26.01.2008

Изменения в законодательстве по криптографии

Что случилось?

Утратило силу Постановление Правительства Российской Федерации от 23 сентября 2002 г. N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами". Взамен принято Постановление Правительства Российской Федерации от 29 декабря 2007 г. N 957 "Об утверждении Положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами".

Что изменилось?

1. Положения не распространяются на деятельность для:
а) шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну;
б) шифровальных (криптографических) средств независимо от их назначения, реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 56 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит;
в) беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах)
г) шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей, не относящихся к критически важным объектам
2. Уменьшилось число лицензионных требований, но теперь они могут быть дополнены требованиями ФСБ, которые в настоящее время неизвестны
3. Незначительно изменился перечень представляемых документов
4. Лицензионный контроль за соблюдением лицензиатом лицензионных требований и условий будет осуществляется в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)"
5. Исчезло определение деятельности по техническому обслуживанию, что вносит некоторую неопределенность. Например, раньше техническое обслуживание для собственных нужд не требовало лицензирования; сейчас этот вопрос не ясен.
6. Исчезло определение услуг в области шифрования, что вносит еще одну неопределенность.
7. Появился новый пункт о деятельности с нарушением и определение грубого нарушения.

Что осталось прежним?

1. Четыре вида лицензируемой деятельности:
- Деятельность по распространению шифровальных (криптографических) средств;
- Деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- Предоставление услуг в области шифрования информации;
- Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
2. Лицензирование перечисленных выше видов деятельности осуществляется Федеральной службой безопасности Российской Федерации.
3. Лицензия выдается на 5 лет.

Перлюстрация... проблема двух или трех?

Вот интересная тема возникла на конференции по ИБ, с которой я вчера вернулся. Тема перлюстрации описана давно и многие даже рекомендуют конкретные решения, как обойти конституционное право частной жизни. В частности все рекомендуют брать с сотрудников подписку о том, что сотрудник дает право на перлюстрацию работодателем переписки, ведущейся с компьютера, принадлежащего работодателю. Это может помочь, но...

Вспомним, как осуществляется переписка. Это процесс, в котором участвуют ДВОЕ (как минимум). И когда я посылаю письмо частного характера, то перлюстрация со стороны работодателя затрагивает не только меня, но и моего визави. И даже если я разрешил работодателю просматривать мою переписку, то мой оппонент по переписке такого разрешения не давал. И как только становится известным факт перлюстрации он может спокойно подавать в суд и с точки зрения закона решение будет в его пользу, т.к. налицо нарушение Конституции и 138-ой статьи Уголовного Кодекса.