-
Новый закон о лицензировании.
Что в себя включает "деятельность по технической защите конфиденциальной информации"? Ведь под это понятие можно притянуть практически любые виды деятельности в области защиты информации.
-
Новый закон о лицензировании.
> Что в себя включает "деятельность по... Да какая разница! Неконституционный* закон, полный "глюков" и весьма далекий от права... Оне, видите ли, запрещают заниматься разработкой авиационной техники, шифровальных (криптографических) средств, вооружений! Разработка -- это мыслительный процесс. Мыслить запретить невозможно! Я дома у себя могу спокойно сидеть и разрабатывать что угодно, хоть ядерное оружие. А если, не дай Бог, конечно, при этом что-то загорится, так я что: тушить огонь не имею права? (деятельность по предупреждению и тушению пожаров подлежит лицензированию) Почему негосударственные (частные) охранную и сыскную деятельность нужно лицензировать, а "государственную" -- нет? (кстати, в нарушение ст. 8 ч. 2 Конституции РФ) Особенно меня порадовало: запрещено без наличия лицензии "воспроизведение (изготовление экземпляров) аудиовизуальных произведений и фонограмм на любых видах носителей" Вах! И этот бред принят Государственной Думой, Советом Федерации и подписан Президентом? Я еще раз глубоко разочаровался в их мыслительных способностях. *) -- Почему закон неконституционен? Он просто противоречит ст. 34 ч. 2 и ст. 56 ч. 3 Конституции. Ссылкой на ст. 55: "К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации..." тут не отделаешься -- часть 3-я 56 статьи не позволяет, которая запрещает вводить любые ограничения предпринимательской деятельности даже при чрезвычайном положении. Дальшейший пассаж Закона тоже умилителен и характерен для современного законотворчества: "... и регулирование которых не может осуществляться иными методами, кроме как лицензированием." А доказательства? Доказывать когда-нибудь наши законодатели будут или нет?
-
Новый закон о лицензировании.
Мировой
опыт показывает, что существует только один способ однозначного определения
объекта регулирования в области защиты информации: производится по следующей
схеме:
Деятельностью в
области защиты информации является:
-
Разработка нормативных документов по защите информации
-
Осуществление мероприятий по защите информации
-
Разработка систем и средств защиты информации
-
Производство систем и средств защиты информации
-
Распространение систем и средств защиты информации
-
Эксплуатация систем и средств защиты информации
-
Сопровождение и обслуживание систем и средств защиты
информации
-
Оказание услуг по защите информации
-
Обучение в области защиты
информации
Деятельность по
защите информации, содержащей сведения, составляющую государственную тайну
подлежит обязательному лицензированию, за исключением деятельности по обучению в
области защиты информации.
Лицензирование
деятельности по защите информации, содержащей сведения, составляющие
государственную тайну, осуществляется уполномоченными, государственными органами
в пределах их компетенции, определяемой законами и иными нормативными актами.
Деятельность по
защите конфиденциальной информации лицензированию не
подлежит.
При защите
конфиденциальной информации собственник информации вправе сам вести деятельность
по защите информации, совместно с иными лицами или перепоручать ее иному
лицу.
Деятельность по
защите открытой информации лицензированию не подлежит.
Тем не менее, в
новой редакции закона О лицензировании отдельных видов деятельности
предусмотрено лицензирование следующих видов деятельности, связанных с защитой
информации шифровальными средствами:
-
деятельность по распространению шифровальных
(криптографических) средств;
-
деятельность по техническому обслуживанию шифровальных
криптографических) средств;
-
предоставление услуг в области шифрования информации;
-
разработка,
производство шифровальных средств, защищенных с использованием шифровальных
(криптографических) средств информационных систем, систем и комплексов
телекоммуникаций.
Определения шифровальных средств в российских нормативных документах пока
нет. По существу использования термина в законе О федеральных органах
правительственной связи и информации он подразумевает шифровальную технику,
применяемую для защиты важной информации в сетях правительственной,
шифрованной, засекреченной или другой специальной связи.
Именно в таком смысле,
как легко убедиться, употребляет его в этом законе
законодатель.
Однако, это совсем не
устраивает ФАПСИ. Агентство всеми силами пытается протолкнуть в нормативные
документы максимально расширительное толкование термина.
Так, в некоторых своих
разъяснениях служба лицензирования ФАПСИ ссылается на то, что термин шифрование
определен в примечаниях в старому стандарту шифрования данных СССР ГОСТ
28147-89. Однако, это весьма жалкая попытка.
Определения терминов в примечаниях к стандарту
ГОСТ28147-89 приводят к порочному кругу:
Шифрование определяется через Шифр,
Шифр - через Ключ,
Ключ - через Криптографическое преобразование,
Криптографическое преобразование - снова через Шифрование.
Круг
замкнулся.
Как
следует из правил логики, из порочного круга определений можно вывести любое
утверждение и его отрицание.
То
есть эти определения не определяют ничего.
Точно
также, как выше СКЗИ определялись через СКЗИ.
Таким
образом, точного определения понятий шифровальные средства, равно как и ,
криптографические средства в настоящее время не существует.
Во избежание в
дальнейшем огромного количества злоупотреблений, которые имели место в данной
области за последние 6 лет следует определить объект лицензирования строго и
однозначно. И конечно же, исключить из него такие нелепости, как отнесение к
шифровальным средствам электронной подписи, которая никак не изменяет исходную
информацию.
Именно от этого и
попытается уклониться ФАПСИ всеми доступными
средствами.
Можно, например,
отнести к шифровальным средствам все те устройства, которые реализуют стандарт
ГОСТ 28147-89 или другие государственные стандарты шифрования или
рекомендованные ФАПСИ агоритмы шифрования и сертифицированы ФАПСИ.
Это полностью
согласуется с типовыми требованиями ФАПСИ к лицензиатам. В этих требованиях по
существу заложено отрицание возможности существования чисто программных
шифровальных средств. Требуется как минимум обязательная защита от перехвата
информации по электромагнитным излучениям, специальные меры по защите от съема
информации по побочным каналам (электропитание и т.п.), специальные меры
контроля за исправностью устройства, реализующего преобразование информации и т.
д. То есть все те строгие требования, которые обычно предъявляются к
шифровальной технике в системах правительственной или шифрованной связи гос.
органов. Это и была на тот момент официальная позиция ФАПСИ.
Только
жгучее желание захватить рынок гражданских средств криптографической защиты
информации массового применения и , особенно, средств цифровой аутентификации
(подписи) электронных документов под свой контроль заставляет их юлить и
изворачиваться для максимального расширения подконтрольной им области
информационных технологий.
-
Новый закон о лицензировании.
Неплохой анализ, но страдающий нелогичностью, и в самом начале. Сравним первое высказывание: > Деятельность по защите информации, содержащей сведения, составляющую государственную тайну подлежит обязательному лицензированию Со вторым: > При защите конфиденциальной информации собственник информации вправе сам вести деятельность по защите информации, совместно с иными лицами или перепоручать ее иному лицу. И теперь вопрос: прекрасно видно, что второе высказывание для случая Государства выглядит следующим образом: "При защите государственной тайны государственный орган, ответственный за ее сохранение, вправе сам вести деятельность по защите информации, совместно с иными лицами или перепоручать ее иному лицу." Логично? Тогда, скажите, зачем приплетать сюда лицензирование??? Зачем создавать лишние сущности? Лишние бюрократические структуры и пирамиды безответственных работников госаппарата? Я сейчас не говорю о правовой стороне дела, а только -- о разумности и экономичности. В конечном счете -- об эффективности. Вы (вместе с Государством) предлагаете, чтобы одна организация хранила гостайны с помощью третьего лица, которое первому ничего не обещало, а заплатила и показалась третьей организации (лицензиару), которое не ответственно перед первым, как и вообще ни перед кем... Если лопнет эта защита, кто будет отвечать: Хранитель тайны? Нет. Он использовал лицензированный, якобы проверенный, продукт (я надеюсь, Вы не путаете сертификацию и лицензирование?). Будет отвечать Лицензиар? Ни в коей мере. Он-то тут причем? Лицензиары ни за что не отвечают, они только права передают (им не принадлежащие, кстати) и деньги получают за эту работу. Лицензиат? У него все тип-топ -- все бумаги в порядке и голограммы отсвечивают... Кто отвечать будет? Правильно -- некто, показавщий нестойкость защиты, а те, кто сваял эту "туфту", кто им разрешил это сделать, кто ее применял -- останутся белыми и пушистыми... Вот Вам и все лицензирование... Когда я слышу этот термин, моя рука тянется к револьверу... :) Свобода, либертарианство, если хотите, и государственное лицензирование деятельности -- несовместимы. Пора уж выбрать, господа...
-
Новый закон о лицензировании.
Не готов с Вами согласиться во всем, уважаемый kenq. Дело в том, что государтсвенные организации, в т.ч. органы власти наделены достаточно большой самостоятельностью. Поэтому, для обеспечения "солидарности в проведении технической политики (в т.ч. и в области защиты)" имеет смысл оставить некоторые механизмы регулирования. Например лицензирование или сертификацию на соответствие стандартам или что-то еще. Суть моих комментариев, в том, что государство не должно вмешиваться с рекомендациями по защите информации в те сферы, которые не имеют отношения к информации государственной.
-
Новый закон о лицензировании.
А интересно, получается, что со вступлением в силу этого закона на деятельность по предоставлению услуг связи и передачи данных лицензии получать больше не нужно. Здорово конечно, но верится с трудом.
-
Новый закон о лицензировании.
> государственные организации, в т.ч. органы власти наделены достаточно большой самостоятельностью. Поэтому, для обеспечения "солидарности в проведении технической политики (в т.ч. и в области защиты)" имеет смысл оставить некоторые механизмы регулирования. Например лицензирование или сертификацию на соответствие стандартам или что-то еще. Суть моих комментариев, в том, что государство не должно вмешиваться с рекомендациями по защите информации в те сферы, которые не имеют отношения к информации государственной. С последним ("государство не должно вмешиваться") -- согласен. > Не готов с Вами согласиться во всем Так в чем же Вы со мной не соглашаетесь? Я говорил о том, что госудаственные органы вполне могут существовать в рамках правового поля для других, негосударственных субъектов. Единые "правила игры" для всех без изъятий -- логично? Вы же сами говорите о некоторой "самостоятельности"... А вот "для обеспечения "солидарности в проведении технической политики (в т.ч. и в области защиты)" имеет смысл оставить некоторые механизмы регулирования" -- очень, для органов Государства, согласен. Только вот причем здесь законодательство (единое для всех)? Если так необходимо обеспечить единообразие в государственных структурах -- достаточно Постановлений Правительства и ведомственных норм, не затрагивающих остальных, не относящихся к Государству... Здесь тоже все логично? Или нет?
-
Новый закон о лицензировании.
аноним,
19.11.2001 в ответ на:
комментарий
(анонимный, 09.10.2001)
Очень странно! Но думается, что новый закон о связи восполнит эту "недопустимую" вольность.
-
Новый закон о лицензировании.
Непонятно. Если у меня есть сервер в интернете, и некоторая информация на нем доступна только по зашифрованному протоколу(https), то получается, мне тоже надо приобретать лицензию в соответствии с этим законом - "защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;"???
-
Новый закон о лицензировании.
> Непонятно. Если у меня есть сервер в интернете, и некоторая информация на нем доступна только по зашифрованному протоколу (https), то получается, мне тоже надо приобретать лицензию в соответствии с этим законом - "защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;"??? У Вас -- методологическая ошибка. Вы обращаете внимание на частности. Они важны, когда общее "здорово". А закон, повторюсь , -- неконституционен. Он не имеет права на существование вне зависимости от той или иной степени бредовости или разумности отдельных положений. Конечно, как приблизительно говорил классик: "жестокость российских законов компенсируется необязательностью их выполнения"... Вот у Вас есть принтер или ксерокс (американская фирма "Зирокс" настаивает, что надо по русски говорить "копир", но не важно :)? А Вы зарегистрировали эти печатные средства в МВД? Нет? А Постановление Правительства такое Черномырдиным подписывалось и действует, насколько я помню (искать номер не буду -- лень, уж извините :)... Нет над Правительством, нет над Законодателем контроля Общества или даже просто контроля Здравого смысла. Поэтому и давлеет "государственное мышление", поэтому и выпускаются псевдоправовые законы, а изумленная публика беспрестанно восклицает по своим частным случаям: "А как же? А что же делать?" Отменять! Если не уговорами, так через Конституционный суд (я бы настоял на отмене, но Дела-то на меня нету)... Не думаю, что хоть один законодатель сюда, на Либертариум, заходил, а зря... Остается -- Суд.
-
Новый закон о лицензировании.
Ну так, Кенга, накатали бы иск в КС. Чего так трепаться-то :(
-
Новый закон о лицензировании.
Да, это частности, но меня интересует конкретный вопрос в рамках конкретного и вступившего в силу закона, и не хотелось бы это выяснять в суде.
-
Новый закон о лицензировании.
> Ну так, Кенга, накатали бы иск в КС. Чего так трепаться-то Максим, вы бы почитали Федеральный конституционный закон "О Конституционном Суде"... Статью 96... Там как раз написано, что я не могу обратиться в КС с жалобой на нарушение конституционных прав и свобод. Дела-то нету! На меня же не заведено административное, гражданское или уголовное дело, следовательно -- мои права и свободы не нарушаются законом, который мог бы быть в этом деле примененным. Вот sergio1 пишет: " меня интересует конкретный вопрос в рамках конкретного и вступившего в силу закона, и не хотелось бы это выяснять в суде " Он не хочет идти в суд. Никто не хочет идти в суд... В КС я бы пошел, но в обычный суд вот тоже не хочу... Никто не хочет быть нарушителем закона и быть наказанным. Проблема в том, что отменить третий абзац части первой 49 статьи в ГК и связанные с этим коротким абзацем тонны документов можно только нарушив действующий закон. Т.е. совершив преступление. А грозить будет 171 статья УК (до трех лет, в группе -- до пяти). Что Вы мне предлагаете? Скопить денег, организовать фирму, заняться деятельностью, подлежащей лицензированию, но лицензии не получать, развернуться в особо крупных размерах, привлечь внимание правоохранительных органов (буквально им глаза мозолить, а то не заметят еще), быть затем судимым и только после этого всего получить право на обращение в КС... Долговато, однако... Мне кажется, что мои мысли по этому вопросу могли бы помочь другим людям, уже сейчас столкнувшимся с этой проблемой. Но увы...
-
Новый закон о лицензировании.
> не хотелось бы это выяснять в суде Я Вас прекрасно понимаю... Я отнюдь не желаю Вам побыстрее оказаться в суде. Закон "О лицензировании" -- отсылочный. Понятия, что есть "шифровальные (криптографические) средства", "шифрование информации", "информационные системы", "телекоммуникационные системы" и т.д. и что есть разнообразная "деятельность", связанная с этими понятиями в нем не определяются. Они должны определяться в соответствующем отраслевом законодательстве. А вот там -- каша. ФАПСИ трактует так, другие -- эдак. Кто кого в суде переговорит -- неизвестно. Подпадает ли https или что-то еще под эти определения -- неизвестно. А если учесть, что у нас не прецедентное право, то даже решения идентичных дел в одном и том же суде и теми же самыми судьями, могут диаметрально отличаться друг от друга (это из реальной жизни, это не фигура речи). Просто всех подвесили на крючок. Когда надо будет -- дернут... Но я надеюсь, если, не дай бог, дернут Вас -- Вы уже знаете, как защищаться ;)
-
Новый закон о лицензировании.
Как защищаться, я понял, спасибо:-). А если всё-таки не ждать, когда "дернут", а попробовать застраховаться, обратившись в то же самое ФАПСИ, например, за разъяснениями, чтобы получить от них официальный ответ, что так мол и так, вашу деятельность надо лицензировать или не надо лицензировать, то куда конкретно Вы бы рекомендовали обратиться?
-
Новый закон о лицензировании.
> А если всё-таки не ждать, когда "дернут", а попробовать застраховаться, обратившись в то же самое ФАПСИ, например, за разъяснениями, чтобы получить от них официальный ответ, что так мол и так, вашу деятельность надо лицензировать или не надо лицензировать, то куда конкретно Вы бы рекомендовали обратиться? Согласно Постановлению Правительства РФ N 135 от 11 февраля "О лицензировании отдельных видов деятельности", лицензиаром в "крипто"-сфере является ФАПСИ. Гостехкомиссия отдельно ведает только "Деятельностью по технической защите конфиденциальной информации" (не знаю, куда это отнести и, вообще, что под этим подразумевается, https сюда тоже можно "пристегнуть", правда, если не сильно обращать внимание на термин "техническая защита"). ФАПСИ должно разработать и утвердить Положение о лицензировании. Затем документ должен пройти регистрацию в Минюсте. В этом Положении и должно быть указано, куда конкретно обращаться...
-
Новый закон о лицензировании.
Спасибо за информацию, будем ждать.
-
Новый закон о лицензировании.
Чиновники, выдавшие лицензии недобросовестным застройщикам, должны нести уголовную ответственность – С.Степашин Чиновники, которые выдавали лицензии строительным компаниям, обманувшим своих соинвесторов, должны нести юридическую и уголовную ответственность. Об этом председатель Счетной палаты РФ Сергей Степашин заявил журналистам в понедельник по окончании встречи с руководством Ассоциации строителей России (АСР). Чиновник отметил, что у Счетной палаты есть поручение проверить работу соответствующих агентств и ведомств, выдававших лицензии. По итогам проверки будет проведена коллегия Счетной палаты по данному вопросу. С.Степашин сообщил, что на сегодняшний день в России насчитывается 32 тыс. обманутых соинвесторов строительства жилья. По мнению главы Счетной палаты, для предотвращения подобных ситуаций необходимо привлекать высокопрофессиональные компании, входящие в АСР. Кроме того, он считает, что стимулировать развитие строительного рынка и предотвратить злоупотребления в этой сфере можно, лишь создав нормальную, эффективно работающую законодательную базу. По словам С.Степашина, АСР готова представить свои предложения по изменению законодательства, регулирующего деятельность строительного комплекса России. «Помимо этого, чтобы снизить риски дольщиков, строители предложили взять на себя общественное лицензирование строительных организаций», - сказал он. http://www.vklad-deneg.ru/estate/show_n.php?tend=18591
|