Лицензия ФСБ на разработку ПО
Если вы используете готовый продукт, то не надо, ведь вы не ведёте разработку собственно средства защиты, а у КриптоПро есть свои лицензии.
Тех.поддержка КриптоПРО ничего внятного по этому поводу не ответила. Отсылают к своим партнёрам ООО «Цифровые технологии», которые занимаются внедрением. Те говорят в ком.предложении, что "При встраивании сертифицированных СКЗИ (средств криптографической защиты информации) организации, ведущей эти работы, необходимы соответствующие лицензии ФСБ (ФАПСИ)." Возможно, просто рекламный ход, а возможно и правда...
Тех.поддержка КриптоПРО ничего внятного по этому поводу не ответила. Отсылают к своим партнёрам ООО «Цифровые технологии», которые занимаются внедрением. Те говорят в ком.предложении, что "При встраивании сертифицированных СКЗИ (средств криптографической защиты информации) организации, ведущей эти работы, необходимы соответствующие лицензии ФСБ (ФАПСИ)." Возможно, просто рекламный ход, а возможно и правда...В инете пишут, что на встраивание нужна соответствующая лицензия ФАПСИ. Причём если заказчик требует, чтобы ПО соответствовало какому-то классу защиты, то нужно отдельное заключение ЦБС ФСБ, и проверка на соответствие может продолжаться год и более и стоит денег.
Тех.поддержка КриптоПРО ничего внятного по этому поводу не ответила.Ну правильно, вопрос-то не технический. От руководства КриптоПРО я в октябре слышал что нужна лицензия ФСБ. Причём заинтересованности КриптоПро точно быть никакой не может, т.к. они с получением такой лицензии не помогут, и бенефициаром тоже не будут (в отличие от производителей всяких Аккордов и Соболей, которые нередко требуют закупить и поставить при получении таких лицензий)
Но конечно нужна не лицензия на разработку СКЗИ, на которую дана ссылка в первом посте.
Нужна лицензия ФСБ, которая называется "Разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем", - обратите внимание на выделенный фрагмент. Именно так называется встраивание СКЗИ в свой прикладной софт.
Если кто получал или получает сейчас такую лицензию, напишите в приват, есть вопросы, т.к. тоже актуально...
вот официальный документ, определяющий порядок лицензирования: http://www.rg.ru/bussines/docum/62.shtm
кстати, если кто знает человека с в/о по информ. безопасности и опытом 5 лет, желающего подзаработать - тоже напишите в приват
р) наличие следующего квалифицированного персонала:
руководитель и (или) лицо, уполномоченное им руководить работами по осуществлению лицензируемой деятельности, имеющие высшее профессиональное образование и (или) профессиональную подготовку в области информационной безопасности, а также стаж работы в этой области не менее 5 лет;
О, спасибо! хотя бы сомнения снялись...
Причём если заказчик требует, чтобы ПО соответствовало какому-то классу защитыХм, а если заказчик не требует?
Вопрос может быть глупый, но есть ли ответственность за разработку и/или продажу этого ПО (требующего лицензию) без лицензии? или просто это ПО не будет соответствовать требованиям класса защиты и проблемы будут с использованием?
есть ли ответственность за разработку и/или продажу этого ПО (требующего лицензию) без лицензии?Встраивание СКЗИ в ПО для распространения (а не для собственных нужд при отсутствии упомянутой мною лицензии, - это ст. 171 УК РФ «незаконное предпринимательство». Даже если собственно СКЗИ вы не распространяете, а например заставляете заказчика покупать его напрямую у КриптоПро.
Классы защиты ФСБ - я так понимаю, обязательны только там где гос.тайна, а негосударственным заказчикам на них более-менее пофигу. Но тут могу ошибаться.
Даже если собственно СКЗИ вы не распространяете, а например заставляете заказчика покупать его напрямую у КриптоПро.Ну если заказчик сам (или силами сторонней компании) купит и поставит СКЗИ в наш продукт, то тут мы уже не причём.
Без получения лицензии я вижу два варианта: либо отдать полностью криптографию на аутсорс компании с лицензией, либо сделать самим и найти компанию с лицензией и договориться с ними о тестировании, и что они под этим потом подпишутся.
ит если пользоваться стандартными виндовыми реализациями SSL без этой лицензии, закон преступаешь?
закон преступаешь?Я не юрист, и опыта общения с органами к счастью пока нет
Но из того что я слышал следует что если при распространении софта (в договоре, документации на ПО, и других письменных документах) не упоминать ключевые слова из лицензий ("защита информации", "защита конфиденциальной информации", "средство криптографической защиты информации" (СКЗИ ЭЦП и др. то проблем с законом по идее не должно возникнуть...
Например, вместо "ЭЦП" в таких случаях часто используют термин "АСП" (аналог собственноручной подписи).
На форуме bankir.ru можно почитать по теме, вот например:
Запретить вам использовать несертифицированную криптографию никто не может. Прецедентов оспаривания несертифицированных ЭЦП, вроде, не было. Правоприменительной практики нет. Юристов, имеющих хорошее представление об ЭЦП, тоже нет.
закон - он затем, чтобы был 
попробуйте ещё у вот этих товарищей проконсультироваться:
http://www.cryptoex.ru/
http://www.cryptoex.ru/
Новости на главной странице их сайта как-то не очень оптимистичны.
На самом деле я нашёл фирму, которая готова подписаться своей лицензией под готовым ПО.
Цена подписи без какой-либо работы 65круб.
На самом деле я нашёл фирму, которая готова подписаться своей лицензией под готовым ПО.
Цена подписи без какой-либо работы 65круб.
Они что, прямо неглядя готовы подписаться?
Глядя или не глядя не знаю. Может потестируют работоспособность, хотя в исходниках вряд ли будут копаться, ибо это уже должно быть сильно дороже.
Оставить комментарий
maxiim9
Нужно сделать на сайте авторизацию по ЭЦП. Соответственно можно интегрировать готовый продукт от криптопровайдера (например, КриптоПРО ). Но вот никак не пойму, нужна ли лицензия ФСБ на интеграцию этого модуля авторизации с сайтом...Может, кто-нибудь сталкивался?