Лицензирование при работе с ЭЦП

Question

[Родион Баскаков]

Не могу найти нигде ответа на следующий вопрос.
Предположим, я разрабатываю для некоего заказчика веб-проект. И этот заказчик хочет, чтобы сотрудники, публикующие материалы, подписывали бы их с помощью ЭЦП. Нужно ли мне для реализации данной задачи (внедрение механизмов электронной подписи в админку) получать какие-либо лицензии на работу с ЭЦП?
Например, есть Постановление Правительства РФ №313, в названии которого есть слова
"ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАЗРАБОТКЕ, ПРОИЗВОДСТВУ … ИНФОРМАЦИОННЫХ СИСТЕМ И ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ, ЗАЩИЩЕННЫХ С ИСПОЛЬЗОВАНИЕМ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ …", в котором указано, помимо прочего, вот такое:
— — — — — — — — — — — — — — — — — — — — — — — — — — —
2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:
а) …;
б) средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;
в) средства электронной подписи;
— — — — — — — — — — — — — — — — — — — — — — — — — — —

Означает ли это, что я, как разработчик, должен получить соответствующую лицензию в ФСБ (ФСО?) на реализацию данной задачи?

Answer 1

[Сергей Величко]

Если заказчику требуется, что бы ЭЦП была юридически значимая, то нужно использовать "православные алгоритм и СКЗИ", в этом случае, если вы будите использовать "навесные" СКЗИ имеющие лицензию (Криптопро, Верба и т.п.), то лично вам ни чего не нужно лицензировать (дорогое удовольствие). Но если вы будите реализовывать СКЗИ или использовать не лицензированные, тогда нужно лицензироваться.
Если заказчику не нужно использовать юридически значимую ЭЦП, тогда ни чего не нужно, можете использовать всё что угодно, если ваша информационная система не попадает под ИСПДн.
Более того, если не ошибаюсь, то заказчик имеет право организовать свою инфраструктуру PKI и внутренними документами обозначить юридическую значимость, но это будет работать только между участниками, которые "договорились" о значимости таких ЭЦП. Но это опять, только, если вы не поподаете под ИСПДн и возможно некоторые другие системы.

Comments

[Родион Баскаков]

Ок, спасибо. Так всё встало на свои места.

Answer 2

[s0ci0pat]

Если вы будите выпускать свои ЭЦП - лицензия нужна. Если вы будите использовать готовый лицензированный продукт для аутентификации пользователя лицензия НЕ нужна.

Comments

[Родион Баскаков]

А можете привести ссылки на какие-то нормативные документы, которые это регламентируют? Материала в поисковиках конкретно по этому вопросу удалось найти совсем немного, и там приводятся разные точки зрения (в том числе и предложенная Вами): кто-то говорит "нужна лицензия", кто-то — "не нужна". При этом всё без отсылок на документы, а "по наитию". Вот я ссылаюсь на конкретное постановление, исходя из которого, вроде как следует, что лицензия нужна. Но может я его как-то неправильно трактую?

[s0ci0pat]

Ссылку вы привели сами) Смотрите пункт 3

Answer 3

[Андрей]

Да, налицо деятельность (получение прибыли), связанная с криптографией. (Если бы Вы разрабатывали ПО находясь в штате заказчика - другой вопрос).

Это попадает под ПП-313 в отдельных статьях и у ФСБ будут соответствующие требования к Вашим разработчикам и к самой организации. Плюс это попадает под ПКЗ-2005 - также рекомендую внимательно прочесть.

Сейчас разработка криптографии весьма строго контролируется ФСБ.
(P.S. ФСО никакого отношения к этому контролю в Вашем случае не имеет)

Comments

[Родион Баскаков]

Ну вот комментатор выше говорит, что лицензия не нужна. И то же самое по разным форумам: кто-то говорит "нужно", кто-то — "нет". Где ж правда-то? :(

[Андрей]

Если Вы будете использовать готовый сертифицированный (продукт не может быть лицензированным) продукт для собственных нужд - лицензия не нужна. Если Вы создаете продукт с криптографией на продажу, то свяжитесь и обсудите ситуацию с ФСБ.

Answer 4

[fdsc]

Вообще-то, это большой вопрос, почему лицензия не нужна. Лицензия нужна на любую деятельность в сфере криптографии, в том числе на криптографическую защиту информации.
Шифруя что-либо, в том числе сторонними средствами, вы подпадаете под соответствующий вид деятельности.

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 16 апреля 2012 г. N 313

base.consultant.ru/cons/cgi/online.cgi?req=doc;bas...

3. Настоящее Положение не распространяется на деятельность с использованием:
в) товаров, содержащих шифровальные (криптографические) средства, имеющих либо функцию аутентификации, включающей в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа, либо имеющих электронную подпись;
г) шифровальных (криптографических) средств, являющихся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной;

Как видно, пункт в) написан, как всегда в стиле "через забор ногу задерищенко". Таким образом, если речь идёт только об электронной подписи, то можно прочитать "Настоящее Положение не распространяется на деятельность с использованием товаров, имеющих электронную подпись"
Аналогично, пункт г) довольно странно звучит. Т.е., по хорошему, видимо, не нужна, но что будет, если реально захотят привлечь и суд будет толковать эти пункты по своему. Ой....

Если закрыть глаза на странную формулировку этих пунктов, тогда можно сказать, что, действительно, лицензия не нужна.

Answer 5

[fdsc]

Кроме этого, вы подпадаете под пункты 7 и 8 этого поставноления, если сами производите информационную систему.
7. Производство (тиражирование) шифровальных (криптографических) средств.
8. Производство защищенных с использованием шифровальных (криптографических) средств информационных систем.

Поэтому если всё строго, то нужно получать лицензию. Обратите внимание, что не менее 2-х человек, имеющих опыт.

Реально, мы, например, разрабатывали без лицензии. Если нигде не оформлять, что эта система криптографически защищена и ЭЦП ставится не для того, чтобы её использовать в суде, то ФСБ о вашей системе и вас не узнает и, соответственно, не привлечёт.

Comments

[fdsc]

P.S. Чтобы обойти ограничение на лицензирование, ещё делают так называемые "подключаемые модули", которые заказчик сам подключает. То есть ваша система, формально, не использует ЭЦП, а заказчик, затем, может подключить "модуль" в виде сертифицированного приложения самостоятельно.

[Родион Баскаков]

Ясности больше не стало. :) Выше Вы приводите 3-й пункт Положения, который начинается со слов "Настоящее Положение не распространяется на деятельность с использованием", в то время как один из предыдущих комментаторов как раз указывал, что согласно именно этому пункту лицензирование не нужно.

[fdsc]

На самом деле, у нас практически идентичные точки зрения. Если вы используете товар, то - не нужно. Но если вы этот товар производите или тиражируете, то - нужно.
Чтобы этого избежать не плюя на закон совсем, делается "модуль", которые заказчик сам может подключить. Получается, вы разрабатываете отдельную систему без защиты, а "модуль" уже является тем самым товаром.

Но, на самом деле, главное, чтоб сам заказчик понимал, нужны ему лицензии или нет, для чего ему ЭЦП. Просто так вряд ли кто будет его привлекать, если он для себя ЭЦП использует.

Answer 6

[Сергей Величко]

В нашей стране без лицензии можно разве только семочками торговать, и то кучу разрешений нужно будет собрать. Поэтому, если вы разрабатываете не ИСПДн, не систему для обработки информации составляющую гос. тайну, то используйте всё что угодно. Если вникнуть в эти подзаконные акты, то самым злостным нарушителем является сайт госуслуг.