| ||||
| ||||
| Один наш клиент попросил встроить CryptoPRO в его информационную систему нашей разработки с целью обеспечения автоматического обмена зашифрованными и подписанными сообщениями по электронной почте. CryptoPRO купленный. Предполагается использование сертификатов X.509, выданных официальным удостоверяющим центром (не клиентом и не нами). Наша задача, по сути, сводится к использованию функций CryptoAPI или CAPICOM для шифрования и подписи при отправке и дешифрованию и проверке ЭЦП при получении сообщений. Вопрос: 1. Должны ли мы, как разработчики получать какие-то лицензии? Мы же по сути даже средств шифрования в руках не держим - криптопровайдер будет инсталлировать сам клиент и пользоваться тоже будет сам. 2. Должен ли наш клиент получать какие-то лицензии на право использование криптографичечких средств? Спасибо. | ||||
| Ответы: | ||||
| ||||
| Согласно Постановлению правительства №691 от 23 сентября 2002 года лицензированию подлежит деятельность по разработке, производству шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем. Указанная лицензируемая деятельность включает в себя - Раздел 3б) Разработку защищенных с использованием шифровальных (криптографических) средств информационных систем - это как раз то, что вы хотите сделать. Клиенту для эксплуатации шифровальных (криптографических) средств лицензий получать не надо. | ||||
| ||||
| Но это же дурость!!! Получается что чтобы использовать CryptoPRO я должен сначала получать лицензию, т.к. чтобы я не делал, какими бы средствами не интегрировал свое ПО с CryptoPRO это будет считаться разработкой ПО с использование средств криптозащиты. Получается что средства криптозащиты без лицензии можно использовать только с готовым ПО, причем если я буду отправлять почту из своей программы с использованием готового ПО, в котором есть криптозащита (например, через MAPI), то это снова будет считаться разработкой ПО с использованием средств криптозащиты. Бред!!! И что я должен сказать заказчику? Что мы технически работу сделать можем, но официально не можем. | ||||
| ||||
| На мой взгляд - основной момент здесь это сертификация СИСТЕМЫ по требованиям защиты информации. Если она не требуется - то зачем говорить про криптографию, тем более,если вы ее не разрабатываете, а используете готовую? Ну, а если сертификация требуется, то ничего не поделаешь - лицензия нужна. | ||||
| ||||
| Это не дурость и к сертификации системы в общем отношения не имеет. Поставьте себя на место заказчика и ответьте на такой вопрос, который грамотный заказчик себе обязательно задает: А как исполнитель встроит средство криптографической защиты? Будет ли после встраивания этого средства вообще что-то реально шифроваться и подписываться? Так кому доверить встраивание: организации-лицензиату (а получить упоминавшуюся лицензию на порядок труднее, нежели остальные лицензии приведенного Постановления) или компании, которая с криптографией столкнулась впервые? | ||||
Александр