. постановлением Правительства РФ от 29 декабря 2007 г. N 957)

....
2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), разработка, производство которых подлежит лицензированию, относятся:
а) средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении;
б)... имитовставка...
в) средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

То есть: если наш программный продукт выполняет генерацию и проверку цифровой подписи, используя для этого библиотеку КриптоПро CPS (через вызов функций API), то формально мы должны получать лицензию на разработку.

Получить четвертую лицензию к уже имещимся трем не так сложно. Но - читаем Постановление 957 дальше:

4. Лицензионными требованиями и условиями при осуществлении разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, являются:
...
в) наличие у соискателя лицензии (лицензиата) допуска к проведению работ, связанных с использованием сведений, составляющих государственную тайну (только при разработке шифровальных (криптографических) средств);

Это означает, что получить лицензию на разработку криптографическиз средств можно только при наличии допуска к проведению работ, связанных с использованием сведений, составляющих государственную тайну.

Думаю, что 99% компаний, работающих с КриптоПРО CPS или КриптоПро ЭЦП, не имеют доступа к гостайне. Значит, "встраивание" вызовов криптографических функций не является "разработкой" криптографических средств.
Но написано ли это в каком-то документе? Если да - то в каком?

Надеюсь на конструктивный и обоснованный ответ специалистов КриптоПРО, который можно будет распечатать и предъявить при необходимости контролирующим органам.

С уважением,
Кузьмич Всеволод, КТН,
Руководитель направления мобильных решений
КОРУС Консалтинг






Отредактировано пользователем 15 декабря 2008 г. 20:21:17(UTC)  | Причина: Не указана

Offline Kure  
#2 Оставлено : 15 декабря 2008 г. 17:36:29(UTC)
Kure

Статус: Администратор

Группы: Администраторы, Участники
Зарегистрирован: 13.12.2007(UTC)
Сообщений: 110
Откуда: Крипто-Про

Поблагодарили: 33 раз в 10 постах
На самом деле все проще.
Сам вид лицензируемой деятельности по положению называется:
Положение о лицензировании разработки, производства шифровальных
(криптографических) средств, защищенных с использованием шифровальных
(криптографических) средств информационных и телекоммуникационных систем.

Делим на две составляющих:
1. разработки, производства шифровальных (криптографических) средств
2. защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем

по 1 нужна лицензия на гос.тайну.
по 2 не нужна

В вашем случае в лицензии будет написано 2, без разрешения разработки собственно криптографических средств.
Offline Всеволод  
#3 Оставлено : 15 декабря 2008 г. 19:43:14(UTC)
Всеволод

Статус: Новичок

Группы: Участники
Зарегистрирован: 15.12.2008(UTC)
Сообщений: 2
Откуда: Санкт-Петербург

Спасибо. Действительно, все просто.

С уважением,
Кузьмич Всеволод
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.