Задать вопрос

Лицензирование при работе с ЭЦП

Не могу найти нигде ответа на следующий вопрос.
Предположим, я разрабатываю для некоего заказчика веб-проект. И этот заказчик хочет, чтобы сотрудники, публикующие материалы, подписывали бы их с помощью ЭЦП. Нужно ли мне для реализации данной задачи (внедрение механизмов электронной подписи в админку) получать какие-либо лицензии на работу с ЭЦП?
Например, есть Постановление Правительства РФ №313, в названии которого есть слова
"ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАЗРАБОТКЕ, ПРОИЗВОДСТВУ … ИНФОРМАЦИОННЫХ СИСТЕМ И ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ, ЗАЩИЩЕННЫХ С ИСПОЛЬЗОВАНИЕМ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ …", в котором указано, помимо прочего, вот такое:
— — — — — — — — — — — — — — — — — — — — — — — — — — —
2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:
а) …;
б) средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;
в) средства электронной подписи;

— — — — — — — — — — — — — — — — — — — — — — — — — — —

Означает ли это, что я, как разработчик, должен получить соответствующую лицензию в ФСБ (ФСО?) на реализацию данной задачи?
  • Вопрос задан
  • 6787 просмотров
Подписаться 3 Оценить Комментировать
Решения вопроса 1
Если заказчику требуется, что бы ЭЦП была юридически значимая, то нужно использовать "православные алгоритм и СКЗИ", в этом случае, если вы будите использовать "навесные" СКЗИ имеющие лицензию (Криптопро, Верба и т.п.), то лично вам ни чего не нужно лицензировать (дорогое удовольствие). Но если вы будите реализовывать СКЗИ или использовать не лицензированные, тогда нужно лицензироваться.
Если заказчику не нужно использовать юридически значимую ЭЦП, тогда ни чего не нужно, можете использовать всё что угодно, если ваша информационная система не попадает под ИСПДн.
Более того, если не ошибаюсь, то заказчик имеет право организовать свою инфраструктуру PKI и внутренними документами обозначить юридическую значимость, но это будет работать только между участниками, которые "договорились" о значимости таких ЭЦП. Но это опять, только, если вы не поподаете под ИСПДн и возможно некоторые другие системы.
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
s0ci0pat
@s0ci0pat
I'm Awesome
Если вы будите выпускать свои ЭЦП - лицензия нужна. Если вы будите использовать готовый лицензированный продукт для аутентификации пользователя лицензия НЕ нужна.
Ответ написан
Да, налицо деятельность (получение прибыли), связанная с криптографией. (Если бы Вы разрабатывали ПО находясь в штате заказчика - другой вопрос).

Это попадает под ПП-313 в отдельных статьях и у ФСБ будут соответствующие требования к Вашим разработчикам и к самой организации. Плюс это попадает под ПКЗ-2005 - также рекомендую внимательно прочесть.

Сейчас разработка криптографии весьма строго контролируется ФСБ.
(P.S. ФСО никакого отношения к этому контролю в Вашем случае не имеет)
Ответ написан
@fdsc
Вообще-то, это большой вопрос, почему лицензия не нужна. Лицензия нужна на любую деятельность в сфере криптографии, в том числе на криптографическую защиту информации.
Шифруя что-либо, в том числе сторонними средствами, вы подпадаете под соответствующий вид деятельности.

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 16 апреля 2012 г. N 313

base.consultant.ru/cons/cgi/online.cgi?req=doc;bas...

3. Настоящее Положение не распространяется на деятельность с использованием:
в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;

Как видно, пункт в) написан, как всегда в стиле "через забор ногу задерищенко". Таким образом, если речь идёт только об электронной подписи, то можно прочитать "Настоящее Положение не распространяется на деятельность с использованием товаров, имеющих электронную подпись"
Аналогично, пункт г) довольно странно звучит. Т.е., по хорошему, видимо, не нужна, но что будет, если реально захотят привлечь и суд будет толковать эти пункты по своему. Ой....

Если закрыть глаза на странную формулировку этих пунктов, тогда можно сказать, что, действительно, лицензия не нужна.
Ответ написан
Комментировать
@fdsc
Кроме этого, вы подпадаете под пункты 7 и 8 этого поставноления, если сами производите информационную систему.
7. Производство (тиражирование) шифровальных (криптографических) средств.
8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.

Поэтому если всё строго, то нужно получать лицензию. Обратите внимание, что не менее 2-х человек, имеющих опыт.

Реально, мы, например, разрабатывали без лицензии. Если нигде не оформлять, что эта система криптографически защищена и ЭЦП ставится не для того, чтобы её использовать в суде, то ФСБ о вашей системе и вас не узнает и, соответственно, не привлечёт.
Ответ написан
В нашей стране без лицензии можно разве только семочками торговать, и то кучу разрешений нужно будет собрать. Поэтому, если вы разрабатываете не ИСПДн, не систему для обработки информации составляющую гос. тайну, то используйте всё что угодно. Если вникнуть в эти подзаконные акты, то самым злостным нарушителем является сайт госуслуг.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы