Отдельные вопросы оценки влияния среды функционирования / Comments / Habr

О чем именно тут речь? Убедиться, что мое приложение действительно вызывает функции сертифицированного СКЗИ вместо функций, например, openssl? Или убедиться в том, что такие вызовы нельзя перехватить и даже подменить, например, используя eBPF или gdb?

и то, и другое

Например, я разработчик утилиты, которая шифрует файл используя библиотеку openssl. В какой момент у меня наступает обязанность получить лицензию - когда я открыл текстовый редактор, или перед тем, как я первый раз назвал получившийся результат "СКЗИ"? И наступает ли вообще обязанность получения лицензии, если сертификация СКЗИ не планируется?

Определение шифровальных (криптографических) средств приведено в пункте 2 «Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденному постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313. Если вы разрабатываете что-то, подпадающее под указанное определение, вам необходимо получать соответствующую лицензию. Лицензию необходимо получать ДО начала осуществления лицензируемого вида деятельности. В противном случае вы можете быть привлечены к административной ответственности по статье 13.13 Кодекса Российской Федерации об административных правонарушениях. Отсутствие планов по сертификации СКЗИ после его разработки никак не влияет на необходимость получения лицензии.

Comments 2

trublast Jan 17 at 04:59

Где гарантия того, что используемые функции сертифицированного СКЗИ вызываются правильно и вызовы не подменяются

Оформлять соответствующую лицензию нужно перед тем, как приступать к созданию нового СКЗИ

Тут какая-то тонкая и непонятная мне грань, не могли бы пояснить?