gifts2017

Про использование криптографии в 1С

Опубликовал Юрий Строжевский (y-str) в раздел Программирование - Защита и шифрование

В последнее время очень популярной стала тема использования шифрования и цифровой подписи (ЭЦП). Возможности удобного использования криптографических преобразований встроены и в 1С. Однако достаточно много людей упускают один важный момент - почти все прикладные решения, использующие криптографию, должны быть выполнены исключительно при наличие лицензии ФСБ. Об этом и пойдёт речь в данной статье.

Изначально написать данную статью меня побудила дискуссия в комментариях к http://infostart.ru/public/157454/. Как я заметил, вопросы лицензирования разработок с использованием криптографических преобразований достаточно далеки для основной массы разработчиков на 1С. Тем не менее эти вопросы очень важны, или лучше иначе - жизненно важны, если в один прекрасный момент разработчик не желает проснуться нарушителем Федерального закона.

Маленький "disclaimer" - данная статья является сугубо моим мнением и призвана только обратить внимание разработчиков на существующую проблему.

Для начала позвольте описать кто же я такой:

  1. Являюсь первичным автором очень известной программы "КриптоАрм" (www.trusted.ru). Разработал эту программу в 2003-2004 годах, один, с нуля и до версии 2.5 включительно. С середины 2004-го года отношения к ней не имею;
  2. Являюсь автором статьи "Использование Crypto API" (http://rsdn.ru/article/crypto/usingcryptoapi.xml), которая была написана в 2004-ом году. Очень рекомендую ознакомиться с этой статьей перед ознакомлением со всем следующим материалом;
  3. Являюсь автором статьи "ASN.1 простыми словами" (http://habrahabr.ru/post/150757/);
  4. С 2005-го года являюсь активным участником наиболее популярного форума по тему использования криптографии - форума фирмы "Крипто-ПРО" (http://www.cryptopro.ru/forum2/);
  5. Начинал профессиональную карьеру как программист 1С. Опыт работы - более 5-ти лет, сертификаты по всем компонентам 1С 7.7 получены в январе-феврале 2000 года;

Итак, перейдём теперь к сути данной статьи.  В последнее время очень популярной стала тема использования шифрования и цифровой подписи (ЭЦП). Возможности удобного использования криптографических преобразований встроены и в 1С. Однако достаточно много людей упускают один важный момент - почти все прикладные решения, использующие криптографию, должны быть выполнены исключительно при наличие лицензии ФСБ. Теперь перейдём к юридической базе данного вопроса.

Основным документом, регулирующим деятельность в описываемой сфере, является Федеральный Закон "О лицензировании отдельных видов деятельности". Приведу выдержку из этого закона:


Статья 12. Перечень видов деятельности, на которые требуются лицензии

1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);


В качестве более развернутой информации о том, что же собственно понимается под этим лицензируемыми видами деятельности следует использовать постановление правительства Российской Федерации "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАЗРАБОТКЕ, ПРОИЗВОДСТВУ, РАСПРОСТРАНЕНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ". Ниже приведена выдержка из этого положения:


2. К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:

а) средства шифрования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

б) средства имитозащиты - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

в) средства электронной подписи;

г) средства кодирования - средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

д) средства изготовления ключевых документов - аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;

е) ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

ж) аппаратные шифровальные (криптографические) средства - устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

з) программные шифровальные (криптографические) средства - программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;

и) программно-аппаратные шифровальные (криптографические) средства - устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.


Ну а теперь расскажу о том, что как здесь может быть нарушено простым программистом 1С. Во-первых при создании конфигураций, использующих создание электронной цифровой подписи, напрямую нарушается пункт "в)" упомянутого выше положения. Кроме того при создании конфигураций использующих шифрование нарушается пункт "г)", хотя это и менее очевидно. Остановимся на этом пункте более подробно.

Для начала подставим вместо определения "средства шифрования" полную расшифровку этого понятия из пункта "а)". В итоге получим следующий текст пункта "г)":


средства кодирования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций


Согласен, очень много букв, так что упростим данной предложение и уберем лишнее для нас:


Средства кодирования - программные средства, реализующие алгоритмы криптографического преобразования информации, в которых часть криптографических преобразований осуществляется с использованием автоматизированных средств, предназначенных для выполнения таких операций.


То есть если программа имеет своим "выходом" зашифрованный файл, то её производство должно осуществляться только при наличие лицензии ФСБ Российской Федерации на разработку шифровальных и криптографических средств.

Теперь обсудим возможные возражения на приведенное мною утверждение:

  1. "Ну я же шифрую через 1С, причём здесь лицензия?"
    • Увы, но вы делаете "программное средство", которое производит "криптографические преобразования" с использованием "автоматизированных средств, предназначенных для выполнения таких операций". То есть конечно вы используете сторонние компоненты (криптопровайдер), а также стороннее средство создания программных средств (1С), но сути это не меняет - закон требует лицензирования процесса создания "сферической программы в вакууме", которая выполняет "сферические криптографические преобразования в вакууме";
  2. "Лицензированию подвергается только криптопровайдер и всё"
    • Опять же увы, но это ошибка. Разработка криптопровайдеров это тоже лицензируемый вид деятельности, но только он проходит по пункту "а)". А вот все программы, которые используют функции криптопровайдера, должны быть лицензированны уже по пункту "г)";

В заключение приведу ссылки на вопросы, связанные с лицензированием и заданные на форуме Крипто-ПРО. В ответах фигурирует пользователь "Юрий Маслов", который является коммерческим директором самой фирмы Крипто-ПРО. Этот человек занимается лицензированием продукции криптографической направленности уже более 13-ти лет и является одним из наиболее авторитетнейших экспертов в этой области:

  1. http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=1662
  2. http://www.cryptopro.ru/forum2/default.aspx?q=cryptopro/forum2/default.aspx?g=posts&t=1347
  3. http://www.cryptopro.ru/forum2/default.aspx?g=posts&t=6060

А теперь маленькая оговорка: в действительности  лицензирование требуется только в том случае, если вы продаёте программное средство, то есть осуществляете предпринимательскую деятельность. В случае если вы делаете это программное средство для себя и своего предприятия, то это выходит за рамки ФЗ "О лицензировании отдельных видов деятельности" (в следствие отсутствия деятельности как таковой).

Так что делайте программные средства, прозводящие криптографические преобразования, сколько вашей душе будет угодно, но только пожалуйста осторожнее.

См. также

Подписаться Добавить вознаграждение
Комментарии
1. andrewks 09.09.13 16:51
поскольку описываемый функционал входит сейчас практически во все типовые конфигурации 1С, и, если руководствоваться предлагаемой стратегией по классификации таких продуктов по пунктам в), г), то лично у меня возникает следующий вопрос:

в таком случае лицензированию подлежит не только производство, но также и распространение (продажа), а также услуги тех.обслуживания. оба пункта в обилии выполняются многочисленной армией франчей 1С. однако 1С не предъявляет к своим франчам обязательного требования наличия соответствующих лицензий ФСБ, и подавляющее большинство мелких и средних франчей их по факту не имеет (а те, кто имеет, как правило, крупные, с кучей направлений жеятельности, и получали их для других целей - для продажи криптографических продуктов типа Крипто-Про и т.д.)

означает ли это, что среди франчей 1С происходит массовое нарушение положений ФЗ РФ при попустительстве фирмы 1С?
2. Юрий Строжевский (y-str) 09.09.13 17:37
У фирмы 1С есть все необходимые лицензии на разработку защищенных систем. А лицензии на обслуживание/продажу выходят за рамки этой статьи. Здесь достаточно сложный вопрос, который касается условий договора между 1С и франчайзи. Скорее всего продажа производится как-бы самой фирмой 1С, а франчайзи в договоре не светится и получает своё вознаграждение опосредованно, от самой 1С.
3. Юрий Строжевский (y-str) 09.09.13 17:44
(1) Кстати если есть возможность то задайте вопросы про лицензирование использования криптографии в 1С на партнерском форуме. Я такой возможности лишен, но мне было бы крайне интересно знать "официальную позицию" по этому вопросу.
4. andrewks 09.09.13 18:02
(2) y-str, договор и акт приёма-передачи, а также услуги по поддержке подписывает/осуществляет именно франчайзи, а не 1С напрямую.
(3) доступа к партнёрскому форуму 1С у меня нет (я не являюсь ни франчем, ни представителем какого-либо франча)
5. Юрий Строжевский (y-str) 09.09.13 18:08
(4) В общем в эти дебри тонкостей договоров франчайзи у меня влезать желания нет.

Но я общащаюсь к другим читателям данной статьи: задайте вопрос представителям 1С на партнерском форуме, так как вопрос этот очень важен буквально для каждого франчайзи и независимого разработчика 1С.
6. Сергей Крымов (СергейК) 11.09.13 10:26
Т.е. если программа будет для выполнения подписи/шифрования запускать внешнюю программу типа КриптоАРМ, то производство такой "программы" все равно требует лицензирования? Оч. замечательно...

Я так понимаю для исключения проблем достаточно выделить "шифровальный модуль" в отдельное приложение/обработку и распространять его бесплатно?

Интересно, а есть ли вообще хоть один случай привлечения за нарушение данного закона?

Ну и уж идти до конца, раз есть опыт, давайте уж сразу советы и рекомендации по выводу ПО из под действия данного закона! :-)
7. Юрий Строжевский (y-str) 11.09.13 10:44
(6) СергейК, представим, что бесплатный "шифровальный модуль" выделен в какую-то отдельную DLL (например), а основная платная программа только его использует. Ещё раз смотрим на пункт "г)" из моей статьи и видим:
"Средства кодирования - программные средства, реализующие алгоритмы криптографического преобразования информации, в которых часть криптографических преобразований осуществляется с использованием автоматизированных средств, предназначенных для выполнения таких операций"

То есть основная программа так или иначе нарушает этот пункт "г)", даже если "шифровальный модуль" бесплатен. В общем случае закон запрещает без лицензии продавать программы осуществляющие любые криптографические преобразования, без разницы с помощью платный или бесплатных модулей это было сделано.

Насчет привлечений за нарушения закона: у меня нет такой статистики (да она мне и без нужды). Думаю, что ранее ситуация была несколько иная: в криптографию "залезали" только близкие к ФСБ организации и они, понимая свою выгоду, всегда получали необходимые лицензии. А вот сейчас с увеличением "попсовости" в криптографию стали лезть все кому ни лень, а вот тут уже возможны взыскания. Кстати напомню что за неисполнение Федерального закона предусмотрена ответственность в соответствие с Уголовным (!) кодексом в виде срока до 3-х лет лишения свободы.
8. mc2 11.09.13 11:27
(105) Gazza, Вы ошибаетесь: читайте внимательно начало фразы "Средства кодирования - программные средства, реализующие алгоритмы криптографического преобразования информации". В данном случае, основная программа не содержит таких алгоритмов, поэтому не полежит лицензированию. Основной целью лицензирования является именно контроль за шифровальными модулями и внедрение в них backdoor-ов, для того, что бы ФСБ смогло расшифровать как можно больше зашифрованного контента, поэтому способы использования "дырявых" модулей уже никого не волнует. Т.о., если вы хотите надежно шифровать контент от спецслужб, необходимо использовать только ПО с открытым кодом, например, OpenPGP.
TrashMaster; +1 Ответить 2
9. Юрий Строжевский (y-str) 11.09.13 11:35
(8) mc2, Вы ошибаетесь, потому что читаете не внимательно конец фразы:
"Средства кодирования - программные средства, реализующие алгоритмы криптографического преобразования информации, в которых часть криптографических преобразований осуществляется с использованием автоматизированных средств, предназначенных для выполнения таких операций".

Таким образом лицензированию подлежит разработка любой программы осуществляющей криптографические преобразования (различные модификации компоновки таких программ приведены в пунктах "а)-и)" упомянутых выше).
10. mc2 11.09.13 12:06
(9) y-str, Конец фразы тут уже не при чем: алгоритмы криптографического преобразования информации, в которых... Нет разработки программы, реализующей криптографический алгоритм - не нужна лицензия. Рекомендую Вам проконсультироваться у профессионального юриста, прежде чем вводить сообщество в заблуждение.
11. andrewks 11.09.13 12:23
(10) mc2, я пытался ему доказать то же самое, безрезультатно

http://forum.infostart.ru/forum24/topic72743/?PAGEN_1=2
с поста №169
12. Юрий Строжевский (y-str) 11.09.13 12:25
(10) mc2, хорошо, тогда давайте я приведу последовательность из моего уже состоявшегося обсуждения в комментариях к http://infostart.ru/public/157454/.

Имеем что лицензированию подлежат:

"Программные средства, реализующие алгоритмы криптографического преобразования информации, в которых часть криптографических преобразований осуществляется с использованием автоматизированных средств, предназначенных для выполнения таких операций".

Разработчик делает программное средство, результатом работы которой является криптографическое преобразование информации по какому-то алгоритму. Таким образом есть и "программное средство", и "реализация криптографического преобразование". Кроме того так как все программные средства в Windows в конечном итоге используют криптопровайдер то есть и "с использованием автоматизированных средств, предназначенных для выполнения таких операций".

В своей статье я привел мнение двух экспертов: своё и Юрия Маслова, коммерческого директора фирмы "Крипто-ПРО". Ссылки на его комментарии по этому вопросу приведены в статье. Должен сказать, что на форум "Крипто-ПРО" постоянно посещает множество реальных экспертов как по вопросам употребления криптографических преобразований, так и юридически подкованных личностей. Так вот к чему это я: высказываниям Юрия Маслова по нескольку лет, и тем не менее никто за это время не попытался их оспорить. Если у Вас какое-то отличное от его мнение то я очень прошу Вас придти на форум "Крипто-ПРО" и высказать Ваше мнение там.
13. mc2 11.09.13 13:06
(12) y-str, Смотрите: в законе написано о программном средстве, реализующем алгоритм криптографического преобразования информации, а вы пишите про программное средство, результатом работы которой является криптографическое преобразование информации по какому-то алгоритму. Разве вы не видите разницы? Откуда такая вольная трактовка закона? Чтобы было понятнее, приведу такой пример: Приложение 1С (или любое другое) отправляет почтовое сообщение используя почтовый клиент ОС по-умолчанию (объект 1С "Почта"). Клиент устанавливает у себя Thunderbird с с плагином Enigmail и OpenPGP, и сообщение, отправленное из 1С уходит в зашифрованном виде. В результате получается "программное средство, результатом работы которой является криптографическое преобразование информации по какому-то алгоритму". Исходя из вашей трактовки закона, получается, что любое ПО, которое может отправить сообщение через почтового клиента ОС по умолчанию, должно быть лицензировано. Абсурдность этого вывода очевидна!
mihey; TrashMaster; andrewks; +3 1 Ответить 2
14. Сергей Крымов (СергейК) 11.09.13 13:08
(7) y-str,
представим, что бесплатный "шифровальный модуль" выделен в какую-то отдельную DLL (например), а основная платная программа только его использует. Ещё раз смотрим на пункт "г)" из моей статьи и видим: ...

Понятно. Изменяем методику.
Делаем бесплатный "шифровальный продукт" который модифицирует основное ПО, добавляя в него нужный нам функционал, или даем пользователю инструкцию как этот функционал самостоятельно сделать.
Что вроде выводит нас из лицензируемого пространства, т.к пользователь самостоятельно изготовил средство шифрования и т.п. для своих нужд. Так получится?
15. Юрий Строжевский (y-str) 11.09.13 13:17
(13) mc2, тогда я ещё более сокращу определение из закона:

"Программные средства, реализующие алгоритмы криптографического преобразования информации...с использованием автоматизированных средств".

Так что да, разработка той программы, которую Вы описали, должна быть произведена только при наличие лицензии. Одна оговорка - если компания-производитель зарегистрирована в Российской Федерации. И вторая оговорка - если эта программа платная.

Ещё раз повторюсь: если Вам кажется ошибочным моё мнение, то я привёл и мнение другого человека, признанного авторитета именно в вопросе лицензирования программ использующих криптографические преобразования. Вы можете, конечно, иметь своё мнение на этот счет или как-то трактовать закон в свою пользу, или опираться на мнение своего знакомого "супер-пупер юриста", или даже обсудить эту проблему со своими друзьями на кухне и придти к какому-то своему мнению. Однако же мнение реальных экспертов останется неизменным и я его Вам привел. Если Вы действительно хотите с ним поспорить - поспорьте, приходите на форум и там поспорьте.
16. andrewks 11.09.13 13:19
(15)
И вторая оговорка - если эта программа платная.

откуда вывод про платность/бесплатность?
17. Юрий Строжевский (y-str) 11.09.13 13:19
(14) СергейК, ну тогда уж стоит просто делать "шифровальный модуль" неким внешним приложением, в котором пользователь сам может выполнить нужные Вам преобразования. Тогда да, никакого лицензирования тут не нужно, пользователь делает всё сам.
18. Юрий Строжевский (y-str) 11.09.13 13:20
(16) andrewks, Федеральный закон называется "О лицензировании отдельных видов деятельности". То есть если программа бесплатная то понятия "деятельности" тут нет.
19. andrewks 11.09.13 13:26
(18) y-str, т.е. Вы считаете, что изготовление бесплатного ПО - это не деятельность?
20. andrewks 11.09.13 13:29

175.
y-str
04.09.13 7:43

(174) Uncore, поймите, что ВСЕ программы на Windows, реализующие функции шифрования и ЭЦП, так или иначе используют интерфейс криптопровайдеров. Будь это CAPICOM, 1С или скажем КриптоАРМ.

А насчет CAPICOM - библиотека, конечно, бесплатная, но вот все-таки ФЗ "О лицензировании отдельных видов деятельности" в России эта библиотека не обходит.
21. Юрий Строжевский (y-str) 11.09.13 13:30
(13) mc2, и кстати научитесь уже, что реализация свободного алгоритма PGP называется OpenPGP, а не OpenGPG. Один раз написали - я подумал что просто ошиблись. Но постоянного такого коверкания я не вынесу :)
22. andrewks 11.09.13 13:30

Статья 12. Перечень видов деятельности, на которые требуются лицензии


1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);


http://www.consultant.ru/popular/license/38_2.html#p160
© КонсультантПлюс, 1992-2013


разработка, производство, распространение шифровальных (криптографических) средств

при чём здесь бесплатность?
23. Юрий Строжевский (y-str) 11.09.13 13:31
(20) andrewks, выпускать бесплатный продукт можно, а вот использовать бесплатный продукт в платной программе - нет.
24. Юрий Строжевский (y-str) 11.09.13 13:33
(22) andrewks, сконцентрируйтесь на слове "деятельность", думаю что это поможет.
25. andrewks 11.09.13 13:37
(24) y-str, предлагаете беллетристикой заняться?
прокомментируйте, пожалуйста, (22) внятно и прозрачно
26. Сергей Крымов (СергейК) 11.09.13 13:37
(17)y-str,
ну тогда уж стоит просто делать "шифровальный модуль" неким внешним приложением, в котором пользователь сам может выполнить нужные Вам преобразования.

Не-е-е-е, нам же нужен продукт все в одном, чтоб одной кнопкой сделали отчет, подписали/зашифровали, отправили и т.п.
Ну подытожу: на данный момент разработчику программы по сдаче алк. декларации для исключения проблем с законом на всякий случай нужно вынести функционал шифровани/подписи в отдельный бесплатный модуль, и сделать инструкцию по его интеграции пользователем самостоятельно в его продукт. Так?
27. Юрий Строжевский (y-str) 11.09.13 13:42
(25) andrewks, субъектами Федерального Закона "О лицензировании отдельных видов деятельности" являются организации и частные предприниматели (можете поискать, даже где-то в гарантах-консультантах это написано). В связи с этим для этих субъектов понятие "деятельности" подразумевает "предпринимательскую деятельность". Предпринимательской называют деятельность связанную с получением прибыли. При распостранении чего-то бесплатно прибыли нет, а значит нет и деятельности.
28. Юрий Строжевский (y-str) 11.09.13 13:45
(26) СергейК, на данны момент IMHO такую программу надо делать так, чтобы она просто формировала некие выходные файлы. А вот криптографические преобразования пусть пользователь сам осуществляет с помощью внешних продуктов. Можно даже ему скрипт написать, который он и будет запускать. Ещё раз - я тут лицо сторонее, так что всё сказанно только сугубо моё личное мнение.
29. mc2 11.09.13 14:02
(15) y-str,
Так что да, разработка той программы, которую Вы описали, должна быть произведена только при наличие лицензии.

Я писал о разработке программы, которая посылает сообщение по электронной почте! Какое отношение она имеет к криптованию? Откуда ее разработчик может знать, как ее будет использовать клиент? Кстати, любой линк на веб-страницу, на которой используется mailto: может сделать тоже самое. Т.о., по Вашей теории, любой веб-дизайнер, использовавший mailto: при разработке веб-страницы может сесть на 3 года. Я же этот пример как и привел чтобы показать абсурдность такой трактовки закона.
Насчет мнений "экспертов по лицензированию": трактовку закона разрешено делать только Президиуму Верховного суда, а также судье в конкретном процессе. Поэтому трактовать закон, не ссылаясь ни на какие судебные прецеденты, мягко говоря не корректно.
30. Юрий Строжевский (y-str) 11.09.13 14:09
(29) mc2, цель данной статьи - только информирование. Если кто-то для себя решил, что и я, и коммерческий директор крупнейшей российской компании "Крипто-ПРО" ошибаются, то пусть так. Возможно как-раз на людях имеющий противоположное мнение и будут показаны как Вы выразились "судебные президенты" :)
31. andrewks 11.09.13 14:12
(27) y-str,
Предпринимательской называют деятельность связанную с получением прибыли. При распостранении чего-то бесплатно прибыли нет, а значит нет и деятельности.


становится всё интереснее.

ФЗ РФ "О НКО" содержит много положений о деятельности этих самых НКО, не направленную на получение дохода
32. mc2 11.09.13 14:14
(26) СергейК,
на данный момент разработчику программы по сдаче алк. декларации для исключения проблем с законом на всякий случай нужно вынести функционал шифровани/подписи в отдельный бесплатный модуль

По трактовке закона автором этой темы, это вам не поможет, т.к. в результате все-равно получится автоматизированная система шифрования информации. А поможет вам только получение лицензии от ФСБ. Не стоит верить всему, что пишут в интернете. Если хотите получить точную информацию, то пошлите официальный запрос о необходимости лицензирования в отдел лицензирования ФСБ с подробным описанием организации шифрования данных в вашей системе и используемого модуля шифрования.
33. Юрий Строжевский (y-str) 11.09.13 14:17
(31) andrewks, о как :) Тогда наверное Вы в курсе, что НКО запрещено заниматься коммерческой деятельностью?
34. andrewks 11.09.13 14:20
(33) y-str,

2. Некоммерческая организация может осуществлять предпринимательскую и иную приносящую доход деятельность лишь постольку, поскольку это служит достижению целей, ради которых она создана и соответствует указанным целям, при условии, что такая деятельность указана в его учредительных документах. Такой деятельностью признаются приносящее прибыль производство товаров и услуг, отвечающих целям создания некоммерческой организации, а также приобретение и реализация ценных бумаг, имущественных и неимущественных прав, участие в хозяйственных обществах и участие в товариществах на вере в качестве вкладчика.

(в ред. Федерального закона от 08.05.2010 N 83-ФЗ)


http://www.consultant.ru/popular/nekomerz/71_4.html#p754
© КонсультантПлюс, 1992-2013
35. andrewks 11.09.13 14:21
(28)
Можно даже ему скрипт написать


исходя из Ваших выкладок - получается, что нельзя (без наличия лицензии)
36. mc2 11.09.13 14:22
(30) y-str,
цель данной статьи - только информирование

Не квалифицированное информирование - это дезинформирование. Мнение коммерческого директора частной компании по данному вопросу вообще не интересно. Если бы вы ссылались, на мнение профессора права МГУ или на мнение члена Президиума Верховного суда или на официальный комментарий от отдела лицензирования ФСБ, тогда это было бы информативно и интересно, а так, как здесь пишут, это просто "баян".
37. Юрий Строжевский (y-str) 11.09.13 14:23
(34) andrewks, думал, что им реально запрещено заниматься предпринимательской деятельностью, спасибо за информацию. Но поясните пожалуйста как все это относится к теме обсуждаемой статьи?
38. andrewks 11.09.13 14:25
(27)
субъектами Федерального Закона "О лицензировании отдельных видов деятельности" являются организации и частные предприниматели (можете поискать, даже где-то в гарантах-консультантах это написано). В связи с этим для этих субъектов понятие "деятельности" подразумевает "предпринимательскую деятельность". Предпринимательской называют деятельность связанную с получением прибыли. При распостранении чего-то бесплатно прибыли нет, а значит нет и деятельности.


вот как. т.е. физическое лицо (без статуса ИП) не может осуществлять деятельность, в т.ч. направленную на получение выгоды, как то:

- разработка, создание ПО
- тех.обслуживание
и т.д.

очень интересная трактовка
TrashMaster; mc2; +2 1 Ответить 1
39. andrewks 11.09.13 14:26
(37) y-str, мы разговаривали про деятельность
40. Юрий Строжевский (y-str) 11.09.13 14:27
(36) mc2, во-первых "бОян". Во-вторых "бояном" называют информацию многократно ранее повторенную в известных источниках. Это выражение пошло от очень старого анекдота, но это выходит за рамки статьи.

В общем предлагаю Вам написать "статью-опровержение". Напишите её здесь же и раскритикуйте меня в пух и прах. А пока я здесь я доношу до читателей иную информацию.
41. Юрий Строжевский (y-str) 11.09.13 14:29
(38) andrewks, предпринимательскую деятельность без регистрации ИП и ООО регулируетс статья 171 УК РФ "О незаконной предпринимательской деятельности".
42. andrewks 11.09.13 14:34
позволю себе привести выдержку из КоАП, чтобы очертить возможную (предполагаемую автором статьи) ответственность:


Статья 14.1. Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)


1. Осуществление предпринимательской деятельности без государственной регистрации в качестве индивидуального предпринимателя или без государственной регистрации в качестве юридического лица -

влечет наложение административного штрафа в размере от пятисот до двух тысяч рублей.

(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)

(см. текст в предыдущей редакции)

2. Осуществление предпринимательской деятельности без специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), -

влечет наложение административного штрафа на граждан в размере от двух тысяч до двух тысяч пятисот рублей с конфискацией изготовленной продукции, орудий производства и сырья или без таковой; на должностных лиц - от четырех тысяч до пяти тысяч рублей с конфискацией изготовленной продукции, орудий производства и сырья или без таковой; на юридических лиц - от сорока тысяч до пятидесяти тысяч рублей с конфискацией изготовленной продукции, орудий производства и сырья или без таковой.

(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)

(см. текст в предыдущей редакции)

3. Осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией), -

влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей; на должностных лиц - от трех тысяч до четырех тысяч рублей; на юридических лиц - от тридцати тысяч до сорока тысяч рублей.

(в ред. Федеральных законов от 22.06.2007 N 116-ФЗ, от 27.07.2010 N 239-ФЗ)

(см. текст в предыдущей редакции)

4. Осуществление предпринимательской деятельности с грубым нарушением условий, предусмотренных специальным разрешением (лицензией), -

влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от четырех тысяч до пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от четырех тысяч до пяти тысяч рублей; на юридических лиц - от сорока тысяч до пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.

(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)

(см. текст в предыдущей редакции)

(часть четвертая введена Федеральным законом от 02.07.2005 N 80-ФЗ)


http://www.consultant.ru/popular/koap/13_15.html#p4548
© КонсультантПлюс, 1992-2013
43. andrewks 11.09.13 14:36
(41) y-str, есть деятельность, и есть предпринимательская деятельность.

предпринимательская деятельность - это всегда в т.ч. деятельность
но деятельность - не всегда предпринимательская.

мне кажется, это должно быть весьма понятно
44. Сергей Крымов (СергейК) 11.09.13 14:39
(32)mc2,
По трактовке закона автором этой темы, это вам не поможет, т.к. в результате все-равно получится автоматизированная система шифрования информации.


Так точно, но она получится у пользователя, т.е. он её сам сделает для своих нужд, что не запрещено.
Запрещено продавать. Как то так.
45. Юрий Строжевский (y-str) 11.09.13 14:39
(42) andrewks, есть понятие "лицензии на осуществление предпринимательской деятельности", а есть "лицензирование отдельных видов деятельности". Первая "лицензия" - эта бумажка, которую может купить программист и работать спокойно. А вот вторая - для её получения придется очень много поработать.

За отсутствие первой "лицензии" - штрафы, за отсутствие второй - до 3-х лет.

Пожалуйста различайте эти два понятия.
46. andrewks 11.09.13 14:40
(41) y-str, не всякая предпринимательская деятельность - незаконная


Статья 171. Незаконное предпринимательство


1. Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, -

(в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

(см. текст в предыдущей редакции)

наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо арестом на срок до шести месяцев.

(в ред. Федеральных законов от 08.12.2003 N 162-ФЗ, от 07.03.2011 N 26-ФЗ, от 07.12.2011 N 420-ФЗ)


http://www.consultant.ru/popular/ukrf/10_31.html#p2693
© КонсультантПлюс, 1992-2013
47. andrewks 11.09.13 14:41
(45) y-str,
есть понятие "лицензии на осуществление предпринимательской деятельности"


это уже выше моего понимания :) что за зверь "лицензия на осуществление предпринимательской деятельности" и с чем его едят? или вы про гос.регистрацию ИП/ЮЛ?
48. Юрий Строжевский (y-str) 11.09.13 14:44
(46) andrewks, да, эта статья - очень распостраненная "отмазка" и почти всегда мелкий бизнес оставляют в покое именно в следствие действия этой статьи. Действительно, можете и дальше продолжать свою деятельность надеясь, что все будет впорядке.
49. Юрий Строжевский (y-str) 11.09.13 14:48
(47) andrewks, здесь я имел в виду то, что сейчас называется "патентной системой налогообложения".
50. Юрий Строжевский (y-str) 11.09.13 14:50
(47) andrewks, так я все пытаюсь вернуть нить рассуждения. Первично что-то было насчет "а причем тут бесплатно". Что-то ещё осталось не понятым?
51. andrewks 11.09.13 14:53
(48) y-str, если верить Вашим трактовкам, то нужно, например, всех физ.лиц (без статуса ИП), имеющих заключенные договора на аренду чего-либо (недвижимости, автомобилей и т.п.) привлечь к уголовной ответственности, причём даже тех, кто платит с этих доходов НДФЛ
52. andrewks 11.09.13 14:54
(50) y-str, да. непонятно Ваше высказывание про "до 3-х лет"

поясните, пожалуйста
53. mc2 11.09.13 15:00
(44) СергейК, Но часть-то этой системы вы ему продадите. Посмотрите, что автор мне написал про отправку емайлов из 1С, если клиент поставит Thunderbird, Enigmail и OpenPGP - "в таком случае требуется лицензирование".
54. Юрий Строжевский (y-str) 11.09.13 15:15
(52) andrewks, сейчас не могу найти. Пока по памяти: если в Федеральном Законе отсутствует прописанная ответственность за его нарушение, то за нарушение такого закона назначается уголовная ответственность сроком до трех лет.
55. mc2 11.09.13 15:18
(21) y-str, Спасибо, опечатку исправил, теперь вам будет спокойнее :)
56. Сергей Крымов (СергейК) 11.09.13 15:24
(53) mc2,
Но часть-то этой системы вы ему продадите.

Что значит "часть". Я продал законченную систему с удовлетворяющим покупателя функционалом.
Мне все равно что он там доделает/исправит/доустановит.
Я то причем. Лишь бы не приставал с багами не моего кода. :-)
57. andrewks 11.09.13 15:28
(54) y-str, гениальная формулировка. оставлю без комментариев :)
58. mc2 11.09.13 15:32
(40) y-str, Про "бАян" прочитайте здесь http://lurkmore.to и здесь http://ru.wikipedia.org/wiki. И если брать происхождение из упомянутого вами анекдота, имея в виду музыкальный инструмент, то все-таки "баян", а не "боян". Учите грамматику русского языка, прежде чем учить других.
59. Юрий Строжевский (y-str) 11.09.13 15:43
(58) mc2, вы ещё про своих "судебных президентов" почитайте и поправьте :)
60. andrewks 11.09.13 16:12
вот что я нарыл: адм.ответственность за обсуждаемые здесь нарушения регламентирована другой статьёй КоАП:


Статья 13.13. Незаконная деятельность в области защиты информации


1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), -

влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.

(в ред. Федерального закона от 22.06.2007 N 116-ФЗ)


http://www.consultant.ru/popular/koap/13_14.html#p4394
© КонсультантПлюс, 1992-2013
Yury_; gulagm; mc2; y-str; +4 Ответить 2
61. Юрий Строжевский (y-str) 11.09.13 16:20
(60) andrewks, спасибо за информацию, я упустил эту статью из виду.
62. mc2 11.09.13 16:46
(59) y-str, Поправил, с вас "Федаральный" закон теперь :)
63. Юрий Строжевский (y-str) 11.09.13 17:06
(62) mc2, спасибо, исправил. С вас тогда статья-опровержение на мою статью. Надеюсь вы сможете подкрепить её мнением реальных (пусть даже по вашим меркам) экспертов, а не таких как я, или коммерческий директор крупнейшей в России фирмы производящей ПО криптографической направленности, или 7000 участников крупнейшего форума по криптографии.
64. mc2 11.09.13 18:23
(63) y-str,
С вас тогда статья-опровержение на мою статью

Я уже выше писал, кто имеет право комментировать или разъяснять закон, повторюсь: Президиум Верховного суда, судья в конкретном процессе, государственный регулирующий орган (например отдел лицензирования ФСБ). Т.к., я ни к одному из перечисленных никакого отношения не имею, а также, я не располагаю ни какими данными по практике применения данного конкретного закона, то я не считаю, что имею право на написание такой статьи. Статья должна опираться на конкретные объективные факты, а не личное мнение и мнение третьих лиц, которые также как я или вы не имеют права интерпретировать закон. Хотите сделать серьезную статью на эту тему - напишите запрос в отдел лицензирования ФСБ, и опирайтесь на полученный оттуда ответ, иначе получается так: один не имеющий никаких полномочий человек прокомментировал закон на одном форуме, а другой повторяет это на другом, а потом кто-то захочет "блеснуть" своими познаниями и повторит это еще где-нибудь. Вот так и переносится информация методом ОБС (одна баба сказала).
65. Юрий Строжевский (y-str) 11.09.13 20:47
(64) mc2, тогда я ещё раз повторюсь, что данная статья носит исключительно информационный характер.

Насчет полномочий: думаю что в нашей стране найдётся очень мало людей, которое столь же плотно общаются с тем же отделом лицензирования ФСБ как Юрий Маслов. Он чистый практик, человек в обязанности которого непосредственно входит лицензирование продуктов криптографической направленности. И я ещё раз обращу внимание, что за многие годы которые прошли с озвучивания его мнения никто его не оспорил. А ведь оно было высказано не на вторичном форуме по 1С, а на профильном форуме по криптографии. Никто из тех реальных профессионалов, которые постоянно присутствуют на форуме "Крипто-ПРО" не выразил сомнения в словах Юрия Маслова. А вот вы, человек абсолютно не известный даже на форуме 1С, почему-то берете на себя смелость говорить что его мнение это фигня и вы тут главный Д'Артаньян и знаете лучше всех как и у кого что спрашивать. Поймите, что в любом деле есть свои профессионалы и я очень надеюсь, что основные читатели этой статьи прислушаются к мнению действительно знающих людей, а не просто к тому самому "кухонному теоретику".
66. mc2 12.09.13 02:27
(105) Gazza,
повторюсь, что данная статья носит исключительно информационный характер

Эта статья носит исключительно дезориентирующий характер! Вместо того, чтобы подсказать читателям куда действительно надо обращаться при возникновении обсуждаемого вопроса, вы навязываете им свое субъективное мнение, не имея на то никаких полномочий или объективных доказательств.
Насчет полномочий: думаю что в нашей стране найдётся очень мало людей, которое столь же плотно общаются с тем же отделом лицензирования ФСБ как Юрий Маслов.

Плотно общается - значит имеет полномочия интерпретировать закон! Железная логика! Что это за юридический термин такой - "общается"? И как установить степень "плотности общения", которая дает такие полномочия?
...за многие годы которые прошли с озвучивания его мнения никто его не оспорил. А ведь оно было высказано не на вторичном форуме по 1С, а на профильном форуме по криптографии.

Особенно если учесть, что этот форум принадлежит и модерируется его компанией. Откуда вы знаете про возражения? Может они все уже удалены. Вам самому не кажется странным, что вы вместо того, чтобы ссылаться на какие-либо документы гос.регулятора ссылаетесь на мнение представителя частной компании, у которой могут быть свои интересы в интерпретации этого закона. Мне лично, кажется это очень странным.
...берете на себя смелость говорить что его мнение это фигня и вы тут главный Д'Артаньян и знаете лучше всех как и у кого что спрашивать

Не надо присваивать мне то, что я не говорил. Ю.Маслов на форуме своей компании имеет право высказывать любое свое мнение. И дело клиентов его компании, которые общаются на этом форуме, как им реагировать на его мнение.
в любом деле есть свои профессионалы и я очень надеюсь, что основные читатели этой статьи прислушаются к мнению действительно знающих людей

Похоже, что главный Д'Артаньян здесь как раз вы. Только вы знаете, кто здесь профессионал, а кто так мимо проходил. А я все-таки надеюсь, что читатели, которых действительно интересует порядок лицензирования криптографических продуктов и систем, в случае возникновения вопросов или сомнений, будут обращаться на прямую в регулирующий орган, и не будут доверять "пугалкам" от "общающихся с общающимися" с регулирующим органом.

Мой вам совет - пишите программы и не лезьте в юриспруденцию, а если вам хочется ею заниматься, то получите сначала юридическое образование, чтобы "полномочия" у вас перестали определяться "плотностью общения", и наконец вы бы узнали куда надо обращаться за получением комментариев и разъяснений по законодательству.

67. TrashMaser TrashMaster@ro.ru (TrashMaster) 12.09.13 06:42
(8) mc2,
Основной целью лицензирования является именно контроль за шифровальными модулями и внедрение в них backdoor-ов

Справедливо для любой страны. Если возникнет необходимость, "органы" найдут и обратятся к вам сами, а карательная сторона закона будет применена, если ваша реакция будет неадекватна.
Эта же цель преследовалась при попытке запретить шифрование в почтовом сервисе гугл на территории России, как мы видим, пока это не удалось сделать даже с такими законами.
68. TrashMaser TrashMaster@ro.ru (TrashMaster) 12.09.13 07:10
Вопрос автору по поводу практики шифрования:
Китайские съемные usb-носители no-name с функциям шифрования. В каждой модели заявлен свой уникальный стойкий алгоритм. Никаких документов.
Как классифицируется их ввоз в страну, распространение посредством продажи, использование, хранение и физическая транспортировка данных на таких носителях? Прошу учесть, что это имеет массовый характер.
69. Юрий Строжевский (y-str) 12.09.13 08:17
(66) mc2, в своей статье я ссылаюсь не на "документы регулятора", а на Федеральный Закон. И в дополнение я представил его интерпретацию от известных в мире российской криптографии экспертов.

В противоположность вы представили мне свою интерпретацию. Наверное вы эксперт в криптографии? Постоянно проходите сертификацию/лицензирования в ФСБ? Или хотя бы общаетесь со знающими эту тему людьми? Думаю что на все вопросы ответ "нет". Так что ваша интерпретация представлена именно "кухонным теоретиком" и не заслуживает доверия. Но я согласен чтобы она была.

Кстати таки да, я знаю кто тут эксперт, а кто мимо проходил. Я уже представился в начале статьи кто я такой, если хотите попробуйте оспорить наличие моей экспертности.
70. Юрий Строжевский (y-str) 12.09.13 08:22
(67) TrashMaster, пожалуйста, читайте внимательно о чем я пишу! Почитайте что именно лицензируется и какие условия для прохождения лицензии! Никаких "backdoor'ов" там не встраивается, максимум что происходит - компания предоставляет контролирующему органу ФСБ исходный код продукта для проверки корректности встраивания.

(68)
Вопрос автору по поводу практики шифрования:
Китайские съемные usb-носители no-name с функциям шифрования. В каждой модели заявлен свой уникальный стойкий алгоритм. Никаких документов.
Как классифицируется их ввоз в страну, распространение посредством продажи, использование, хранение и физическая транспортировка данных на таких носителях? Прошу учесть, что это имеет массовый характер.


Давайте вернемся к теме статьи. Вы согласны с моими выводами, сделанными в статье? Если нет то почему? Приведите свои доводы в пользу противоположного мнения.
71. Юрий Строжевский (y-str) 12.09.13 08:35
ОБРАЩЕНИЕ КО ВСЕМ "КРИТИКАМ":
В случае если вы имеет мнение, противоположное с моим то вы можете:

1) Написать свою статью-опровержение;
2) Написать на партнерский форум 1С и попросить представить официальное мнение 1С по этому вопросу;
3) Написать в контролирующие органы ФСБ и представить их мнение по этому вопросу;
4) Придти на форум "Крипто-ПРО" и обсудить этот вопрос с профессионалами;

В этой статье доведено существующее экспертное мнение. Наверное экспертность людей, упомянутых в статье, для программистов на 1С вызывает сомнения. Найдите других экспертов, обладающим другим мнением. Расскажите кто они такие. Опровергните существующую экспертную оценку. Лично я только скажу вам за это "спасибо", правда.
72. TrashMaser TrashMaster@ro.ru (TrashMaster) 12.09.13 08:52
(70) y-str, Доводы:
Цель затронутых в публикации законов - обеспечить государство документацией по всем используемым алгоритмам путем сертификации и лицензирования деятельности по их генерации. Зачем - тут не обсуждаем, про бэкдоры - была цитата, все мы понимаем, что это для нашей же пользы стараются.
Если я мелкая сошка и использую легальный сертифицированный алгоритм, разработанный легальной лицензированной й фирмой, в лицензионной для этих задач программе и на выходе у меня шифрованный файл, соответствующий всем стандартам - никаких претензий быть не может.
Если, предположим, кто-то, начинает химичить в тех же самых условиях, например с комбинированием шифрований - на выходе будет "самопал" и этот кто-то - враг государства.

С выводами в статье не согласен. Приведенный мной пример (68) - подпадает под прямое действие, а по Вашей логике каждого владельца современной флешки надо привлекать к ответственности.
73. Юрий Строжевский (y-str) 12.09.13 09:00
(72) Это просто Закон. Он может Вам не нравится, или нравится, но это Закон. Для чего он там делался - почти никто достоверно (и экспертно) сказать не может.

И ещё раз обращу Ваше внимание - при лицензировании контролируется корректность встраивания криптографических модулей. Также контролируется корректность процесса разработки программ криптографической направленности. Дополнительно контролируется корректность процесса обслуживания средств криптографической направленности.

Заканчивайте придумывать свои трактовки Законов! Если не хотите их читать, то хоть прислушайтесь что говорят вам реальные эксперты! Сейчас вы поступаете как новичок в 1С, который прочитал оглавление книжки Радченко и который спорит с экспертами о том, как должна работать та или иная функция. И ещё говорит: "Да ваше мнение - ерунда. Вот приведите мне ответ самого Радченко - тогда это будет экспертное мнение". У вас, конечно, может быть своё мнение, но на экспертное мнение ваше мнение не повлияет, пойми это уже.
74. Юрий Строжевский (y-str) 12.09.13 09:25
(68) Итак вот такой вопрос:
Вопрос автору по поводу практики шифрования:
Китайские съемные usb-носители no-name с функциям шифрования. В каждой модели заявлен свой уникальный стойкий алгоритм. Никаких документов.
Как классифицируется их ввоз в страну, распространение посредством продажи, использование, хранение и физическая транспортировка данных на таких носителях? Прошу учесть, что это имеет массовый характер.


В моей статье рассматривается вопрос лицензирования процесса разработки программ криптографической направленности. Где тут разработка? Как связан этот вопрос с вопросами, рассмотренными в моей статье? И, кстати, Вы достоверно уверены, что ввоз таких флешек и их продажа проводятся абсолютно легально? И даже если это так, то это уже вопросы импорта зарубежной криптографии, а это тема совершенно иной статьи.

С выводами в статье не согласен. Приведенный мной пример (68) - подпадает под прямое действие, а по Вашей логике каждого владельца современной флешки надо привлекать к ответственности.


А где же это я говорил, что владельца средства криптографической направленности надо привлекать к ответственности? Не нужно передергивать, сконцентрируйтесь на теме статьи и обсуждайте факты.
75. andrewks 12.09.13 09:38
(70)
Давайте вернемся к теме статьи.


давайте.
что, по-Вашему, означает "реализация алгоритма"?

например, архиватор 7-zip реализует уникальные алгоритмы сжатия (компрессии). могу ли я, написав программу (скрипт) для бэкапирования на языке интерпретатора командной строки Windows (cmd) с вызовом программы "7z.exe", позиционировать, продвигать и продавать её как программу, реализующую уникальные алгоритмы сжатия (компрессии)?

является ли истинным утверждение, что мой скрипт из 10 строк реализует алгоритмы сжатия (компрессии)? являюсь ли я гением потому, что десятью строчками кода реализовал уникальные алгоритмы сжатия (компрессии)?
76. TrashMaser TrashMaster@ro.ru (TrashMaster) 12.09.13 09:45
(73) y-str, 1) Не надо воды про абстрактность законов и их трактовку. Я вопрос задал по массовому прецеденту и
это пункт повис без ответа.

2) По поводу перехода на личности: можно поинтересоваться, хотя Вы ведь не судебный эксперт, но ведь могли видеть экспертные заключения, или присутствовать на экспертизах. Вы вообще в курсе порядка, практических приемов и методов работы по оценке электронных документов и программных средств? Какой опыт есть у Вас, в отличие от меня?
Повторюсь: вопрос об практике фактической доказательной экспертной оценке а не о регистрации различных лицензий и сертификатов.
77. Юрий Строжевский (y-str) 12.09.13 09:45
(75) Ещё раз приведу сокращенную цитату из закона про то, что подвергается лицензированию:
Программные средства, реализующие алгоритмы криптографического преобразования информации ... с использованием автоматизированных средств, предназначенных для выполнения таких операций

То есть само программное средство может не содержать "реализацию алгоритмов", а вот внешнее "автоматизированное средство" - может, и вцелом разработка такого программного средства подлежит лицензированию.

Насчет алгоритмов сжатия и компресии мы поговорим когда выйдет Закон о лицензировании разработки программ сжатия и компрессии.
78. Юрий Строжевский (y-str) 12.09.13 09:47
(76) На Ваш вопрос я ответил в (74). И поясните пожалуйста причем здесь мой опыт "по оценке электронных документов и программных средств" и зачем он нужен для написании статьи про лицензирование этих программных средств?
79. Макс Норицын (gulagm) 12.09.13 09:58
Возможен такой вариант выхода из ситуации для разработчиков, которые хотят действовать строго по данным нормативным документам и получать прибыль, - оформиться штатным программистом на предприятие-заказчика на время осуществления заказа или обслуживания (неделя, месяц, год). При этом можно получать прибыль, а для предприятия заказчика - это собственные нужды.

Статья 12. Перечень видов деятельности, на которые требуются лицензии

1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
TrashMaster; y-str; +2 Ответить 2
80. andrewks 12.09.13 09:59
(77) y-str,
Насчет алгоритмов сжатия и компресии мы поговорим когда выйдет Закон о лицензировании разработки программ сжатия и компрессии.

при чём здесь это? не увиливайте от ответа. я Вас спрашивал не про лицензии на разработку программ сжатия, а про то, что Вы понимаете под понятием "программа, реализующая алгоритм"

ибо понятие прямо используется в тексте закона:

средства кодирования - аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций
81. andrewks 12.09.13 10:01
является ли скрипт на JS из трёх строк с вызовом криптопровайдера по COM средством, реализующим криптографический алгоритм?

является ли скрипт из трёх строк с вызовом программы сжатия средством, реализующим алгоритм сжатия?

вот в чём вопрос. а не в лицензировании разработки архиваторов
82. Юрий Строжевский (y-str) 12.09.13 10:01
(79) Абсолютно правильно! Предприятие имеет право разрабатывать криптографические средства для своих нужд, и это не требует лицензирования. Ранее я это уже упоминал.
83. Юрий Строжевский (y-str) 12.09.13 10:06
(80) Ну сколько же можно повторять? Программа реализует алгоритм с помощью другой программы. Там же ясно это написано и выделенно в отдельный пункт, и этот пункт - один из многих других вариантов "программных средств реализующих алгоритм". Просто именно пункт "г)" наиболее подходит для случая программ 1С-ников.

Поймите, что есть например понятие "человек построил дом" и "человек построил дом с помощью бригады строителей". Результат один и тот же, так вот в лицензирует сам факт "постройки дома" (создания программы с выходным результатом в виде криптографического преобразования), а не то, что "человек построил дом самостоятельно".
84. andrewks 12.09.13 10:09
прошу дать неофициальную экспертную оценку:

является ли программа

МенеджерКриптографии = Новый МенеджерКриптографии("Microsoft Enhanced Cryptographic Provider v1.0", "", 1);
Хранилище = МенеджерКриптографии.ПолучитьХранилищеСертификатов(ТипХранилищаСертификатовКриптографии.ПерсональныеСертификаты);
СертификатыХранилища = Хранилище.ПолучитьВсе();
    
ТекущаяДата = ТекущаяДата();
Для Каждого Сертификат Из СертификатыХранилища Цикл
Если Сертификат.ДатаОкончания < ТекущаяДата Тогда 
 Продолжить; // отфильтровываем истекшие сертификаты
 
Иначе
 Прервать;
КонецЕсли;
КонецЦикла;

МенеджерКриптографии.Зашифровать("Файл.xml", Сертификат); 
...Показать Скрыть


программным средством, реализующим криптографические алгоритмы?
85. Юрий Строжевский (y-str) 12.09.13 10:12
(84) По моей экспертной оценке - да, разработка такой программы подпадает под действие Федерального Закона "О лицензировании отдельных видов деятельности". И ещё раз должен обратить внимание что именно этот вопрос является основным для данной статьи и предварительные ответы "критикам" уже были даны в самой статье.
86. andrewks 12.09.13 10:12
(83)
Ну сколько же можно повторять? Программа реализует алгоритм с помощью другой программы


мне не надо повторять по сто раз одно и то же, я понятливый. Вы на вопрос ответьте.

и там, кстати, далее написано про "часть"
87. Юрий Строжевский (y-str) 12.09.13 10:14
(86) На какой вопрос? На этот что-ли?
является ли скрипт на JS из трёх строк с вызовом криптопровайдера по COM средством, реализующим криптографический алгоритм?

является ли скрипт из трёх строк с вызовом программы сжатия средством, реализующим алгоритм сжатия?

вот в чём вопрос. а не в лицензировании разработки архиваторов

Да, JS скрипт подпадает под Закон. Про программы сжатия - поговорим когда будет закон о программах сжатия.
88. andrewks 12.09.13 10:15
прошу дать неофициальную экспертную оценку:

является ли программа

   "C:\Program Files\7-Zip\7z.exe" a -t7z -mx=7 -r -ssw "archieve.7z" "file.txt"


программным средством, реализующим алгоритмы сжатия (компрессии)?
89. Юрий Строжевский (y-str) 12.09.13 10:16
(86) И под понятие "часть": и что, вы можете утверждать, что в таких программах нет "части, которая была бы выполнена внешней программной"?
90. andrewks 12.09.13 10:16
(87)
Про программы сжатия - поговорим когда будет закон о программах сжатия.


я настаиваю на ответе. иначе Ваше экспертное мнение в (85) считаю однобоким и предвзятым
91. Юрий Строжевский (y-str) 12.09.13 10:17
(88) Этот вопрос выходит за рамки этой статьи. Концентрируйтесь на более близких понятиях.
92. Юрий Строжевский (y-str) 12.09.13 10:18
(90) Да считайте как хотите. Про тему статьи я ответил, а прочие примеры обдумывайте сами.
93. andrewks 12.09.13 10:19
(91) y-str, именно этим я и занимаюсь. у вас понятие "программное средство, реализующее алгоритм" зависит от понятий? и от того, какой именно алгоритм (криптографический, сжатия, сортировки и т.п.)?
94. mc2 12.09.13 10:19
(73) y-str,
Заканчивайте придумывать свои трактовки Законов! Если не хотите их читать, то хоть прислушайтесь что говорят вам реальные эксперты!

Вы это к себе примените! И то, что вы эксперт в области криптографии, не означает, что вы эксперт в юриспруденции. Ваши дилетантские попытки трактовки закона это верх юридической безграмотности. Ни один уважающий себя юрист ни когда не будет пытаться трактовать закон на оснований мнений людей, не имеющих полномочий трактовки закона. Еще раз вам советую: пишите статьи о криптографии, они у вас хорошо получаются, и не надо лезть туда, в чем вы абсолютно не разбираетесь. Не позорьте себя. Если бы это был юридический форум, то за такую статью и аргументацию вас бы "затроллили" так, что вы бы забыли туда дорогу.
95. andrewks 12.09.13 10:20
(92) y-str, ясно. не вижу смысла в дальнейшей полемике
96. Юрий Строжевский (y-str) 12.09.13 10:22
(94) Укажите мне юридический форум на котором будут меня "тролить" - я напишу ссылку на эту статью туда и посмотрим на реакцию профессионалов от юриспруденции.

У меня, в отличие от вас, хватит смелости и профессиональных навыков поговорить с профессионалами своего дела.
97. mc2 12.09.13 10:31
(86) andrewks, Да вы его ни в чем не убедите - это бесполезно. Человек, занимавшийся написанием программ, возомнил себя великим юристом, и "сотворив себе кумира", начал проповедовать его мнение. Поэтому его упертость сродни религиозному фанатизму - он просто не хочет слышать ни какие аргументы, которые не соответствуют его убеждению.
98. Юрий Строжевский (y-str) 12.09.13 10:37
(97)(95) Приведите мне хоть один нормальный довод, основанный на прямой логике, а не на попытках найти бреши в моей логике. Напишите мне почему моё утверждение из (77) не верно и обоснуйте это четко и ясно. Ну пожалуйста :)
99. Юрий Строжевский (y-str) 12.09.13 10:41
(97) А на ваши попытки как-то оценить мою юридическую значимость (кстати наверное и тут у вас нет никаких доказательств вашей экспертности?) я уже ответил в (96). Давайте, если не хотите сражаться на моём поле (на форуме "Крипто-ПРО") я побью вас на вашем (любой форум юридической направленности). Вперед, мне этот вопрос критически важен и самому как разработчику.