Про использование криптографии в 1С

09.09.13

Разработка - Защита ПО и шифрование

В последнее время очень популярной стала тема использования шифрования и цифровой подписи (ЭЦП). Возможности удобного использования криптографических преобразований встроены и в 1С. Однако достаточно много людей упускают один важный момент - почти все прикладные решения, использующие криптографию, должны быть выполнены исключительно при наличие лицензии ФСБ. Об этом и пойдёт речь в данной статье.

Изначально написать данную статью меня побудила дискуссия в комментариях к //infostart.ru/public/157454/. Как я заметил, вопросы лицензирования разработок с использованием криптографических преобразований достаточно далеки для основной массы разработчиков на 1С. Тем не менее эти вопросы очень важны, или лучше иначе - жизненно важны, если в один прекрасный момент разработчик не желает проснуться нарушителем Федерального закона.

Маленький "disclaimer" - данная статья является сугубо моим мнением и призвана только обратить внимание разработчиков на существующую проблему.

Для начала позвольте описать кто же я такой:

  1. Являюсь первичным автором очень известной программы "КриптоАрм" (www.trusted.ru). Разработал эту программу в 2003-2004 годах, один, с нуля и до версии 2.5 включительно. С середины 2004-го года отношения к ней не имею;
  2. Являюсь автором статьи "Использование Crypto API" (http://rsdn.ru/article/crypto/usingcryptoapi.xml), которая была написана в 2004-ом году. Очень рекомендую ознакомиться с этой статьей перед ознакомлением со всем следующим материалом;
  3. Являюсь автором статьи "ASN.1 простыми словами" (http://habrahabr.ru/post/150757/);
  4. С 2005-го года являюсь активным участником наиболее популярного форума по тему использования криптографии - форума фирмы "Крипто-ПРО" (http://www.cryptopro.ru/forum2/);
  5. Начинал профессиональную карьеру как программист 1С. Опыт работы - более 5-ти лет, сертификаты по всем компонентам 1С 7.7 получены в январе-феврале 2000 года;

Итак, перейдём теперь к сути данной статьи.  В последнее время очень популярной стала тема использования шифрования и цифровой подписи (ЭЦП). Возможности удобного использования криптографических преобразований встроены и в 1С. Однако достаточно много людей упускают один важный момент - почти все прикладные решения, использующие криптографию, должны быть выполнены исключительно при наличие лицензии ФСБ. Теперь перейдём к юридической базе данного вопроса.

Основным документом, регулирующим деятельность в описываемой сфере, является Федеральный Закон "О лицензировании отдельных видов деятельности". Приведу выдержку из этого закона:


Статья 12. Перечень видов деятельности, на которые требуются лицензии

1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);


В качестве более развернутой информации о том, что же собственно понимается под этим лицензируемыми видами деятельности следует использовать постановление правительства Российской Федерации "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАЗРАБОТКЕ, ПРОИЗВОДСТВУ, РАСПРОСТРАНЕНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ". Ниже приведена выдержка из этого положения:


2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:

а) средства шифрования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

б) средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

в) средства электронной подписи;

г) средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

д) средства изготовления ключевых документов - аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;

е) ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;

и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.


Ну а теперь расскажу о том, что как здесь может быть нарушено простым программистом 1С. Во-первых при создании конфигураций, использующих создание электронной цифровой подписи, напрямую нарушается пункт "в)" упомянутого выше положения. Кроме того при создании конфигураций использующих шифрование нарушается пункт "г)", хотя это и менее очевидно. Остановимся на этом пункте более подробно.

Для начала подставим вместо определения "средства шифрования" полную расшифровку этого понятия из пункта "а)". В итоге получим следующий текст пункта "г)":


средства кодирования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций


Согласен, очень много букв, так что упростим данной предложение и уберем лишнее для нас:


Средства кодирования - программные средства, реализующие алгоритмы криптографического преобразования информации, в которых часть криптографических преобразований осуществляется с использованием автоматизированных средств, предназначенных для выполнения таких операций.


То есть если программа имеет своим "выходом" зашифрованный файл, то её производство должно осуществляться только при наличие лицензии ФСБ Российской Федерации на разработку шифровальных и криптографических средств.

Теперь обсудим возможные возражения на приведенное мною утверждение:

  1. "Ну я же шифрую через 1С, причём здесь лицензия?"
    • Увы, но вы делаете "программное средство", которое производит "криптографические преобразования" с использованием "автоматизированных средств, предназначенных для выполнения таких операций". То есть конечно вы используете сторонние компоненты (криптопровайдер), а также стороннее средство создания программных средств (1С), но сути это не меняет - закон требует лицензирования процесса создания "сферической программы в вакууме", которая выполняет "сферические криптографические преобразования в вакууме";
  2. "Лицензированию подвергается только криптопровайдер и всё"
    • Опять же увы, но это ошибка. Разработка криптопровайдеров это тоже лицензируемый вид деятельности, но только он проходит по пункту "а)". А вот все программы, которые используют функции криптопровайдера, должны быть лицензированны уже по пункту "г)";

В заключение приведу ссылки на вопросы, связанные с лицензированием и заданные на форуме Крипто-ПРО. В ответах фигурирует пользователь "Юрий Маслов", который является коммерческим директором самой фирмы Крипто-ПРО. Этот человек занимается лицензированием продукции криптографической направленности уже более 13-ти лет и является одним из наиболее авторитетнейших экспертов в этой области:

  1. http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=1662
  2. http://www.cryptopro.ru/forum2/default.aspx?q=cryptopro/forum2/default.aspx?g=posts&t=1347
  3. http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=6060

А теперь маленькая оговорка: в действительности  лицензирование требуется только в том случае, если вы продаёте программное средство, то есть осуществляете предпринимательскую деятельность. В случае если вы делаете это программное средство для себя и своего предприятия, то это выходит за рамки ФЗ "О лицензировании отдельных видов деятельности" (в следствие отсутствия деятельности как таковой).

Так что делайте программные средства, прозводящие криптографические преобразования, сколько вашей душе будет угодно, но только пожалуйста осторожнее.

криптография цифровая подпись ЭЦП лицензирование

См. также

Запрет глобального поиска в конфигурации

Защита ПО и шифрование Платформа 1С v8.3 1С:Бухгалтерия 3.0 Абонемент ($m)

Представляю вам микрорасширение, которое запрещает глобальный поиск по вашей конфигурации.

1 стартмани

09.02.2023    2224    9    aximo    4    

2

Как защитить pdf файл

Защита ПО и шифрование Абонемент ($m)

Для установки защиты pdf документа, полученного в 1С, написано консольное приложение на c#., использующее одну зависимость pdfSharp.dll. В результате работы приложения ограничены операции над документом и записаны метаданные. С помощью аргументов командной строки можно управлять работой приложения.

2 стартмани

30.01.2023    1658    1    olevlasam    3    

3

Универсальный синтаксический анализатор ASN.1 для декодирования .key, .cer, .der, .p7m, .p7s, .crt, .pem

Защита ПО и шифрование Платформа 1С v8.3 Конфигурации 1cv8 Абонемент ($m)

Универсальный синтаксический анализатор ASN.1, который может декодировать любую допустимую структуру ASN.1 DER или BER, независимо от того, закодирована ли она в кодировке Base64 (распознаются необработанные base64, защита PEM и begin-base64) или в шестнадцатеричном кодировании.

1 стартмани

04.12.2022    2984    12    keyn5565`    0    

13

Шифрование строки на основе мастер-пароля в 1С Предприятие 8.3.19

Защита ПО и шифрование Платформа 1С v8.3 Абонемент ($m)

Демонстрация возможностей шифрования строки на основе мастер-пароля в 1С Предприятие 8.3.19. AES без zip файла, RSA, PKDF2. (c использованием библиотеки С# через com).

2 стартмани

31.08.2022    3832    7    vit59    2    

6

Обфускатор байт-кода

Защита ПО и шифрование Платформа 1С v8.3 Конфигурации 1cv8 Россия Абонемент ($m)

Обработка, позволяющая запутывать и шифровать байт-код, поставлять модули без исходных текстов и т.д. Протестировано на платформе 8.3.23.1739.

10 стартмани

16.06.2022    10303    79    ZhokhovM    12    

40

Как уберечь конструкторскую документацию от воровства конкурентами?

Защита ПО и шифрование Платформа 1С v7.7 Платформа 1С v8.3 Абонемент ($m)

Как уберечь конструкторскую документацию от воровства конкурентами? Недавно столкнулся с этой проблемой. Заказчик серьёзно обеспокоен утечкой информации о конструкторских разработках в адрес конкурентов, за счет подкупа исполнителей, занимающихся производством по конструкторской документации, операторов технологического оборудования и обрабатывающих центров по изготовлению деталей и сборочных единиц.

2 стартмани

09.03.2022    5654    3    ge_ni    9    

2

Защита конфигураций, обработок, расширений 1С онлайн, управление версиями

Защита ПО и шифрование Платформа 1С v8.3 Конфигурации 1cv8 Абонемент ($m)

Система построена на веб платформе, все управление происходит на сайте в личном кабинете пользователя.

1 стартмани

27.12.2021    4556    2    idm80    11    

9
Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
107. y-str 60 12.09.13 11:04 Сейчас в теме
(103) Послушайте, почитайте ещё раз статью. Её тема "лицензируется разработка любой программы, результатом которой является информация преобразованная по криптографическому алгоритму". Лицензируется не результат, а сам факт разработки.

Работу с 1С я оставил уже 10 лет как. С 2003-го года к ней почти не притрагивался, за исключением чисто "спортивного" интереса в изучении 8.2 и получении сертификата "1С:Профессионал по технологической платформе". Наиболее правильный способ высказали в (79).
71. y-str 60 12.09.13 08:35 Сейчас в теме
ОБРАЩЕНИЕ КО ВСЕМ "КРИТИКАМ":
В случае если вы имеет мнение, противоположное с моим то вы можете:

1) Написать свою статью-опровержение;
2) Написать на партнерский форум 1С и попросить представить официальное мнение 1С по этому вопросу;
3) Написать в контролирующие органы ФСБ и представить их мнение по этому вопросу;
4) Придти на форум "Крипто-ПРО" и обсудить этот вопрос с профессионалами;

В этой статье доведено существующее экспертное мнение. Наверное экспертность людей, упомянутых в статье, для программистов на 1С вызывает сомнения. Найдите других экспертов, обладающим другим мнением. Расскажите кто они такие. Опровергните существующую экспертную оценку. Лично я только скажу вам за это "спасибо", правда.
152. uno-c 234 01.11.19 15:13 Сейчас в теме
(71)Вы надумали проблему, которой нет по факту отсутствия судебных разбирательств с программистами 1С за использовании ими МенеджераКриптографии.

Экспертные мнения нужно приводить в соответствующей экспертам области - в области программирования или продаж. В применении к трактовке законодательства - мнения программиста экспертными не являются.
79. gulagm 10 12.09.13 09:58 Сейчас в теме
Возможен такой вариант выхода из ситуации для разработчиков, которые хотят действовать строго по данным нормативным документам и получать прибыль, - оформиться штатным программистом на предприятие-заказчика на время осуществления заказа или обслуживания (неделя, месяц, год). При этом можно получать прибыль, а для предприятия заказчика - это собственные нужды.

Статья 12. Перечень видов деятельности, на которые требуются лицензии

1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
TrashMaster; y-str; +2 Ответить
82. y-str 60 12.09.13 10:01 Сейчас в теме
(79) Абсолютно правильно! Предприятие имеет право разрабатывать криптографические средства для своих нужд, и это не требует лицензирования. Ранее я это уже упоминал.
81. andrewks 1368 12.09.13 10:01 Сейчас в теме
является ли скрипт на JS из трёх строк с вызовом криптопровайдера по COM средством, реализующим криптографический алгоритм?

является ли скрипт из трёх строк с вызовом программы сжатия средством, реализующим алгоритм сжатия?

вот в чём вопрос. а не в лицензировании разработки архиваторов
84. andrewks 1368 12.09.13 10:09 Сейчас в теме
прошу дать неофициальную экспертную оценку:

является ли программа

МенеджерКриптографии = Новый МенеджерКриптографии("Microsoft Enhanced Cryptographic Provider v1.0", "", 1);
Хранилище = МенеджерКриптографии.ПолучитьХранилищеСертификатов(ТипХранилищаСертификатовКриптографии.ПерсональныеСертификаты);
СертификатыХранилища = Хранилище.ПолучитьВсе();
    
ТекущаяДата = ТекущаяДата();
Для Каждого Сертификат Из СертификатыХранилища Цикл
Если Сертификат.ДатаОкончания < ТекущаяДата Тогда 
 Продолжить; // отфильтровываем истекшие сертификаты
 
Иначе
 Прервать;
КонецЕсли;
КонецЦикла;

МенеджерКриптографии.Зашифровать("Файл.xml", Сертификат); 
Показать


программным средством, реализующим криптографические алгоритмы?
85. y-str 60 12.09.13 10:12 Сейчас в теме
(84) По моей экспертной оценке - да, разработка такой программы подпадает под действие Федерального Закона "О лицензировании отдельных видов деятельности". И ещё раз должен обратить внимание что именно этот вопрос является основным для данной статьи и предварительные ответы "критикам" уже были даны в самой статье.
88. andrewks 1368 12.09.13 10:15 Сейчас в теме
прошу дать неофициальную экспертную оценку:

является ли программа

   "C:\Program Files\7-Zip\7z.exe" a -t7z -mx=7 -r -ssw "archieve.7z" "file.txt"


программным средством, реализующим алгоритмы сжатия (компрессии)?
91. y-str 60 12.09.13 10:17 Сейчас в теме
(88) Этот вопрос выходит за рамки этой статьи. Концентрируйтесь на более близких понятиях.
93. andrewks 1368 12.09.13 10:19 Сейчас в теме
(91) именно этим я и занимаюсь. у вас понятие "программное средство, реализующее алгоритм" зависит от понятий? и от того, какой именно алгоритм (криптографический, сжатия, сортировки и т.п.)?
101. andrewks 1368 12.09.13 10:46 Сейчас в теме
оставлю, таки, последний пост
(далее - сугубо моё личное мнение, также отвечать на него не обязательно)

на мой взгляд, у автора логическая ошибка в интерпретации пунктов нормативного акта:

а) средства шифрования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;
...
г) средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

вспоминаем алгебру.

пусть:
Ш - множество средств, реализующих криптографические алгоритмы (т.е. пункт а) )
С - множество средств, в которых часть криптографических алгоритмов осуществляется с использованием сторонних (внешних) средств. (пункт г) )

на мой взгляд, в законе они определены так, что С является подмножеством Ш, т.е. Ш \ С - непустое, но С \ Ш - пустое.

автор статьи же считает, что у них непустое пересечение, но при этом и Ш \ С, и С \ Ш - непустые.

далее, когда автору задаёшь вопрос о том, "реализует ли какое-то средство некий алгоритм", он намеренно отвечает не на этот вопрос, а на вопрос "подпадает ли средство под лицензирование в рамках Закона". именно поэтому он отказывается отвечать на такой же вопрос, но в случае, если алгоритм не криптографический, а, например, алгоритм сжатия (дабы не вступать в логическое противоречие)
uno-c; mc2; +2 Ответить
102. y-str 60 12.09.13 10:51 Сейчас в теме
(101) andrewks, что за чушь!

Переделаем эти понятия на более приземленные темы:
Ш - множество людей которые построили дом;
С - множество людей которые построили часть дома с помощью бригад;

То есть по вашему пересечение Ш/С не пустое множество, а С/Ш - пустое?
109. mc2 19 12.09.13 11:20 Сейчас в теме
(102) Вам все абсолютно верно написали. В пункте г) определяется подмножество пункта а)
средства кодирования - средства шифрования, в которых...
Т.е. средства кодирования не могут не быть средствами шифрования. И это ваша основная ошибка при интерпретации этого закона.
uno-c; andrewks; +2 Ответить
110. y-str 60 12.09.13 11:24 Сейчас в теме
(109) Поясните подробнее что вы этим хотели сказать.
115. mc2 19 12.09.13 11:36 Сейчас в теме
(110) Совсем подробно:
а) средства шифрования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;
...
г) средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

Исходя из п. а) программа является средством шифрования, если в ней реализуется алгоритм криптографического преобразования информации.
Исходя из п. г) программа является средством кодирования, если она является определенным средством шифрования, т.е. соответствует требованиям п. а)
Т.о., если в программе не реализуется алгоритм криптографического преобразования информации, то она не является средством шифрования, и следовательно ни как не может являться средством кодирования.
Если вы этого не понимаете, то дальнейшее обсуждение предмета с вами никакого смысла не имеет.
117. y-str 60 12.09.13 11:39 Сейчас в теме
(115) mc2, поймите что в программе из пункта "г)" алгоритм все-равно реализуется, но только он реализуется с применением автоматизированных средств. Ну есть там это криптографическое преобразование - ведь на выходе есть зашифрованная или подписанная информация. Значит программное средство реализует этот алгоритм. И пункт "г)" специально сделан для программ, которые реализуют его не сами, а с помощью других автоматизированных средств.
119. mc2 19 12.09.13 11:47 Сейчас в теме
(117) Это все от вашей юридической безграмотности: в законе есть абсолютно четкие определения, а вы пытаетесь вложить в них некий свой смысл. От этого и вся ваша беда. Больше убеждать вас не собираюсь - фанатизм не лечится.
122. y-str 60 12.09.13 11:54 Сейчас в теме
(119) Да если бы только я вкладывал в них именно такой смысл :) А так ведь все сведущие в этом люди согласны именно с моей точкой зрения, а не вашей.
112. y-str 60 12.09.13 11:27 Сейчас в теме
(109) В своих сокращениях понятий из закона я просто взял понятие из пункта "а)" и вставил его в пункт "г)" и далее оперирую этим сводным понятием.
118. andrewks 1368 12.09.13 11:42 Сейчас в теме
(102) чтобы так переделывать, нужно ещё определить понятие "построить дом".

иначе получается некорректная постановка.

например, Р - множество людей, которые работают.

я считаю, что бомж дядя Вася к этому мн-ву не принадлежит, а сам дядя Вася считает иначе - он работает (собирает алюминиевые банки по помойкам)
120. y-str 60 12.09.13 11:49 Сейчас в теме
(118) Вы пишите лучше где я ошибаюсь и всё. Приводите доводы, говорите "а вот в этом случае будет не так". А то всё какие-то пространные рассуждения.
121. andrewks 1368 12.09.13 11:53 Сейчас в теме
(120) да я пишу, пишу

нужно ещё определить понятие "построить дом".


не понимаю, почему Вы не видите
124. y-str 60 12.09.13 12:01 Сейчас в теме
(121) А тут может быть двоякое толкование? Затрудняюсь придумать.

Лучше скажите как же по вашему стоит трактовать "ПО реализующее алгоритмы"? И почему же выражение "ПО реализующее алгоритмы с помощью другого ПО" у вас вызывает отрицательную реакцию.
126. andrewks 1368 12.09.13 12:25 Сейчас в теме
(124) да, я имею весьма конкретное мнение про понятие "реализация алгоритма". и оно у меня не ассоциируется со строкой COMServer.Зашифровать(Данные);

если бы речь шла про реализацию какого-либо функционала - тут другое
116. y-str 60 12.09.13 11:36 Сейчас в теме
Вот ещё раз для "профессионалов". Имеет термины из (101):
Ш - множество средств, реализующих криптографические алгоритмы (т.е. пункт а) )
С - множество средств, в которых часть криптографических алгоритмов осуществляется с использованием сторонних (внешних) средств. (пункт г) )

Теперь переводим в более приземленные понятия:
Ш = множество людей, которые построили дом;
С = множество людей, часть дома которым построили бригады строителей;

Там вот лицензируется не то, что человек сам построил дом, а сам факт его строительства. То есть лицензируется не то, что сама программа реализует алгоритмы, а сам факт того, что на выходе программы есть преобразования по этим криптографическим алгоритмам.

Можете думать иначе - экспертное мнения я уже много раз привел.
123. andrewks 1368 12.09.13 11:56 Сейчас в теме
привожу пример из другой : пассажирские грузоперевозки. требуется обязательно лицензирование для осуществления деятельности.

фирма А заключает договор с фирмой Б на перевозку сотрудников. у фирмы Б нет лицензии. даже транспорта нет
Фирма Б заключает договор со своим постоянным партнёром - фирмой В (у неё есть транспорт,персонал, лицензия) на перевозку сотрудников фирмы А.

исходя из подобной вольной трактовки, обе фирмы занимаются пассажирскими перевозками, обе должны иметь лицензии. однако это не так, что подтверждается практикой и мнением юристов и судей.
125. y-str 60 12.09.13 12:02 Сейчас в теме
(123) Здесь услуги то кто оказывает (осуществляет деятельность)? Фирма А своим сотрудникам что-то продаёт? Или даёт даром? И есть ли договор у фирмы А и Б? Опять же подозреваю, что договор между А и Б заключается не на транспортные услуги, а на что-то иное :)
127. andrewks 1368 12.09.13 12:31 Сейчас в теме
(125) что-то Вы смешали всё в кучу. хорошо, вернёмся к Вашим застройщикам.

я - магнат-девелопер г-н А. (физическое лицо, никаких лицензий, персонала, тракторов/экскаваторов и т.п. не имею). я имею кучу денег, и захотел построить многоквартирный жилой дом (МКД). (здесь принимаем во внимание, что деятельность по постройке МКД в нашем примере будет подлежать лицензированию)
я заключаю контракт со строительной фирмой ООО "СтройТоргВсё", имеющей соответствующие: персонал, технику, лицензию, на постройку конкретного МКД.

построили, сдали.

далее, я (г-н А) начинаю всем хвастаться, что я построил этот дом. должны ли меня привлечь в этом случае за постройку МКД без соответствющей лицензии?
128. andrewks 1368 12.09.13 12:36 Сейчас в теме
кстати, задача "реализовать алгоритм" очень часто встречается в процессе обучения и в тех.заданиях.

если программисты начнут "реализовывать" алгоритмы при помощи программ "OuterCOMServer.АлгоритмСортировкиВставками(Данные);" - это будет весьма весело, если не сказать грустно
129. y-str 60 12.09.13 12:56 Сейчас в теме
(128) Вот именно поэтому есть и отдельные пункты "а)" и "г)". Пункт "а)" относится к криптопровайдерам, непосредственно реализующим алгоритм в своей программе. Пункт "г)" относится к остальным программам опосредованно реализующим алгоритм путем использования автоматизированных систем.

Вот ещё пример. Предположим есть компания которая выпускает библиотеку на С++ (*.lib) в которой реализуется алгоритм криптографического преобразования. Она эту библиотеку продаёт и имеет все соответствующие лицензии на эту деятельность (на продажу и разработку). Потом вторая фирма берет и включает эту библиотеку (*.lib) в свою программу, получается единый исполняемый файл (*.exe) где с помощью "автоматизированного средства" в виде сторонней библиотеки реализуется алгоритмы криптографического преобразования. Нужно ли лицензировать деятельность по созданию такой программы?

Вторая ситуация. Фирма делает исполняемый файл (*.exe) в котором используются функции криптопровайдера. Криптопровайдер в свою очередь является DLL (Dynamic Loading Library), то есть по сути той же библиотекой. Нужно ли лицензировать деятельность по разработке этой, второй программы?

Моя позиция - да, нужны лицензии в обоих случаях.
130. andrewks 1368 12.09.13 13:19 Сейчас в теме
(129) хорошо, оставим полемику, каждый всё равно останется при своём мнении.

у меня последний вопрос: если Вы так плотно общаетесь с известными представителями российской бизнес-криптографии, то они наверняка должны быть в курсе и судебных прецедентов по этой теме.

закон действует уже достаточно долго. хотелось бы видеть хотя бы одну ссылку по п.1 ст.13.13, не связанную с нарушениями в области перс.данных, а именно с обсуждаемыми здесь возможными нарушениями в области пр-ва и распространения программных средств. ибо я измучил судебный портал в доску, но так и не нашёл ни одного такого дела
131. y-str 60 12.09.13 13:44 Сейчас в теме
(130) А с чего "известным представителям российской бизнес-криптографии" собирать статистику по судебным решениям? Обратитесь к "известным представителям юридического бизнеса" хотя бы. Вон "mc2" считает себя в праве судить кто компетентен в юридических аспектах, а кто нет. Вот к нему и обращайтесь.
132. y-str 60 12.09.13 14:01 Сейчас в теме
(130) Да и впринципе процесс контроля такой лицензии будет примерно следующим:
1) Вам позвонит дядечка с очень добрым голосом и предложит придти к нему на беседу в местное отделение ФСБ;
2) После разговора вы либо прекращаете нелицензионную деятельность, либо отдаёте часть прибыли тем, кто поможет вам такую лицензию получить. Ну или если вы совсем дурак, то посылаете ФСБ в пешее сексуальное путешествие и ждете проблем на свою голову. Подозреваю, что таких "отмороженных" среди программистов найдется ооочень мало из этого и отсутствие судебной практики по этому вопросу.
133. СергейК 51 12.09.13 15:53 Сейчас в теме
(132)y-str,
...и ждете проблем на свою голову...


Ну если кроме того наказания, что нашел (60)andrewks
Статья 13.13. Незаконная деятельность в области защиты информации

макс. от десяти до двадцати тысяч- то думаю это нельзя назвать такой большой проблемой, чтоб прям вот боятся, собрать чемоданчик и ждать когда за тобой придут.

А сколько примерно денег будет стоить получение лицензии+ оформление кучи документов+ время?
134. y-str 60 12.09.13 16:10 Сейчас в теме
(133) СергейК, так моё дело только предупредить :) А боятся или нет - уже ваше.
135. СергейК 51 12.09.13 16:20 Сейчас в теме
(134)
Нее-е-е, ну нормально так запугали предупредили. Уголовка.., до 3 лет.

А по закону то что могут вменить? Тема наказания не раскрыта ещё.

Про примерную стоимость лицензии то скажите если знаете?
136. y-str 60 12.09.13 16:22 Сейчас в теме
(135) Цель статьи - информационная. Информацию по необходимой тематике я предоставил, даже два дня подряд дискурсию веду в комментариях. По смежным вопросам - ищите уже сами, гугл в помощь. А про получение лицензии аж на портале Госуслуг описание есть.
137. СергейК 51 12.09.13 17:16 Сейчас в теме
(136)

См. п.3: Реальное наказание за то чем пугаете.
"выявлено выполнение банком лицензируемого вида деятельности по распространению СКЗИ без необходимой лицензии", выписан штраф по ч.1 ст.13.13 КоАП.

Вот и практика нашлась :-)
Всем расслабится... пока.
138. y-str 60 12.09.13 17:26 Сейчас в теме
(137) В статье идет речь про лицензию на разработку и производство. Это несколько другое и оформляется даже иначе. Но за информацию спасибо.
141. uinx 95 25.09.13 17:03 Сейчас в теме
(133) СергейК, про услугу лицензирования по моему это оно: http://www.gosuslugi.ru/pgu/service/10001702026_494.html#_description

(136) как я понимаю общая стоимость 2,6 килорубля?
142. y-str 60 25.09.13 21:19 Сейчас в теме
(141) uinx, да, стоимость "лицензионного взноса" достаточно мала. Но перед тем как расслабиться и кинутся заявление на выдачу лицензий писать почитайте пожалуйста какие документы должны быть приложены к такому заявлению.
139. wa 12.09.13 17:43 Сейчас в теме
Как среднестатистический одинэсник, предположительно которому предназначалась статья скажу, что определённости она не внесла, особенно после прочтения комментариев, которые похожи на разговор глухого со слепым, один из которых обиделся. А жаль. С нетерпением буду ждать ответа на вопрос дополняет ли г) закон новой сущностью или уточняет то, что уже вошло в а).
А после (132) так и вообще складывается впечатление, что автор хочет сказать "Не нарушайте закон, а то он защищается незаконными медотами", что в целом, не новость.
140. y-str 60 12.09.13 18:15 Сейчас в теме
(139) В статье было представлено экспертное мнение, в комментариях - далеко не экспертное.
Насчет (132) - что же такого незаконного я там описал?
143. uno-c 234 31.10.19 19:54 Сейчас в теме
(140)Знакомьтесь с экспертами в области законодательства: программист и начальник отдела продаж.
145. y-str 60 01.11.19 07:19 Сейчас в теме
(143) В статье я описал кто я есть, а также кто есть Юрий Маслов. Считать нас "экспертами" или нет - это выбор каждого отдельного человека.
144. uno-c 234 31.10.19 22:24 Сейчас в теме
Думаю, Вы в спорах по пункту г) ушли от сути этого пункта. Суть его в том, что кодирование может быть частью криптографической системы. Например, если с использованием ручных операций нарисовать пляшущих человечков для ограничения доступа - то получаем криптографическое средство, до первого Шерлока Холмса - хотя это было просто кодированием. Или в RSA rfc3447 есть возведение в степень по модулю, но присутствует в документации также ASN кодирование хранимых ключей, и если это кодирование/раскодирование ключей отдать "на сторону", некоему автоматизированному средству - то оно становится частью криптографической системы, т.е. тоже криптографическим средством.

А то, что мы вызываем МенеджерКриптографии.Зашифровать - никак в пункт г) не влазит. Во-первых это не кодирование. Во-вторых тут не часть криптографических преобразований, а все криптографические преобразования отданы на сторону, мы тут вообще не при делах )
146. y-str 60 01.11.19 07:20 Сейчас в теме
(144) Вы, похоже, почитали только комментарии и забыли почитать саму статью. Советую это, наконец, сделать.
148. uno-c 234 01.11.19 10:08 Сейчас в теме
(146)Главное в Вашей статье - предостережение 1С-очникам. Ваше предостережение базируется на Вашей трактовке пункта г). Думаю, Ваша трактовка пункта г) ошибочна, почему - написал выше.

Если пункт г) прочитать правильно - то предостережения станут неуместны, поскольку вряд ли кто-то будет на языке 1С писать алгоритмы эллиптических кривых и проч. криптографические фишки.

Да, еще пункт в) средство электронной подписи. Ну тут совсем очевидно - если захотите ставить ГОСТ-овскую подпись - то придется покупать КриптоПро. МенеджерКриптографии.Подписать() только "просит" стороннее средство электронной подписи сделать необходимые операции, сам по себе этот Менеджер ничего не умеет.
150. y-str 60 01.11.19 14:19 Сейчас в теме
(148) Все могут иметь своё мнение. У меня одно, у вас другое. Считаете что ваше более верное - ваше право.
151. uno-c 234 01.11.19 14:56 Сейчас в теме
(150)Непонятно только, зачем своим не профессионально-юридическим мнением Вы смущаете народ. "Однако...почти все прикладные решения, использующие криптографию, должны быть выполнены исключительно при наличие лицензии ФСБ"

Однако мнения программистов и начальника отдела продаж разошлись в споре на юридические темы, в частности насчет "должны" )
153. uno-c 234 01.11.19 15:52 Сейчас в теме
(150)"г) средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется ... с использованием автоматизированных средств, предназначенных для выполнения таких операций;"

Думаю, практический смысл данного пункта например такой: если Вы захотите сохранить закрытый ключ в файл закодировав в DER - то лицензирующий орган должен проследить, чтобы автоматизированное средство кодирования не позволяло сохранить этот ключ в открытом виде, или по крайней мере, чтобы обязательно предложило ввести пароль для шифрования закрытого ключа. И при передаче автоматизированному средству самого закрытого ключа для его закодирования - должна быть защита от утечки ключа. Потому что в данном случае средство кодирования будет частью криптографического комплекса.
149. uno-c 234 01.11.19 10:39 Сейчас в теме
(146)В жирном предисловии к Вашей статье я бы добавил: Статья базируется на трактовании нормативно-правовых актов, но ни автор статьи, ни комментаторы не обозначили себя в качестве профессиональных юристов.
147. uno-c 234 01.11.19 10:05 Сейчас в теме
дубль. (вроде ответ писал, а вышло непривязанным к 146 посту)
Оставьте свое сообщение