Форум ''Интернет и Право''
06 Октября 2024, 10:54:12 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.

Войти
Новости: Форум "Интернет и Право" прекратил свою работу с 01 января 2013 г.
 
   Начало   Помощь Поиск Войти Регистрация  
В закладки:
Страниц: [1] 2   Вниз
  Печать  
Автор Тема: Использование иностранных криптосредств в России  (Прочитано 15342 раз)
ASh
Посетитель
*
Офлайн Офлайн

Пол: Мужской
Сообщений: 1


С любовью к ближнему


E-mail
« : 04 Марта 2005, 21:01:08 »

Уважаемые коллеги,

Ситуация:

Крупная международная коммерческая финансовая организация, имеющая офисы по всему миру, включая Москву (ЗАО со 100% иностранных инвестиций). Отношения к гос.тайне, гос.заказам не имеет.

IT головного офиса (иностранного) разработало корпоративное решение для шифрования ноутбуков на основе продукта SafeBoot Device Encryption (http://www.safeboot.com) – Нидерланды.

Из поддерживаемых алгоритмов шифрования (AES 256 bit, AES 256bit (certified), DES 56bit, RC5 32-12-1024, RC5 32,18,1024) скорее всего, будет использоваться AES.

Вопрос 1:

Сотрудник, скажем, Лондонского офиса приезжает в командировку в Москву и пересекает границу. На каких юр. основаниях он может провезти с собой и использовать свой корпоративный ноутбук в России? Могут ли на границе ему правомерно задать вопрос "Установлены ли на ноутбуке криптосредства?" и нужны ли разрешительные документы, чтобы ввезти такой ноутбук? Если да, то какие?

Вопрос 2:

Может ли сотрудник Московского офиса использовать в работе в России ноутбук с таким крипто-инстументом? Выезжать с ним за границу? Нужны ли Московскому офису компании, как юр. лицу, разрешительные документы для этого? Нужна ли сертификация криптосредства?

Вопрос 3:

Сам продукт (инсталяционный образ ноутбука, включая описанное криптосредство) попадет в Россию по электронным каналам (Intranet) и будет локально храниться на distribution-сервере. Как это выглядит с точки зрения таможенного законодательства?

Заранее благодарен за ответы/комментарии
Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #1 : 04 Марта 2005, 22:50:44 »

На первый вопрос ответить не готов.

Использовать может, вывозить за границу, если имеется в виду официальный 100% законный механизм - теоретически да, а вот что для этого может потребоваться - не знаю. Юр.лицу понадобится лицензия на ввоз, выдаваемая Минэкономразвития по разрешению ФСБ, и лицензия на тех.обслуживание, выдаваемая самим ФСБ. Для внутрикорпоративного использования у западной организации проблем быть не должно - по впечатлению от своего общения, основная задача данного отдела не бороться со шпионами и преступниками, а обеспечивать протекционизм местным производителям аналогичной продукции. Учитывая что safeboot обеспечивает возможность централизованного управления всяческими политиками, паролями и т.п., аналогичное российское средство, полностью совместимое с вашим корпоративным стандартом, думаю не существует и полноценной заменой интересующему продукту служить не сможет. Сертификация не нужна да и не возможна - ФСБ сертифицирует только средства, реализующие ГОСТ, которого в safeboot'e естественно нет.

По третьему вопросу мнения противоречивые. Одна весьма уважаемая юридическая компания дала заключение, что для электронного ввоза разрешения не требуется. ФСБ с этим мнением категорически не согласно, возражая примерно в следующем духе - было там, стало здесь, значит было ввезено, значит извольте получить наше разрешение, про таможенную границу ничего не знаем, это к таможне, а у нас своя граница - государственная. Поскольку лицензия все равно формально нужна, не думаю, что с этим имеет смысл спорить, на общем процессе это практически не отражается. От вас в случае электронного ввоза потребуют направить уведомление в ФСБ, когда факт ввоза состоится и предоставить для целей контроля копию того, что вы ввезли. Минэкономики по поводу лицензии на ввоз в электронном виде пребывает в некотором недоумении, но при наличии разрешения ФСБ, направит вам в ответ на запрос письмо, о том, что лицензия не нужна. ФСБ, скорее всего потребует вести учет установок и раз в квартал предоставлять список установленных комплектов. На указанные в законах и инструкциях сроки прохождения я бы не сильно рассчитывал, организация большая и бюрократическая, внутренняя почта с фельдегерем между офисами в Москве ездит неделями. Мы не пытаясь как-то ускорить процесс прошли его за полгода.

Самый простой способ узнать мнение ФСБ по заданным вопросам - направить на Лубянку, 2 в Центра по лицензированию, сертификации и защите государственной тайны ФСБ России запрос, с просьбой разъяснить позицию ФСБ по указанным вопросам. В Памятке соискателю лицензии написано, что консультации по вопросам лицензирования можно получить по телефонам 1495728, 1411504, по вопросам ввоза-вывоза - по телефону 1413396.
Записан

Николай Николаевич Федотов
Ведущий
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 4531


Мафия бессмертна, сыск вечен!

263087756
WWW E-mail
« Ответ #2 : 05 Марта 2005, 00:10:02 »

Крупная международная коммерческая финансовая организация, имеющая офисы по всему миру, включая Москву (ЗАО со 100% иностранных инвестиций). Отношения к гос.тайне, гос.заказам не имеет.

Мы, марксисты, твёрдо знаем, что критерий истины - практика. А практика такова. Подобных иностранных фирм-представительств в Москве - в количестве. Их можно разделить на две группы.

Первые делают в Москве всё как в других филиалах, ставят то же ПО с теми же настройками, а ответами на перечисленные вопросы попросту не интересуются. И наши органы этим не интересуются. И никогда не заинтересуются (если только ввезённую криптографию не продавать).

Вторые с целью дать заработать своим юристам (и эта цель - единственная) заказывают экспертизу по вышеперечисленным вопросам, получают толстенный отчёт, потом оформляют в ФСБ кучу бумажек, запирают их в сейф и забывают до того момента, пока юристы фирмы снова не проголодаются. Тогда процесс повторяется.
Записан

Форензика - компьютерная криминалистика: http://forensics.ru/
Igor Michailov
Модератор
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 7261



« Ответ #3 : 05 Марта 2005, 05:27:27 »

Следует учитывать не только законодательство России но и той страны откуда будут поставлены криптосредства. Так как совершенные действия можно подвести под экспорт технологий. В ряде западных стран на них существуют жесткие ограничения (тем более у Вас , фактически, идет поставка криптосистемы). Если Российским спецслужбам наплевать на то , что Вы ввозите - это вовсе не означает, что спецслужбе той страны откуда будут вывезены криптосредства будет все-равно.
Записан

Юридические консультации.

Помощь в составлении жалоб и ходатайств.

Заверение контента сайтов, Интернет-страниц, электронной почты.
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #4 : 05 Марта 2005, 11:05:53 »

И наши органы этим не интересуются. И никогда не заинтересуются (если только ввезённую криптографию не продавать).
Банки, ввозившие хоть раз для собственных нужд аппаратуру Swift или банкоматы и прочие причандалы для подключения к платежным системам Visa, Mastercard и пр., боюсь с вами не согласятся и расскажут многое про интерес органов. Но есть и иные ситуации. Мы как-то были вынуждены расстаться с достаточно крупным клиентом, расставание вышло конфликтным, клиент должен был денег, которые платить отказывался, дошло до суда, где противоположная сторона подняла вопрос о том, что мерзкая империалистическая компания дурит родное государство и вообще занимется незаконным предпринимательством, поскольку не имеет всех необходимых для работы разрешений и лицензий. Параллельно эта же кляуза была запущена в контролирующие органы, одним из которых было на тот момент ФАПСИ, а вторым Госсвязьнадзор. И хотя все претензии были достаточно надуманными и к спору вообще отношения не имели, усилий на разборки пришлось потратить немало, причем в ФАПСИ довольно быстро все поняли, а вот с Госсвязьнадзором пришлось бодаться достаточно долго, с юристами. И это при том, что поднятые вопросы не были для нас неожиданными, слава богу, мы сами года за три до этого занимались разбором этой ситуации и пришли к выводу, что никаких дополнительных лицензий и разрешений нам не нужно.

Цитировать
Вторые с целью дать заработать своим юристам (и эта цель - единственная)
Процесс получения лицензии ФАПСИ и разрешения на ввоз имел место в конце позапрошлого - начале прошлого года. Консультации с внешними юристами имели место в самом начале и были достаточно ограниченными, в основном ограничились использованием внутренних резервов. На этот этап было потрачено не более 2000 у.е., весь дальнейший процесс обшелся компании в 200 руб., если не путаю, за подачу заявления и в 1000 руб за выдачу лицензии. Могу сказать, что это много меньше, чем суммы фигурировавшие в описанном выше случае.
« Последнее редактирование: 05 Марта 2005, 11:08:00 от Dmitry » Записан

yuriyah
Специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 3369


Ох я дурень старой, голова с дырой (с) Морозко


E-mail
« Ответ #5 : 29 Марта 2005, 11:48:10 »

В области защиты информации не специалист, потому выскажусь лишь по тому вопросу, который знаю.
Если "ввозить электронно", твердо знаю, что привлечь малореально, потому что никакого отношения к ввозу такая передача информации по каналам Интернет не имеет. Выложите этот самый образ под паролем на общедоступном дисковом пространстве, заведите страницу или ftp-сервер на каком-нибудь .kz, скачать и установить любой софт из сети ввозом называть с точки зрения юриспруденции неверно.
Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #6 : 29 Марта 2005, 15:35:36 »

Если "ввозить электронно", твердо знаю, что привлечь малореально, потому что никакого отношения к ввозу такая передача информации по каналам Интернет не имеет.

Соглашусь, что вопрос может быть достаточно спорным, но, ИМХО, все дело в трактовке слова "ввоз", и позиция ФСБ не кажется мне однозначно надуманной и притянутой за уши - на подконтрольной нам территории такого материального объекта раньше не было, теперь есть. Откуда он тут взялся? За исключением случая неисповедимых путей святого духа, мне представляются возможным два варианта - был ввезен или был изготовлен. Вам второй вариант кажется совсем анекдотичным? Зря, хотя прецедент, конечно, не российский и из несколько иной области права.

http://www.masons.com/pdf/R%20v%20Bowden.pdf

The Court did not accept that s.1 was ambiguous or obscure, nor that the natural interpretation led to an absurdity. It agreed with the respondent's counsel that "A person who either downloads images onto a disk or who prints them off is making them.[/u] The Act is not only concerned with the original creation of images, but also their proliferation. Photographs or pseudo-photographs found on the Internet may have originated from outside the United Kingdom; to download or print within the jurisdiction is to create new material which hitherto may not have existed therein."
« Последнее редактирование: 29 Марта 2005, 19:44:27 от Dmitry » Записан

yuriyah
Специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 3369


Ох я дурень старой, голова с дырой (с) Морозко


E-mail
« Ответ #7 : 29 Марта 2005, 16:06:30 »

Какого материального объекта, Дмитрий?
Записан
Dmitry
Участник
**
Офлайн Офлайн

Пол: Мужской
Сообщений: 630


Я не юрист, и даже не сын его.


« Ответ #8 : 29 Марта 2005, 19:48:16 »

Какого материального объекта, Дмитрий?

В упоминавшемся уголовном деле - записанный на материальном носителе файл, содержащий данные фотографического изображения. Применительно к данной ветке - записанный на материальном носителе файл(ы), содержащий данные и комманды, скачанного из сети ПО.
Записан

yuriyah
Специалист
Internet-law team
*****
Офлайн Офлайн

Пол: Мужской
Сообщений: 3369


Ох я дурень старой, голова с дырой (с) Морозко


E-mail
« Ответ #9 : 30 Марта 2005, 09:42:03 »

Какого материального объекта, Дмитрий?

В упоминавшемся уголовном деле - записанный на материальном носителе файл, содержащий данные фотографического изображения. Применительно к данной ветке - записанный на материальном носителе файл(ы), содержащий данные и комманды, скачанного из сети ПО.
[/u]

обратите внимание на выделенный фрагмент. Это не я сказал.
Записан
Страниц: [1] 2   Вверх
  Печать  
 
Перейти в:  

Яндекс цитирования © Антон Серго, 1998-2012. Правовая информация.
Карта сайта "Интернет и Право" (internet-law.ru).

На правах рекламы:

Произвольная ссылка:







Powered by SMF 1.1.21 | SMF © 2011, Simple Machines