К теме "ЛИЦЕНЗИРОВАНИЕ РАЗРАБОТКИ, ПРОИЗВОДСТВА ШИФРОВАЛЬНЫХ СРЕДСТВ"
Наша организация тоже занимается разработкой систем электронного документооборота. Мы собираемся использовать КриптоПро CPS и КриптоПро ЭЦП.
Имеются лицензии на распространение и техническое обслуживание шифровальных средств, и на оказание услуг в области шифрования информации.
Теперь нам нужно встроить вызов функций КриптоПро ЭЦП в наш собственный код. В частности - генерацию и проверку цифровой подписи.
Вопрос: является ли встраивание вызовов функций КриптоПРО CPS разработкой криптографических средств?
И - нужно ли получать лицензию на разработку?
Вопрос не очень простой. Предлагаю обратиться к Постановлению 957 и внимательно его прочитать.
Цитирую:
Положение
о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем
(утв. постановлением Правительства РФ от 29 декабря 2007 г. N 957)
....
2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), разработка, производство которых подлежит лицензированию, относятся:
а) средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении;
б)... имитовставка...
в) средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;
То есть: если наш программный продукт выполняет генерацию и проверку цифровой подписи, используя для этого библиотеку КриптоПро CPS (через вызов функций API), то формально мы должны получать лицензию на разработку.
Получить четвертую лицензию к уже имещимся трем не так сложно. Но - читаем Постановление 957 дальше:
4. Лицензионными требованиями и условиями при осуществлении разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем, являются:
...
в) наличие у соискателя лицензии (лицензиата) допуска к проведению работ, связанных с использованием сведений, составляющих государственную тайну (только при разработке шифровальных (криптографических) средств);
Это означает, что получить лицензию на разработку криптографическиз средств можно только при наличии допуска к проведению работ, связанных с использованием сведений, составляющих государственную тайну.
Думаю, что 99% компаний, работающих с КриптоПРО CPS или КриптоПро ЭЦП, не имеют доступа к гостайне. Значит, "встраивание" вызовов криптографических функций не является "разработкой" криптографических средств.
Но написано ли это в каком-то документе? Если да - то в каком?
Надеюсь на конструктивный и обоснованный ответ специалистов КриптоПРО, который можно будет распечатать и предъявить при необходимости контролирующим органам.
С уважением,
Кузьмич Всеволод, КТН,
Руководитель направления мобильных решений
КОРУС Консалтинг
Отредактировано пользователем 15 декабря 2008 г. 20:21:17(UTC)
| Причина: Не указана
