Разбираемся с российской криптографической нормативкой… на примере ареста наркобарона

  • Tutorial

Мексиканский наркобарон Хоакин Гусман Лоэра (Эль Чапо)

Не так давно в СМИ промелькнула статья о том, что мексиканского наркобарона Эль Чапо арестовали из-за того, что его IT-шник слил криптоключи в ФБР, а те в свою очередь смогли расшифровать и прослушать его телефонные переговоры.

Давайте пофантазируем и представим, что наркобарон, IT-шник и все, все, все жили бы в России…

Представили? А теперь разберем, какими законами и как регулировалось бы применение криптозащиты в данном фантасмагорическом случае.

Об истории и главных действующих лицах поподробнее



© кадр из к/ф «Банды Нью-Йорка»

Наркобарон Эль Чапо нанял 21-летнего колумбийского IT-специалиста Кристиана Родригеса, чтобы тот создал для него систему зашифрованной мобильной связи, через которую можно было бы общаться с подельниками, не опасаясь прослушки со стороны спецслужб.

Родригес подобную систему создал и, судя по описанию, она представляла собой VoIP телефонию с шифрованием трафика. Клиенты системы устанавливались на мобильные телефоны бандитов, после чего тем «достаточно было набрать 3 добавочных цифры», чтобы разговаривать, не опасаясь прослушки.

После внедрения системы Родригес ее сопровождал, а также занимался другими IT-проектами (например, организовал прослушку жены Эль Чапо), повинуясь воле наркобарона.

Спустя некоторое время Родригеса завербовало ФБР и тот… по версии SecurityLab.ru слил ключи шифрования… или по версии New York Times «установил на зашифрованную сеть записывающее оборудование, которое отсылало в ФБР в полночь копии всех переговоров Эль Чапо».

В двух словах это все. Теперь перейдем к разбору законов.

Лицензирование



© скриншот из игры «Герои меча и магии»

Наша история начинается с того, что Эль Чапо нанял Родригеса на разработку системы защищенной связи.

С точки зрения пп. 1 п. 1 ст. 12 Федерального закона от 04.05.2011 N 99-ФЗ «О лицензировании отдельных видов деятельности» у Родригеса, для того чтобы реализовать контракт с Эль Чапо, должна быть лицензия «на криптографию».

Если у Родригеса подобной лицензии нет, и он вязлся за работу, то за это ему в соответствии со ст. 13.13 КоАП РФ грозит административная, а в соответствии ст. 171 УК РФ уголовная ответственность.

Лицензия «на криптографию» правильно называется — лицензией на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). Далее для простоты будем использовать неправильное, но более понятное и короткое название — лицензия «на криптографию».

В соответствии с Постановлением Правительства РФ от 21.11.2011 N 957 «Об организации лицензирования отдельных видов деятельности» выдачей лицензий «на криптографию» занимается ФСБ России.

Процедура получения лицензии и лицензионные требования к Родригесу описаны в Постановлении Правительства РФ от 16.04.2012 N 313 (ред. от 18.05.2017) «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».

При этом Родригесу мало «просто получить» лицензию, в ней должны быть перечислены соответствующие разрешенные виды деятельности, полный перечень которых приведен в Приложении к Постановлению Правительства РФ от 16.04.2012 N 313. В зависимости от состава разрешенных видов деятельности к Родригесу будут предъявляться различные лицензионные требования, начиная от ценза по образованию, заканчивая доступом к гостайне.

С учетом того Родригес занимался не только разработкой системы, но также ее внедрением и сопровождением, то навскидку в его лицензии должны присутствовать следующие виды деятельности (нумерация в соответствии с Постановлением Правительства РФ от 16.04.2012 N 313):
3. Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
4. Разработка средств изготовления ключевых документов.
5. Модернизация шифровальных (криптографических) средств.
6. Модернизация средств изготовления ключевых документов.
7. Производство (тиражирование) шифровальных (криптографических) средств.
9. Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
10. Производство средств изготовления ключевых документов.
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов.
16. Ремонт шифровальных (криптографических) средств.
18. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
19. Ремонт, сервисное обслуживание средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
21. Передача шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации.
23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем.
24. Передача средств изготовления ключевых документов.
Сразу отметим, что использование шифрования в собственных целях в России не лицензируется и соответственно никакой лицензии «на криптографию» Эль Чапо не требуется.

Далее будем считать, что лицензия «на криптографию» с соответствующими видами деятельности у Родригеса есть.

Разработка и производство



© Internet картинки

В соответствии с лицензионными требованиями, а именно пп. б п.6 Постановления Правительства РФ от 16.04.2012 N 313 Родригес в своей работе обязан руководствоваться выпущенными ФСБ России соответствующими нормативно-методическими документами, основным среди которых является Приказ ФСБ РФ от 09.02.2005 N 66 (ред. от 12.04.2010) «Об утверждении «Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (Зарегистрировано в Минюсте РФ 03.03.2005 N 6382)" (далее ПКЗ-2005).

В соответствии с этим документом процесс создания системы защищенной мобильной связи состоит из следующих этапов:

  1. Разработка.
  2. Производство.
  3. Распространие. Не смотря на то, что Родригес делал заказную/кастомную разработку, процесс ее передачи заказчику трактуется как распространение.

Все эти этапы подразумевают тесное сотрудничество с ФСБ России и согласование технических заданий и документации на выпускаемую систему.

Эксплуатация системы защищенной мобильной связи



© Internet картинки

Будем считать, что эксплуатация системы защищенной мобильной связи — это зона ответственности Эль Чапо. Родригес в этом участвует лишь в качестве тех. поддержки.

Из описания истории Эль Чапо мы помним, что система создавалась для защиты от прослушки со стороны правоохранительных органов. Данное основание слабо коррелируется с действующим законодательством, поэтому примем, что цель эксплуатации системы: «защита информации для личных и семейных нужд». При такой цели эксплуатации на Эль Чапо не накладывается никаких ограничений, и он может делать с системой все, что хочет, и как хочет.

Для нашей статьи это слишком просто и не интересно.

По материалам расследования установлено, что в телефонных разговорах Эль Чапо давал команды на дачу взяток и подкуп чиновников и скорее всего называл их имена, фамилии и другую личную информацию, то есть персональные данные (далее — ПДн).

Давайте представим, что Эль Чапо, прочитав Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», понял, что является оператором ПДн, и что на самом деле использует ПДн не для личных нужд, а в предпринимательской деятельности, и что по закону обязан их защищать.

Криптографическая защита персональных данных



© Internet картинки

Поскольку во время телефонных переговоров ПДн передаются в открытом виде через сеть связи общего пользования, Эль Чапо подумал и решил, что велик риск перехвата ПДн злоумышленниками, и, следовательно, информацию нужно шифровать.

Для криптографической защиты персональных данных, в соответствии с

Эль Чапо должен построить модель нарушителя, на основании которой определить требуемый класс средства криптографической защиты. Поскольку Эль Чапо опасается спец.служб, то ему нужно средство защиты максимального класса — КА.

Эль Чапо открыл перечень сертифицированных ФСБ России криптосредств и, не найдя ничего подходящего, обратился к Родригесу. Тут наша история, как и многие проекты в ИБ, делает петлю, и мы вновь возвращаемся к этапу разработки. Не вдаваясь в подробности, будем считать, что Родригес подобное криптосредство сделал и сертифицировал в ФСБ на соответствующий класс.

Поскольку Эль Чапо защищает персональные данные, то требования ПКЗ-2005 являются для него обязательными к исполнению. Ничего сверхъестественного в этих требованиях нет, и фактически они лишь заставляют Эль Чапо соблюдать требования технической документации на систему, которые Родригес подготовил и согласовал с ФСБ России.

Кроме указанных выше документов, Эль Чапо обязан руководствоваться «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом ФАПСИ от 13 июня 2001 года N 152 (в простонародье — ФАПСИ 152).

По данному документу Эль Чапо необходимо будет выстроить внутренние процессы, связанные с эксплуатацией криптосредств, среди которых можно выделить:
  • организацию обучения и допуска бандитов к использованию оборудования защищенной мобильной связи (по науке — допуск пользователей к самостоятельному использованию криптосредств);
  • поэкземплярный учет программных клиентов системы и криптоключей;
  • организацию режимных помещений, в которых будет проводиться техническое обслуживание телефонов и формирование криптоключей;
  • и др.

Вывоз защищенных мобильных телефонов за границу



© Internet картинки

Поскольку Эль Чапо вел «международный бизнес», защита связи при общении с иностранными «партнерами» была бы для него не менее актуальна, чем защита переговоров внутри страны. Для этого, как ни крути, ему потребовалось бы передать иностранцам либо софт для своей системы мобильной связи, либо телефон с уже установленными и настроенными программными клиентами.

И то, и другое по российскому законодательству трактуется как вывоз шифровальных (криптографических) средств за границу и, в соответствии с Положением о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (Приложение N 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30), ограничивается (за исключением использования для личных нужд, но это не наш случай).

Перед прохождением таможни Эль Чапо должен был бы получить разрешение на вывоз, которые бывают двух видов:
  1. Нотификация
  2. Лицензирование

Нотификация — упрощенная форма разрешений на ввоз/вывоз — применяется для «ослабленной» или «бытовой» криптографии. Перечень средств, подпадающих под нотификацию, определен в Приложении N 4 к Положению о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (Приложение N 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30)

Поскольку система защищенной мобильной связи Эль Чапо имеет класс криптографической защиты КА, то нотификацией он не обойдется, и ему придется получать лицензию на вывоз. Для этого он должен будет пройти квест, задание на который описано в Решении Коллегии Евразийской экономической комиссии от 06.11.2014 N 199 (ред. от 19.04.2016) «Об Инструкции об оформлении заявления на выдачу лицензии на экспорт и (или) импорт отдельных видов товаров и об оформлении такой лицензии и Инструкции об оформлении разрешения на экспорт и (или) импорт отдельных видов товаров», и далеко не факт, что он сможет это сделать…

Заключение


Надеюсь, что на данном фантасмагоричном примере вы смогли получить общие представления об основных направлениях регулирования криптографии в Российской Федерации. Для дальнейшего развития рекомендую ознакомиться с перечнем основных законодательных и нормативно-правовых актов, регулирующих ИБ в России.

Disclimer. Автор, как и все прогрессивное человечество, решительно осуждает незаконную торговлю наркотиками и другую преступную деятельность. Солнце, воздух и вода — наши лучшие друзья.
Поделиться публикацией

Комментарии 55

    +11
    Вся статья рассказывает насколько проще вести малый и средний бизнес в Мексике.
    Можно добавить что наркобарон в нашей стране должен бы был зарегистрировать юридическое лицо и платить налоги и различные отчисления за то что нанял Родригеса на работу.
    И как вишенка на торте — в России наркобарон не смог бы продавать наркотики, потому что это подпадает под 228 статью УК.
    +2
    Автор, как и все прогрессивное человечество, решительно осуждает незаконную торговлю наркотиками и другую преступную деятельность.

    Полностью поддерживаю! С другой стороны, не ясно, что более пагубно отражается на населении — наркоторговля или бесконтрольное штампование запретов и поборов с бизнеса, сертификации, регулирование, тысячи их…
      –1
      а так же правила ТБ! ну какие дебилы их придумывают, нормальный человек и так знает, что пальцы в розетку не нужно совать!
        +1
        Если это попытка гиперболизировать, то не особенно удачная, как по мне… аналогия понятна, но как обычно неверна.
          +2
          никакой гиперболы тут нет. ТБ — суть те же правила-ограничения.
          «как обычно неверна» — это самый мощный аргумент, безусловно.
            +1
            Поддержу. ky0 решил передернуть и противопоставить наркоту с регулированием.
            Нормальным людям должно быть совершенно ясно, что ни сравнивать ни противопоставлять эти вещи нельзя.
              0
              Ну почему же нельзя? Я высказал мнение, что регулирование чего-либо в корыстных целях, приводящее к ухудшению экономического климата в стране вреднее сабжа статьи. Разумеется, это субьективное мнение, не подкреплённое никакими цифрами, но почему оно не имеет права на жизнь?
                0
                Я не говорил что мнение не имеет права на жизнь. Я говорил что нельзя сравнивать. как нельзя сравнивать теплое и мягкое. белое и пушистое. зеленое и жидкое.
              0
              Аргументом в данном случае является ваша аналогия и вы отлично проиллюстрировали, как мало она для этого подходит, поскольку:
              1) ТБ действительно является видом ограничений.
              2) Я в первом комментарии выступал не против ограничении вообще, а только лишь искуственно насаждаемых, причём не для пользы субьекта (как это происходит в случае с ТБ), а для пользы третьих лиц.
                0
                ТБ — искусственно насаждаемые ограничения для пользы всех лиц так или иначе участвующих в процессе: один бросил провод под напряжением на пол — пострадало много человек.
                ограничения по шифрованию позволяют государству (наделенному монополией на определеннные виды деятельности, например на насилие) лучше/дешевле выполнять свои функции по защите граждан-субьектов.
                  0
                  Если они используются для защиты граждан — вы безусловно правы.
                    0
                    Граждане очень по разному могут понимать свою защиту. Всегда ищется определенная точка равновесия между защитой и правами. Всегда у любой найденной точки будут противники.
                    0
                    Дело в том, что ограничения ТБ, применяемые неграмотными специалистами (по принципу кабы чего не вышло), имеют отрицательную полезность. Поскольку создают неудобств больше, чем предотвращают возможных проблем.

                    Что касается ограничений на шифрование, то лично мне не вполне понятно, к чему это приводит, к увеличению защищенности (поскольку полиции легче раскрывать преступления), или к снижению защищенности, поскольку доступность моей переписки правоохранительным органам увеличивает риски злоупотреблений со стороны сотрудников этих органов.

                    Все оправдывается борьбой с терроризмом, хотя от террактов страдает максимум несколько десятков человек в год, да и каналы секретного общения террористы всегда найдут при необходимости.
                      0
                      эту логику можно применить к полиции в целом. иногда полицейские превышают/нарушают. и как будто бы неочевидно, что лучше. однако _нигде_ от полицейских не отказываются, вместо этого пытаются улучшить нормативную базу, надзор и проч. и это, по моему собственному опыту, дает хороший выхлоп. последние несколько лет я ни разу не нарывался на невежливых гайцов, тем более не сталкивался с вымогательством. еще в 2000-х — сталкивался и неоднократно.

                      про «максимум несколько десятков человек» тоже странная логика. вот на входе в аэропорт и самолет все проходят шмон. почти ни у кого ничего не находят. значит можно не шмонать? сколько там террактов на самолетах происходит?…
                        +1
                        иногда полицейские превышают/нарушают. и как будто бы неочевидно, что лучше. однако _нигде_ от полицейских не отказываются


                        Тут вопрос-то вполне конкретный — соотношение вреда. Вред от злоупотреблений полиции, на мой взгляд, заметно меньше вреда от преступников — не полицейских, особенно в отсутствие полиции. А с криптографией это совершенно не очевидно.

                        Фактический запрет криптографической защиты коммуникаций обычных граждан — это всего лишь путь к тотальному контролю всех каналов общения всего населения страны поголовно, а не только по решению суда, как написано в Конституции.

                        На счет гаишников согласен. За последние годы у гаишников вымогательства стало значительно меньше.

                        на входе в аэропорт и самолет все проходят шмон. почти ни у кого ничего не находят. значит можно не шмонать? сколько там террактов на самолетах происходит?


                        Может потому и не происходит большого количества террактов, что в какой-то момент стали шмонать на входе в самолет. С другой стороны, я видел и полный идиотизм: вскоре после 9/11 летел через Хитроу и там в ресторанчике в транзитной зоне на каждом столе стояла записка: «мы боремся с терроризмом, поэтому все столовые приборы — пластиковые». Много известно случаев терроризма с использованием вилок из ресторана?

                        Шмон на входе в аэропорт, кстати, процедура довольно сомнительной эффективности.

                        Ну и последнее. Сейчас можно без проблем «пробить по базам» любого человека. Вон, журналисты без особого труда добыли базы загранпаспортов, регистрации автомобилей и вычислили всех Петровых с Бошировыми оптом. И в такой ситуации полной продажности сотрудников органов все обязаны «сдать ключи на хранение» и ждать «улучшения нормативной базы»? Вы смеетесь? Это же просто гарантирует, что любой, кто интересен хоть кому-то, мгновенно окажется под полным контролем и совсем не со стороны государства. Мне кажется, что сначала государство должно доказать, что оно умеет надежно защищать данные граждан и никогда не использует их не по назначению и только потом граждане не будут возражать против того, чтобы доверить государству ключи от своих переписок.
          +10
          За уши притянуто.
          Наркобарон нанял Родригеса на работу и с этого момента он является частью юрлица (наемным работником). Система создавалась для «собственных нужд юрлица» = никакие лицензии не нужны!
            –1
            Там сложнее. Родригес изначально был «стартапом» и по Нью-Йорк Таймсу он заключил пожизненный контракт именно как «стартап», то есть были не трудовые отношения, а хоз. договор между юр. лицами.
              0
              Тут еще вопрос есть ли вообще у «наркобарона» юрлицо, и если есть — под каким кодом ВЭД это юрлицо наркоту свою «пушит», и связаны ли они с Родригесом какими то договорами кроме устных…
                –1
                Судя по тому, что в деле Эль Чапо были прецеденты дачи взятки в сотни миллионов долларов, то он даже не ИП или ООО, ему надо акционерным обществом становиться.

                С ВЭД действительно вопрос, а вот договор наверно был подписан кровью (Родригеса).
                0
                То есть прямо реальный бумажный контракт между Нью-Йоркским стартапом и наркокартелем?
                  0
                  Что вас смущает? Наркокартели обычно имеют под контролем вполне легальные структуры, и хотя де-факто «все всё знают», де-юре там не докопаться, а вот для подрядчиков это вполне себе сравнительно безопасный способ получить с картельного пирога, при этом не прячась в джунглях.
                    0
                    Ну это не интересно.

                    Кстати, а если гражданина завербовали спецслужбы, клиент может подать иск о нарушении условий договора?
                      0
                      Как правило, не может, если действия служб были санкционированы и они действовали в рамках закона. Но бывают и (не)приятные исключения, в зависимости от массы переменных.

                      Впрочем, гражданину в таком случае стоит беспокоиться вовсе не об иске…
                        0
                        Ну это, скорее, шутка была. Кроме того, в договоре всегда есть пункт про форсмажор, где один из вариантов стихийного бедствия — вмешательство государства.

                        Хотя, если кто-то сдал ключи, а спецслужбы ничего интересного не наслушали и претензий не предъявили, то сдавший ключи может оказаться в весьма неприятном положении.
                    0

                    Каким наркобароном? Заказчиком выступала сеть прачечных эконом-класса «Свежесть».

                      0
                      А ООО «Свежесть» являлось резидентом Колумбии или США?
                        0
                        Думаю, была резидентом Колумбии. А это важно?
                          0
                          Да. Экспорт стойкой криптографии запрещен как в РФ, так и в США. Т.е. господина Родригиса ждала бы (по сути) одна и та же статья, что в США, что в РФ (с известной долей разницы, но суть одна и та же).
                0
                Скорее, сказ о том, что даже наркобаронам надо помнить, что ITшников обижать не стоит :)
                  0
                  Скажи это Анонимусам!
                  На Хабре писали о том, что наркобороны занялись их деаноном. habr.com/ru/post/131764
                    0
                    Обижали Родригеса или нет точно не известно… но как обычно во всем виноваты русские.

                    ФБР-ровцы при вербовки Родригеса представились русскими мафиозями, которые хотят такую же крутую систему шифрования, как у Эль Чапо. После чего Родригес понял, что попал в «высшую лигу»… и тут хлоп незадача, это были не русские, а американцы и которые к тому же пригрозили наябедничать Эль Чапо.

                    Короче говоря, обычная вербовка и оперативная игра.
                      0
                      как бы ITшник сам потом не раскаялся.
                      0
                      А если некая компания хочет разработать и использовать криптографию для защиты передаваемых данных внутри собственного продукта?
                        +1
                        Если некая компания сама будет пользоваться своим продуктом, то она делает что хочет.

                        Если же компания надеется продавать свой продукт другим, то это пограничная ситуация.

                        Если функция шифрования является основной (например, разработка защищенного мессенджера) — то лицензирование обязательно. Если же, где-то там внутри программы в зашифрованном виде передается технологическая информация (например, пароли гуляют), то нет.
                          0
                          Продукт для продажи, но функционал внутренний. Скажем защищенные обновления, подпись модулей, передача данных между модулями

                          Интересует точка зрения закона конечно. С практикой-то понятно
                            0
                            Сейчас без криптографии не обходится ни один продукт. Если вы пользуетесь стандартными криптоблиотеками (например, openssl) и выполняете сугубо технологические операции, то вам не нужна лицензия.

                            А вообще, оптимально обратится в ЦЛСЗ ФСБ России и проконсультироваться по интересующей вас проблеме.
                              0
                              У нас тоже используется. Просто криптография не моя область, для интереса хотел уточнить
                              Спасибо!
                                0
                                Если вы пользуетесь стандартными криптоблиотеками (например, openssl)


                                А если эти библиотеки не стандартные, а самописные какие-нибудь?

                                Вообще, мне кажется, что классификация продукта будет зависеть исключительно от того, что захочется ФСБ. И если кому-то будет надо, то и антивирус, которые подписывает свои базы, «правильные» ФСБ-шные эксперты признают криптографическим средством.
                                  0
                                  А если эти библиотеки не стандартные, а самописные какие-нибудь?

                                  Если самописные то, это ближе к понятию разработка СКЗИ и соответственно лицензионному виду деятельности.

                                  ....«правильные» ФСБ-шные эксперты…

                                  Сейчас у регуляторов сменилось поколение, и во многом они стали ближе к народу. Это можно увидеть, хотя бы на конференции ТБ Форум, где первые лица ФСТЭКа напрямую общались с аудиторией и рассказывали о своих планах. По линии ФСБ таких мероприятий меньше, но и на них можно увидеть, что от жесткого нормативного регулирования идет движение к учету интересов сообщества и деловых кругов (хотя и не так быстро как хотелось бы).

                                  Считать всех работников регуляторов узколобыми коррупционерами — ошибка.
                                    +1
                                    По линии ФСБ таких мероприятий меньше, но и на них можно увидеть, что от жесткого нормативного регулирования идет движение к учету интересов сообщества и деловых кругов (хотя и не так быстро как хотелось бы).


                                    Это, безусловно хорошо. Но по-моему, тут нужна кардинальная смена парадигмы. Первичны интересы граждан, сообщества и деловых кругов. Удобство госслужащих — вторично. Государство и ФСБ существует не для себя, а для общества и «движение к учету интересов» это, безусловно, замечательно, но далеко не достаточно.

                                    Сейчас в РФ государственное регулирование в области IT очень слабо учитывает интересы общества, хотя должно из этих интересов исходить. Поэтому, на мой взгляд, единственный правильный путь — заставить государство регулировать IT так, чтобы это было в интересах именно общества.

                                    Считать всех работников регуляторов узколобыми коррупционерами — ошибка.


                                    Что они тогда делают, работая на этих регуляторов? Если человек не узколобый, он заработает во много раз больше и будет заниматься гораздо более интересным и полезным для общества делом, работая в коммерческой структуре, развивая экономику страны и ее технологическую мощь.

                                  0
                                  Если вы пользуетесь стандартными криптоблиотеками (например, openssl)...

                                  А кто определяет «стандартность» библиотек? OpenSSL — это всего лишь одна их многих библиотек, и пусть она ужасно популярна, но все же далеко не единственная.
                                    0

                                    Да, openssl с поддержкой ГОСТ-ов одна из многих. А еще есть замечательная библиотека libgcrypt с полной поддержкой российской криптографии.

                                0
                                Вот, например, реальный продукт — online.sberbank.ru/CSAFront/index.do
                                Нужна для него лицензия ФСБ?)
                                  0
                                  По этой ссылке ничего не открывается, поскольку требуется вход и переходы возможны только внутри открытой сессии.

                                  Но подозреваю, что речь идет о сбербанковском мессенджере, или о самом сбербанк-онлайне. Не думаю, что сбербанк будет гарантировать принципиальную недоступность сообщений никому, кроме участников общения. В любом случае, сохранение истории после переустановки приложения говорит о хранении сообщений на сервере. Значит сообщения каким-то образом хранятся на серверах и доступны сберу, а значит и ФСБ. Кроме того, поскольку СБ-онлайн привязывается в конкретному клиенту, это, фактически, означает идентификацию даже не по номеру телефона, который в теории может быть «левым», а прямо по паспорту.

                                  Иными словами, общение в мессенджере от сбера — мечта ФСБ: все сообщения доступны с их историей за неограниченное время, а все пользователи были идентифицированы с предъявлением паспорта.

                                  Лицензия нужна на разработку и, думаю, сбербанк ее получить вполне в состоянии, особенно, учитывая приведенное выше. Тут уже степень защиты сообщений при пересылке никакой роли не играет.
                                    0
                                    Все банки лицензиаты ФСБ России по криптографии. Сбер не исключение.
                                      0
                                      А зачем всем банкам лицензия на криптографию?
                                      Я могу понять, если банк создает целый отдел, занимающийся ИБ, и лицензирует его в том числе на криптографию, чтобы не привлекать сторонние организации для соответствующих работ. Но это удовольствие не из дешевых и я не думаю, что многие могут себе это позволить.
                                        0
                                        Банки получают лицензию как правило для:
                                        1. обеспечения законности работы систем ДБО для ЮЛ (передача криптоключей и сертифицированных СКЗИ клиентам — лицензируемая деятельность).
                                        2. обеспечения возможности покупки Cisco с полной криптографией (вендоры перед продажей запрашивают инфу о лицензии и на ее основании пишут ходатайство в ФСБ о возможности продажи).
                                0

                                Дочитал до середины, дальше не смог… Как-то всё сферично-вакуумно, как будто все будут соблюдать законы и отчитываться перед различного рода ведомствами…

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое