Ну вот, блин, началось...... значит полностью уходим на Linux :-)

Ну да, перейдем, когда будет сертифицирована GNUPG.

"...где бы что ни говорили, все одно сведет на баб" (c) Филатов, Сказка про Федота-стрельца.

IMHO, в оригинале речь о том, что все, кто берется выполнять ответственную работу (типа ремонтировать самолеты или производить лекарства) обязаны иметь лицензию на осуществление этой деятельности. Список областей деятельности прилагается к закону. К софту там имеют отношение, может быть, только криптография да цифровая подпись. (А еще есть такие опасные для жизни и здоровья людей виды деятельности как копирование аудио-видео и прием металлолома.)

Насколько я понимаю, никакого отношения к "честному исполнению MS EULA и т.п." данные лицензии отношения не имеют. Так что и linux тут вообще ни при чем.

Кстати, уж что насквозь просертифицировано и пропатентовано, так это винды. И если в самом деле запретят использовать альтернативный софт на ответственных участках, то свободный софт пострадает первым...

мерзко...

Получается, если я захочу закрыть свою собственную информацию, мне нужно идти получать на это лицензию.

Во-вторых, у организаций теперь нет права выбора ПО по большинству позиций - так как практически в любой крупной программной системе присутствуют "средства сокрытия конфендициальной информации", а лицензировать будут, понятное дело, только доморощенные произведения придворных кремлевских фирм.

Ощущение, что тебя собираются изнасиловать, а ты обязан при этом радоваться и кричать ура...

мерзко...

Получается, если я захочу закрыть свою собственную информацию, мне нужно идти получать на это лицензию.

Во-вторых, у организаций теперь нет права выбора ПО по большинству позиций - так как практически в любой крупной программной системе присутствуют "средства сокрытия конфендициальной информации", а лицензировать будут, понятное дело, только доморощенные произведения придворных кремлевских фирм.

Ощущение, что тебя собираются изнасиловать, а ты обязан при этом радоваться и кричать ура...

Да бля, скоро ставить фрю или линукс на производственных машинах станет опасно, придут чекисты ФАПСИ, начнут взятки требовать. Дружно переходим на telnet, товарищи - использование ssh в этой стране становится небезопасным. Пароли храним в /etc/shadow в открытом виде и регулярно отправляем их в ближайшее отделение фапси. GPG быстро и дружно стираем и никогда больше не используем.

Хотелось сказать про что:
я настраиваю сервак(связано с защитой иформации беги получать лицензию)
настроил и прошу кого нибудь, допустим посетителей этого сайта протестить его на уязвимость.
Но так как ни кого нет соответствующей лицензии, то это незаконно :((

Можно долго говорить о чем либо, но ситуация все больше напоминает роман Замятина "Мы"

2 anonymous (*) (2002-07-04 10:22:54.547)
>Кстати, уж что насквозь просертифицировано и пропатентовано, так это
>винды. И если в самом деле запретят использовать альтернативный софт
>на ответственных участках, то свободный софт пострадает первым...
речь про то, чтопрежде чем помогать кому нибуть (та же самая установка операционки, настройка работы с интернетом и т.д., где есть связь с защитой информации) надо будет получить лицензию

2l-xoid (*) (2002-07-04 11:59:49.768):

Я понял все приблизительно так же. Т.о. \-/ сисадмин, профессиональный ил нет (помогающий кому-л, человек следящий за компами) должен получать лицензию при попытке использовать шифрование?

Кстати, для нарушения лицензирования обязательно использовать шифрование или достаточно просто закрыть дискету на запись и вставить в shared дисковод (закрыть доступ на диск C:)?

А вы, распологаете сертификатом на потребление кислорода ???

Best regard`s LuckySlacky

Зависимости пакетов

Блин, что за детский сад! вы хоть читали ссылку?

Статья 1.Сфера применения настоящего Федерального закона 1. Настоящий Федеральный закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности в соответствии с перечнем, предусмотренным пунктом 1 статьи 17 настоящего Федерального закона.

Статья 4. Критерии определения лицензируемых видов деятельности К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием.

Статья 17. Перечень видов деятельности, на осуществление которых требуются лицензии ... деятельность по распространению шифровальных (криптографических) средств; деятельность по техническому обслуживанию шифровальных (криптографических) средств; предоставление услуг в области шифрования информации; разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем; деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей; деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя); деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации; разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации, индивидуальными предпринимателями и юридическими лицами, осуществляющими предпринимательскую деятельность; ...

это значит, что если ты частный предприниматель или юридическое лицо, и занимаешься например предоставленим услуг в области шифрования информации или разработкой и (или) производством средств защиты конфиденциальной информации, тогда и только тогда твоя деятельность подлежит лицензированию. Если ты: 1.сисадмин, пытающийся использовать шифрование в собственной фирме 2.настраиваешь сервак(связано с защитой иформации) в собственной фирме 3.захочешь закрыть свою собственную информацию 4.ставить фрю или линукс на производственных машинах в собственной фирме То это личное дело тебя или твоей фирмы. Если ты делаешь то-же самое кому-то как просто знакомый, это личное дело этого кого-то пользоваться твоими услугами. Если ты оказываешь услуги как частный предприниматель или юридическое лицо, то при некачественном выполнении работ по защите информации фирма-клиент может попасть на бабки, и она будет спрашивать с тебя, поэтому лучше вообще предотвратить подобное, для этого этот закон и предназначен (см. Статью 4)

Единственное - при коммерческом распостранении дистрибутива Linux, содержащего средства шифрования, будет нужна лицензия. При некоммерческом распостранении такая лицензия ненужна.

Пурга, эти уроды самине знают что делают - предлагаю раслабится и немать об этом. Время рассудит.

2psmith (*) (2002-07-04 14:48:59.457):

Я не скрываю того, что у меня нет ни юридического образования, ни навыков чтения подобного сорта документов, поэтому и спрашивал. Я рад, что ответы на мои вопросы отрицательные.

Psmith, ТЫ НЕ ПРАВ! Объсняю на пальцах
> разработка, производство шифровальных (криптографических)
> средств, защищенных с использованием шифровальных
> (криптографических) средств информационных систем"

и

> деятельность по распространению шифровальных
> (криптографических) средств

Пример из практики: я пишу модуль в ядро Linux'а (и
кстати написал), и модуль этот "прозрачно" шифрует
данные Loop-девайсов. Проблема в том, что если я начну
раздавать этот модуль, то это попадет под вторую цитату,
а то чем я занимался - под первую. Грустно? Мне - очень.

Перечисление категорий тех, кто попал "под статью" идет
через запятую, что как правило нашими "экспертами по
безопасности" трактуется как "любой с любым" - а это
значит запрет на использование PGP, GPG а также всех
несертифицированных реализаций чего-либо и так далее...

2 НоДаши.
Нет, не совсем так. Ты попадешь под оба случая, если будешь свой модуль распространять ЗА ДЕНЬГИ. Т.е. продавать. Если ты его просто выложишь где-нить в инете или будешь использовать у себя на работе/дома, то никаких к тебе претензий никто предъявить не сможет.

ЗЫ. Правда я пару-тройку лет тому назад слышал, что у нас еще в действии советсткий закон, запрещающий самовольно (без лицензии) заниматься шифрацией чего-либо.

> я пишу модуль в ядро Linux'а (и кстати написал), и модуль этот "прозрачно" шифрует
> данные Loop-девайсов. Проблема в том,

Проблема только в том, что ты его написал (а зачем, спрашивается?).
А решается она элементарно использованием готового и проверенного модуля
loop-AES. Ты даже можешь его не распространять, а лишь кинуть ссылку клиенту на
то место, где он лежит.

to psmith (*) (2002-07-04 14:48:59.457): настоящая ссылка не та, что указана
на сайте www.bugtraq.ru. Речь ведь идет о кодексе, а не о Федеральном Законе, правильно?
Так вот, текст самого кодекса я нашел тут: http://www.internet-law.ru/law/kodeks/koap.htm

Теперь несколько реплик по поводу качества работы наших законотворцев.
Читаем указанную в объявлении статью 13.12:
-------------
2. Использование несертифицированных информационных систем, баз и банков данных, а также
несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за
исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных
размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без
таковой; на должностных лиц - от десяти до двадцати минимальных размеров оплаты труда; на
юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией
несертифицированных средств защиты информации или без таковой.
-------------

Статья довольно печальная. Под информационную систему можно отнести что угодно,
в том числе и mysql-сервер с двумя таблицами и веб-интерфейсом. То есть по идее
почти каждый вебсайт, на котором есть окошко поиска можно под эту статью подогнать.

Но если бы я был адвокатом, то моментально бы нашел в ней "дырочку". Обратите внимание
на вид и степень наказания. Фирма легко может перерегистрировать свой сайт на подставное
частное лицо, слегка его подредактировать по выходным данным, и вуаля,
5-10 минимальных окладов осилят все ;) Заметьте, что конфискация согласно кодексу
распространяется только на несертифицированные средства защиты информации!
Базы данных из этого определения отмазать очень легко...

Согласен с anonymous (*) (2002-07-05 06:11:05.654). Все наши законы составляются очень хитрым образом - таким, что совсем непонятно что хотели этим сказать. По нашим законам файл links.html с парой ссылок на софт вполне можно отнести к "вредоносному программному обеспечению, модифицирующему содержимое НЖМД пользователя". Вот так вот.

Кстати дискуссия расположенная выше доказывает это. Кто-то решил, что это относится ко всему ПО и придется покупать лицензионную Винду, хотя в тексте написано только про сертификацию, т.е. соттветствие ПО предъявляемым к нему требованиям со стороны Госстандарта РФ. Кто-то решил, что данный документ относится ко всем криптосистемам, хотя по закону если ты сделал что-то для себя и сам этим пользуешься (ну еще друганам раздаешь на их собственный страх и риск) то это сертифицировать данный продукт не нужно.

Так что мой вам совет - знакомтесь с адвокатами, пока не поздно. =)

З.Ы.: Кто бы меня познакомил!? Причем с адвокатшей... Молодой... И симпатичной... И опытной... В смысле в юридических делах =)

С уважением, null666

5-10 МРОТ осилят, конечно, все. Вопрос один, какое вообще дело этому сраному государству может быть до тех СУБД и средств криптографической защиты информации, которыми пользуется частное предприятие. Насколько я понимаю, сертифицированных средств различного назначения сейчас имеется совсем немного. В основном это какие-то отечественные поделки, аналогичные PGP и средства организации VPN (верба, шип, криптон...). Я не утверждаю, что все эти поделки говно под стать этому государству, но хочу иметь свободу выбора. А теперь этой свободы практически не будет. Потому, что сертифицировать что-либо вроде BSD-шного IPsec в доблесном коррумпированном ФАПСИ практически нереально...

Эх, задумались бы люди, куда нас тянет чекистская зараза. Этот пример лишь частный случай, хотя и очень характерный...

так какие СРЕДСТВА подлежат обязательной сертификации?

2. Использование несертифицированных ...... если они подлежат обязательной сертификации.

С деятельностью всё ясно. А вот средства то какие надо сертифицировать?

2anonymous Насчет статьи 13.12 кодекса пункт второй: эта статья только оговаривает административное наказание за конкретное нарушение, но сами правила, которые нарушаются, оговариваются именно Федеральным законом. ключевая фраза: Использование несертифицированных ... если они подлежат обязательной сертификации ... как определить, подлежат сертификации средств защиты информации или информационные системы? именно из закона. в том законе, на который была ссылка, оговариваются только отношения различных частных предпринимателей и юридических лиц, так что все что я говорил раньше остается в силе. другое дело, что могут существовать другие законы, которые оговаривают обязательную сертификацию каких-то конкретных информационных систем, используемых в критических областях, например в медицине, промышленных предприятиях, аварии на которых могут привести к нежелательным последствиям, и т.д. Но чтобы существовал закон, оговаривающий обязательную сертификацию любых информационных систем, типа домашней странички Васи Пупкина - очень сомневаюсь в существовании такого закона. Насчет средств шифрования неуверен, учитывая общий маразм в этой области такой закон может существовать, но он точно не из тех законов, что даны в ссылках в этой дискуссии.

Кстати, насчет "лицензионной" винды и лицензировании деятельности или средств шифрования - это несколько разные вещи, и мне кажется некоторый народ здесь их путает. первая лицензия - это лицензия микрософт, вторая- лицензия государства. если средства шифрования в винде несертифицированы, то нельзя использовать (в определенных случаях) хоть пиратскую винду, хоть лицензионную, различий между ними в этом смысле нет. использование пиратской винды заботит микрософт, но не государство.

Тема очень важная, а законы действительно огорчают своей непонятностью, возможно стоит написать письмо в ФАПСИ по поводу - можно или нет??? А зпрещают шифровать, чтобы вы терроризмом не занялись (сделали им неконтроллируемый канал обмена информацией, который СОРМ-2 не осилит). Вот так...

Хотя я думаю, что если я частное лицо, то при приходе органов или еще кого я им выдам все ключи на любой трафик, диск, БД после оответствующей санкции. Хотя с презумкцией невиновности это тоже под вопросом, органам придется доказать судье, что я что-то скрываю, угрожающее государству.

прочитайте закон об электронной подписи и успокойтесь

Складывается впечатление общее, что вся эта законовыдательность в области С(К)ЗИ сделана для того, чтобы ФАПСИ и ГТК смогли "обдоить" побольше народа - сертификации и лицензии стоят нехилых денег, и много мороки, и много "на лапу"... Грустно это. На самом деле понятно, что никто никого "привлекать" не будет за _использование_, а вот конторы типа Инфотекса будут активно "жировать" и стучать на конкурентов. По поводу loop-AES: а мой модуль называется loop-gost :-) И о всяких Криптонах, Вербах, Аккордах и Далласах - я их видел вживую - НУ ТАКОЕ Г*&^%!!! Если одним словом, то в большинстве случаев это все не дает ничего, кроме невозможности откачать машину после "выпадания" виндов (если рассматривать СЗНСД), и не дает спокойно сменить программную и аппаратную платформу комплекса, если устанавливалась какая-нибудь софтина (типа VipNET)... Платы Криптон - так те вообще не пойми что - т.н. "Криптон-эмулятор" (программа, эмулирующая драйвер карты и саму железку) работает быстрее самой платы :-)

А тут речь не совсем об ЭЦП, а о лицензировании в области деятельности защиты информации. Кстати, беседовал тут со своими безопасниками "вот, написал..." - "Крут, молодец, покажи... Ру-у-улез... Но не сертифицируют все равно - у тебя бабок таких нет..."

К счастью, подлежат сертификации только те, кто работает с федеральными учреждениями и продукты, используемые этих учреждениях...

> Насчет статьи 13.12 кодекса пункт второй: эта статья только оговаривает административное наказание
> за конкретное нарушение, но сами правила, которые нарушаются, оговариваются именно Федеральным законом.

Э, не скажи... Без мудрого адвоката никто тебе не поверит ;) Я тоже чисто
интуинтивно думал так как ты. Но сам посмотри, где в Федеральном Законе
хоть слово говорится про информационные системы, базы и банки данных? А нигде... нет такого.
Зато есть в кодексе. Налицо расхождение с законом? Да, но поди это еще докажи...

>Складывается впечатление общее, что вся эта законовыдательность в области С(К)ЗИ сделана для того, чтобы ФАПСИ и ГТК смогли "обдоить" побольше народа

На самом деле это, IMHO, попытка предотвратить электронный МММ: "набрали денег - пришёл хакер - всё увел - не виноватые мы".

>сертификации и лицензии стоят нехилых денег,

Не так уж и много. Хотя если контора маленькая - то конечно немало.

>и много мороки,

С этим согласен

>и много "на лапу"...

Вот это вы зря. Мы на лапу никому не давали. Хотя конечно встретили, проводили по-человечески - ну это всегда.

>Грустно это. На самом деле понятно, что никто никого "привлекать" не будет за _использование_,

Часть народа тут просто не понимает, что есть три случая: первый - разработка коммерческой (т.е. не для себя) СЗНСД и прочего; второй - оказание услуг по защите от НСД (кроме очевидных услуг по установке и наладке всяких криптонов-далласов сюда подпадает также обслуживание клиентов по клиент-банку, интернет-банку, пластику, свифту и все прочие места, где текут деньги клиентов); третий - разработка и использование СЗНСД внутри своей конторы (там, где не текут деньги клиентов). Законом покрываются только первые два.

>а вот конторы типа Инфотекса будут активно "жировать" и стучать на конкурентов. По поводу loop-AES: а мой модуль называется loop-gost :-) И о всяких Криптонах, Вербах, Аккордах и Далласах - я их видел вживую - НУ ТАКОЕ Г*&^%!!!

Вы видели не всё гавно. Есть такая зачудительная программка by ЦБ, которая для ведения логов таскает с собой драйвера DAO. Падучая, кстати, ужасно. И это при том, что стоит на очень ответственном участке, где отличие поведения программы в одной букве от того, что в инструкции описано, приводит к поискам АИБ-а живого или мёртвого.

>Если одним словом, то в большинстве случаев это все не дает ничего, кроме невозможности откачать машину после "выпадания" виндов (если рассматривать СЗНСД), и не дает спокойно сменить программную и аппаратную платформу комплекса, если устанавливалась какая-нибудь софтина (типа VipNET)... Платы Криптон - так те вообще не пойми что - т.н. "Криптон-эмулятор" (программа, эмулирующая драйвер карты и саму железку) работает быстрее самой платы :-)

Так машинка-то у вас помощнее будет, чем проц, который на криптоне. Вон в космосе у американцев AFAIK ещё 486-е летают.

Уважаемый anonymous (*) (2002-07-08 07:59:39.873), Вы случаем не из Инфтоэкса? :-) "Есть такая зачудительная программка by ЦБ, которая для ведения логов таскает с собой драйвера DAO." Это не тот &^%*^%&%^$$% УТ-что-то-там??? Если да, то я знаю об этой программе - более того я сопровождаю не одну спущеную сверху такую задачу в нашем отделении ЦБ :-( А насчет "не давали на лапу" - наверное, вас просто не посвятили в это дело, поскольку дается обычно от частного лица лично частному лицу :-/