Сообщений в теме: 12

[eurisco]

Здравствуйте!

У меня вопрос о применении Указа Президента № 334 от 3 апреля 1995 г. "О МЕРАХ ПО СОБЛЮДЕНИЮ ЗАКОННОСТИ В ОБЛАСТИ РАЗРАБОТКИ, ПРОИЗВОДСТВА, РЕАЛИЗАЦИИ И ЭКСПЛУАТАЦИИ ШИФРОВАЛЬНЫХ СРЕДСТВ, А ТАКЖЕ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ".

В нем сказано, что нельзя использовать криптографические средства без лицензии:

Ст. 4. "В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".

Противоречит ли Законодательству РФ использование коммерческой организацией без лицензии ФАПСИ средств защиты информации, встроенных в операционные системы Windows XP/Vista/2003, такие как:
1. Шифрованная файловая система EFS для защиты файлов на диске;
2. Использование шифрования MPPE или IPSec, ESP 3DES при организации защищенных VPN туннелей для передачи информации между филиалами организации;
3. Использование сертификатов и SSL для доступа на отдельные web-страницы сайта компании, предназначенные для внутреннего использования сотрудниками?

Организация использует лицензионные Windows XP на клиентских ПК и Windows Server 2003 на сервере.

Сообщение отредактировал eurisco: 17 January 2009 - 20:03

[lxv]

Постановление Правительства 957:
2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации) относятся:
а) средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении.

вопрос: как вы полагаете, является ли ДРМ как техническое средство защиты авторских прав криптографическим средством.
и, в развитие вопроса: а) является ли объект интел.прав информацией; б) что такое криптография и является ли технология ДРМ (не водяные знаки) ею (в пост.правительства номер не помню есть некое определение, что это механизм преобразования информации посредством шифра).

буду признательна за мнения.

[pvphome]

оттуда же: http://www.garant.ru...109485.htm?mail

“Настоящее  Положение  не  распространяется  на      деятельность по распространению:
…

б) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений  посредством  розничной  торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных  операционных  систем,  криптографические возможности которых  не  могут  быть  изменены  пользователями,  которые разработаны для установки пользователем  самостоятельно  без  дальнейшей существенной поддержки поставщиком и техническая документация  (описание алгоритмов криптографических преобразований,  протоколы  взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том  числе для проверки;"

Так что винду лицензировать не надо. Как и дрм.

[pavelser]

pvphome

[lxv]

pvphome
мне технари говорят, что это не так. мы под этот подпункт не подпадаем.

Добавлено немного позже:
а вы считаете, что дрм - это криптография?

Добавлено немного позже:
и я с ними согласна, кстати. с технарями. не успеваю, позже напишу. извините.

[lxv]

pvphome pavelser

шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений  посредством  розничной  торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных  операционных  систем,  криптографические возможности которых  не  могут  быть  изменены  пользователями

вы это как читаете? вы полагаете, что дрм фильма, трека, книги является элементом операционной системы? если да, поясните технику, пожалуйста.
спасибо.

[lxv]

забыла, блин, добавить: я не майкрософтовский дрм имею в виду. у них есть привязка к операционной системе, насколько я понимаю. (это я просто тему схожую подняла)

[lxv]

никому не интересно или вопрос тупой? поиск не выдает ничего интересного на эту тему. мне, во всяком случае
скажите, как думаете? спасибо.

[login123]

pvphome

[pavelser]

lxv
ну тогда более подробно, что и как....

[lxv]

о, спасибо. сегодня немного позже опишу.

[Мика_2]

нагуглено в "Гаранте"

Криптография: гражданско-правовые аспекты
Автор
Д.В. Огородов - к.ю.н., член Экспертного совета Комитета Государственной Думы РФ по безопасности
Практический журнал для руководителей и юристов "Законодательство", 2006, N 9

цитата :


В-седьмых, средства шифрования или ЭЦП не только обеспечивают реализацию субъективных гражданских прав и исполнение обязанностей, но и сами могут выступать объектом гражданских прав. Используемые в деловой практике средства гражданской криптографии представляют собой аппаратные средства или программное обеспечение, реализующие различные криптографические алгоритмы и протоколы.

Соответственно, СКЗИ могут быть квалифицированы:
как охраняемое авторским правом программное обеспечение: программы для ЭВМ и базы данных (на практике, большинство СКЗИ представлено программным обеспечением).*(19) Кроме того, исходный текст ("исходники") криптографического программного обеспечения может охраняться в качестве коммерческой тайны;
как движимая вещь, если речь идет об СКЗИ в виде аппаратных средств. К таковым относятся, например, аппаратные шифровальные средства SWIFT*(20) (SCR, BCR, VPN-box); аппаратные средства VPN; устройства хранения криптографических ключей (eToken) и др. В некоторых случаях можно ставить вопрос о патентоспособности аппаратных СКЗИ.

Рассматривая данный аспект, важно подчеркнуть, что, по общему правилу, СКЗИ не являются ограниченно оборотоспособным объектом (ст. 129 ГК РФ), даже если речь идет о тех средствах шифрования, которые сертифицированы (аттестованы) по уровню защищенности, достаточному для обеспечения секретности государственной тайны. Это лишь свидетельствует о том, что сегодня частные лица могут обеспечить себе уровень информационной безопасности, сопоставимый с защищенностью государственной тайны.

Разумеется, к оборотоспособным не относятся секретные СКЗИ, которые могут создаваться для специальных государственных нужд (вооруженные силы, разведка, дипломатия и т.п.). Если таковые средства существуют, то они будут являться объектами, изъятыми их гражданского оборота (в любом государстве это одна из наиболее закрытых и охраняемых областей). Собственно, в этом и проявляется разница между гражданской и государственной криптографией.



Нормативно-правовые основы использования гражданской криптографии

В основе использования криптографических средств частными лицами лежат как общие гарантии экономической деятельности*(21), закрепленные в ст. 18, ч. 1 ст. 34, ч. 3 ст. 55 Конституции РФ, так и ряд положений ГК РФ (см. выше) и других нормативно-правовых актов. Имеется также некоторая судебная практика.*(22)
Практический интерес представляет проблема соотношения публичного и гражданского права в этой сфере. Практиков интересует, прежде всего, вопрос: необходимы ли специальные разрешения, лицензии и прочие формальности публично-правового характера, чтобы приобретать и использовать средства электронной цифровой подписи, либо чтобы шифровать свою коммерческую или личную тайну?

Здесь следует обратить внимание на неточность, встречающуюся в литературе. Например, А. Серго полагает, что СКЗИ для собственных нужд сегодня можно использовать якобы только на основании лицензии: "Современные программные и технические шифровальные комплексы позволяют достаточно легко и быстро осуществлять защиту сообщений, но их использование не всегда легитимно (выделено мной - Д.О.)".*(23) В обоснование своих слов А. Серго приводит следующие положения п. 4 Указа Президента РФ N 334*(24):
В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".

Такая позиция ошибочна, поскольку с момента принятия в 1998 году ФЗ "О лицензировании отдельных видов деятельности" уже не требовалось лицензий для использования СКЗИ в собственных интересах.*(25) Статьи 17 и 18 закона прекратили действие п. 4 Указа N 334 в той его части, что требовала лицензий для шифрования или подписания ЭЦП своей информации.

Более того, уже в момент принятия указа, его п.4 противоречил положениям статей 18, 34 и 55 Конституции РФ, поскольку незаконно ограничивал конституционные права физических и юридических лиц на свободное использование своих способностей и имущества для предпринимательской и иной не запрещенной законом экономической деятельности.

Поэтому А.А. Фатьянов*(26) справедливо отмечает, что на текущий момент нет препятствий к свободному приобретению и использованию юридическими и физическими лицами средств для шифрования своей информации (в частности, коммерческой или личной тайны). Справедливости ради отметим, что в своей последующей работе А.А. Фатьянов высказался более осторожно: "Из совокупного рассмотрения норм указанных актов (Указа N 334 и Постановления Правительства N 691 - Д.О.) со всей очевидностью не следует, что положение о лицензировании эксплуатации СКЗИ ныне утратило силу"*(27).

На наш взгляд, эта очевидность все же присутствует. Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств*(28) не устанавливает обязанности лицензирования использования СКЗИ в собственных интересах. Напротив, в подпункте г пункта 3 Положения предусмотрено, что лицензируемая деятельность по техническому обслуживанию включает в себя, в частности, работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства. Здесь же специально оговорено, что к такой лицензируемой деятельности не относятся случаи, когда она производится для обеспечения собственных нужд.

К тому же из данного Положения следует, что лицензированию подлежит деятельность по техническому обслуживанию СКЗИ, но никак не сами процессы использования полезных свойств СКЗИ (зашифрование / расшифрование; подписание ЭЦП / проверка ЭЦП).

Таким образом, можно утверждать, что сегодня приобретение и использование СКЗИ в собственных интересах (без оказания услуг третьим лицам) свободно, и не требует получения лицензий или выполнения иных формальностей публично-правового характера.

Д.В. Огородов,
к.ю.н., член Экспертного совета
Комитета Государственной Думы РФ по безопасности

"Законодательство", N 9, сентябрь 2006 г.

─────────────────────────────────────────────────────────────────────────
*(1) Калаушин Р.М., Крук Е.А. Обзор проблем безопасности мобильной связи с зарождения и по настоящее время // Защита информации. Конфидент. - СПб., 2003. - N 2 (50). - С. 59-63.
*(2) См.: Саперов С.А. Банковское право: теория и практика. - М.: Экономика, 2003. - С. 405-413.
*(3) См.: http://dom.bankir.ru...isplay.php?f=18
*(4) Бельгийское юридическое лицо S.W.I.F.T.scrl, а также контролируемая им система финансовых коммуникаций SWIFT. См.: Саперов С.А. Указ. соч. - С. 287-363; а также http://www.swift.ru/index.php?n=1&f=11
*(5) См.: Сухоруков А.В. Система электронного документооборота РТС: два года на рынке PKI России // Документальная электросвязь. - 2001. - N 7. - С. 38-40.
*(6) См. напр.: Косовец А.А. Правовое регулирование электронного документооборота // Вестник Московского университета. Сер.11. Право. - 1997. - N 4. - С. 46-60; Он же. Правовой режим электронного документа // Вестник Московского университета. Сер. 11. Право. - 1997. - N 5. - С. 48-59.
*(7) Электронный документ - документ, в котором информация представлена в электронно-цифровой форме. См. ст. 3 ФЗ от 10.01.2002 г. "Об электронной цифровой подписи" // Собрание законодательства РФ. - 2002. - N 2. - Ст. 127.
*(8) Белов В.А. Гражданское право: Общая и Особенная части: Учебник. - М.: Центр ЮрИнфорР, 2003. - С. 700.
*(9) Дозорцев В.А. Комментарий к схеме "Система исключительных прав". Цит. по: Дозорцев В.А. Интеллектуальные права: Понятие. Система. Задачи кодификации: Сб. ст. - М.: Статут, 2003. - С. 32-35, 38-39.
*(10) См.: ст. 48.1. "Технические средства защиты авторского права и смежных прав" Закона РФ "Об авторском праве и смежных правах", а также: Скляров Д.В. Искусство защиты и взлома информации. - СПБ.: БХВ-Петербург, 2004. - С. 197-208.
*(11) В литературе отмечается, что самозащита гражданских прав возможна как действиями самого управомоченного, так и действиями третьих лиц (Свердлык Г.А., Страунинг Э.Л. Защита и самозащита гражданских прав: Учебн. пособ. - М.: Лекс-Книга, 2002. - С. 190-193.).
*(12) См.: Федеральный закон "О лицензировании отдельных видов деятельности" и Положение о лицензировании предоставления услуг в области шифрования информации, утв. Постановлением Правительства Российской Федерации от 23.09.2002 г. N 691.
*(13) В частности, В.А. Белов отмечает: "Использование подписи, таким образом, это в то же время и использование имени, хотя и выраженное в виде знака, не всегда имеющего общепринятую расшифровку" (Белов В.А. Указ. соч. - С. 621-622.).
*(14) Не случайно в п. 2 ст. 160 ГК РФ речь идет об аналогах собственноручной подписи, к которым закон причислил факсимиле и ЭЦП.
*(15) Малеина М.Н. Личные неимущественные права граждан: понятие, осуществление, защита. - 2-е изд. испр. и доп. - М.: МЗ Пресс, 2001. - С. 112-113.
*(16) См. подробнее: Огородов Д.В. ЭЦП юридических лиц - подарок рейдерам // эж-Юрист. - 2005. - N 48. - С. 2.
*(17) Катков В. Заключение договоров при посредстве электричества // Журнал С.- Петерб. юрид.общества. - 1896. - Кн. 7. - С. 77-88; Цвингман В.М. О влиянии техники (телеграфа, телефона и т.п.) на развитие договорного права // Журнал Министерства юстиции. - 1902. - Кн. 8. - С. 149-174; Шершеневич Г.Ф. Курс торгового права. - 4-е изд. - Том 2. Товар. Торговые сделки.- СПб.: Изд. бр. Башмаковых, 1908. - С. 126.
*(18) См.: Огородов Д.В. Правовое регулирование электронных сделок // Финансовые и бухгалтерские консультации. - М., 2003. - N 10. - С. 90-98. Подобный взгляд находит поддержку и в новейших работах других авторов, напр.: Нагаева А.А. Предмет и способ исполнения договоров в режиме электронного взаимодействия // Арбитражная практика. - 2005. - N 10. - С. 13-17.
*(19) В России криптографические алгоритмы и протоколы как таковые не охранопособны, ни по нормам авторского, ни по нормам патентного права. Однако, например, в США криптографическим алгоритмам предоставляется патентно-правовая охрана. Так, за время действия патента на знаменитый алгоритм RSA, было выдано более 450 миллионов (!) лицензий (лицензионных договоров).
*(20) См.: http://www.swift.ru/index.php?n=1&f=11
*(21) Здесь следует учесть, что положения Конституции РФ о правах и свободах физических лиц распространяются также и на их объединения (юридические лица), если это не противоречит природе данных прав. См.: п. 4 Постановления Конституционного Суда РФ от 17.12.1996 г. N 20-П // Собрание законодательства РФ. - 1997. - N 1. - Ст. 197; п.3 Определения Конституционного Суда РФ от 01.03.2001 г. N 67-О // Вестник Конституционного Суда РФ. - 2001. - N 4.
*(22) См.: напр.: п. IV Письма ВАС РФ от 19.08.1994 г. N С1-7/ОП-587 "Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике" // Вестник ВАС РФ. - 1994. - N 11.
*(23) См.: Серго А. Интернет и право. - М.: Бестселлер, 2003. - С. 162-163.
*(24) Указ Президента РФ от 03.04.1995 г. N 334 (с последующ. изм.) "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" // Собрание законодательства РФ. - 1995. - N 15. - Ст. 1285; 2000. - N 31. - Ст. 3252.
*(25) Цитируемая работа А. Серго подписана в печать 01.04.2003 г., существенно позже того, как приводимый им п.4 Указа утратил силу.
*(26) Фатьянов А.А. Правовое обеспечение безопасности информации в Российской Федерации: Учебн. пособие. - М.: Юрист, 2001. - С. 230-231.
*(27) Фатьянов А.А. Некоторые проблемы обеспечения безопасности электронного документооборота // Документальная электросвязь. - N 15 (июнь). - М., 2005. - С. 39.
*(28) Положение о лицензировании деятельности по техническому обслуживанию шифровальных (криптографических) средств, утв. Постановлением Правительства РФ от 23.09.2002 г. N 691 // Собрание законодательства РФ. - 2002. - N 39. - Ст. 3792.

[Xenia]

Коллеги, добрый день!
Нашла эту тему и возник вопрос: если в 691 Поставнолении достаточно четко было указано, нужна или нет лицензия на техническое обслуживание в случае, если оно производится для обеспечения собственных нужд, то в 957 Поставнолении (от 29.12.2007, отменившим 691) такие пункты отсутствуют.
Хотелось бы узнать ваше мнение, о том, в каких случаях на данный момент необходимо получение лицензии на техническое обслуживание.