Для разработки и распространению криптографических средств (программных, аппаратных, и вообще каких угодно) необходимо получить лицензию:
ФЗ №128-ФЗ от 08.08.2001 "О лицензировании отдельных видов деятельности"Статья 17. Перечень видов деятельности, на осуществление которых требуются лицензии

1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:
...
5) деятельность по распространению шифровальных (криптографических) средств;
...

Детально порядок лицензирования по данному виду деятельности прописан в постановлении Правительства РФ №957 от 29.12.2007 "ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЙ О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ, СВЯЗАННЫХ С ШИФРОВАЛЬНЫМИ (КРИПТОГРАФИЧЕСКИМИ) СРЕДСТВАМИ".

Тем же, кто не разрабатывает и не распространяет, а только использует криптографические средства, никакой лицензии не нужно. Для обмена документами допускается использовать протоколы с шифрацией, прошедшие техническую экспертизу и регистрацию в установленном законодательством РФ порядке.

В случае обмена документами в электронном виде с использованием ЭЦП необходимо руководствоваться ФЗ "Об электронной цифровой подписи" №1-ФЗ от 10.01.2002.

Cat2GaryaДля обмена документами допускается использовать протоколы с шифрацией, прошедшие техническую экспертизу и регистрацию в установленном законодательством РФ порядке.
А ответственность за использование не зарегистрированных протоколов есть?Сам когда-то задавался подобным вопросом... :)

Ответ на него, возможно, очень многих удивит. Любые алогритмы шифрации, используемые в РФ, должны обеспечивать не только защищенность данных от тех, кому информацией владеть не положено, но и одновременно их незащищенность перед государством. То есть, компетентные органы в случае чего должны иметь возможность дешифровать всё что угодно зашифрованное. Именно по этой причине существуют ограничения на длину ключа при шифровании для защиты информации с разной степенью криптостойкости. Именно по этой причине, к примеру, в свое время компетентные органы бодались с Microsoft, когда она попыталась поставлять на наш рынок ОС с длиной ключа, выходящим за допустимые пределы.

Те организации, которые применяют, например, Secret Disk или что-либо подобное, занимаются самообманом, предполагая, что они могут с помощью сертифицированного в РФ ПО скрыть некую информацию от госорганов. Те же, кто использует несертифицированное ПО для шифрования (например, PGP), рискуют нарваться на неприятность. Сам факт использования несертифицированного ПО для шифрования данных создает что-то вроде "презумпции виновности" (ну, это я немного приукрасил, но не сильно). То есть, в любой момент в организации, использующей несертифицированное ПО может произойти "маски-шоу" с извлечением и арестом всех компьютеров и носителей информации. Не потому, что компетентным органом стало известно о каких-либо, например, налоговых нарушениях, а просто потому, что организация использует черезмерно криптостойкие алгоритмы, одного факта которого достаточно для того, чтобы подозревать их использующего в чем угодно (в том числе, в шпионаже).

alexeyvgGaryaТем же, кто не разрабатывает и не распространяет, а только использует криптографические средства, никакой лицензии не нужно.А тем, кто разрабатывает, но не распространяет?

Как я понимаю, у ТС такая ситуация?Вот, что написано в "ПОЛОЖЕНИИ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАСПРОСТРАНЕНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ" №957 от 29.12.2007 (обратите внимание на выделенные мной места):
цитата1.
...
Настоящее Положение не распространяется на деятельность по распространению:
а) шифровальных (криптографических) средств, предназначенных для защиты информации, содержащей сведения, составляющие государственную тайну;
б) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки ;
в) персональных кредитных карточек со встроенной микроЭВМ, криптографические возможности которых не могут быть изменены пользователями;
г) портативных или мобильных радиотелефонов гражданского назначения (в том числе предназначенных для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию;
д) приемной и передающей аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрования цифрового сигнала, в которой шифрование ограничено функциями управления видео- или аудиоканалами;
е) специально разработанных и применяемых только для банковских и финансовых операций шифровальных (криптографических) средств в составе терминалов единичной продажи (банкоматов), криптографические возможности которых не могут быть изменены пользователями;
ж) специально разработанных и применяемых только в составе контрольно-кассовых машин шифровальных (криптографических) средств защиты фискальной памяти;
з) шифровальных (криптографических) средств независимо от их назначения, реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 56 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит ;
и) беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах);
к) шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей, не относящихся к критически важным объектам.

Соответственно, если выписались в выделенные жирным ограничения, то лицензии не нужно. Но в этом случае защиты от государства - нет, это нужно четко понимать. Защита может иметь место от конкурентов, недоброжелателей, но не от государства.

Требует рассмотрения особый случай - когда применены нелицензированные средства шифрации с повышенной криптостойкостью (такие как PGP) для защиты именно от государства, и при этом риск ареста носителей и компьютеров руководителем предприятия принимается как допустимый. Ну так вот что следует иметь такому руководителю в виду. Сколь-нибудь эффективной защиты от государства просто не существует. В том числе использование шифрования данных с "чрезмерной" криптостойкостью такой защиты не создает. Представителям силовых структур совсем не обязательно заниматься взломом ключей шифрации. Существуют другие, гораздо более эффективные пути, когда те люди, которые этими ключами владеют, приносят эти ключи на тарелочке с голубой каемочкой. Достаточно лишь более-менее удачно предположить, кто бы мог такими ключами владеть. Таким людям, образно говоря, "в одном место вставляется паяльник", после чего ключи шифрования оказываются у силовых структур. "Вставка паяльника" - это именно образное выражение. Существует множество различных способов оказания очень мощного давления на конкретных людей. В частности, это предварительная слежка за ними с последующим шантажом каким-то конкретным грешком (например, "мы расскажем руководству о том, что вы тогда-то взяли откат", либо "ваша супруга увидит вот эти фотогографии, где вы развлекаетесь с любовницей"), либо даже "синтезом" греха, которого на самом деле не было (например, могут "обнаружить" заведомо подброшенные наркотики), и потом предложить вариант, как выкрутиться из сложившейся ситуации. Последнее, конечно же, противозаконно. Но если силовые структуры уверены, что они вышли на нужного им человека, они врядли будут гнушаться и такими способами. Они руководствуются принципами "победителей не судят".

Однажды я посещал семинар по этой теме, который проводил руководитель одной из подобных служб, и он подробно рассказывал о том, о чем я здесь пересказал вкратце... :)

Конякула Приказ ФАПСИ от 13 июня 2001 г. N 152
"Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну"

...

21. Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего обучения.

Обучение пользователей правилам работы с СКЗИ осуществляют сотрудники соответствующего органа криптографической защиты. Документом, подтверждающим должную специальную подготовку пользователей и возможность их допуска к самостоятельной работе с СКЗИ, является заключение, составленное комиссией соответствующего органа криптографической защиты на основании принятых от этих лиц зачетов по программе обучения

...Как следует из названия, документ регламентирует правила хранения и обработки информации, передаваемой по каналам связи . Для того, чтобы с кем-либо обмениваться по каналам связи, нужно сначала этому "кому-нибудь" передать средства шифрации/дешифрации, то есть, заняться распространением криптографического ПО и/или аппаратных средств. Все операторы связи обязаны обеспечивать требования СОРМ. И данный документ накладывает ограничения, которые делает эти требования выполнимыми. Вот, собственно, и всё.

Если организация вложилась в ограничения, которые не требуют лицензирования, и не имеет намерения передавать шифрованную информацию по каналам связи, то она вправе творить в своем ПО всё, при условии, что предоставит по запросу документацию по алгоритмам и ключам шифрации. В частности, если программист при написании "самописки" наложит побайтовый xor на пароль для обеспечения его более высокой стойкости к взломам, никакого криминала при этом не возникнет. :)

Пользователи получают персональный сертификат совместно с инструкцией и расписываются в их получении. Этого - достаточно. Банки используют сервисы в соответствии с ФЗ "Об электронной цифровой подписи" №1-ФЗ от 10.01.2002. В соответствии с этим законом ЭЦП должна быть заверена сертификатом, выданным удостоверяющим центром. А все удостоверяющие центры обязаны зарегипстрироваться в гос.реестре удостоверяющих центров, к которому прилагается сертификат самого удостоверяющего центра.

статья 103. Электронные цифровые подписи уполномоченных лиц удостоверяющих центров могут использоваться только после включения их в единый государственный реестр сертификатов ключей подписей. Использование этих электронных цифровых подписей для целей, не связанных с заверением сертификатов ключей подписей и сведений об их действии, не допускается.

TREYGaryaПользователи получают персональный сертификат совместно с инструкцией и расписываются в их получении. Этого - достаточно. Банки используют сервисы в соответствии с ФЗ "Об электронной цифровой подписи" №1-ФЗ от 10.01.2002. В соответствии с этим законом ЭЦП должна быть заверена сертификатом, выданным удостоверяющим центром. А все удостоверяющие центры обязаны зарегипстрироваться в гос.реестре удостоверяющих центров, к которому прилагается сертификат самого удостоверяющего центра.

на тебе.. а если я на банк отправляю файлы (и он согласен их принимать) с цифровой подписью сделанной с помощью выше описанного мною модифицированного алгоритма?А вот это уже противозаконно. Вообще-то, в банках обычно сидят просвященные в этом отношении люди. Если речь идет о системе клиент-банк, то для большинства банков этот вопрос тщательно изучен. Банк не должен подставляться и нести избыточные риски там, где их можно было бы избежать.

iscrafmодин нюанс...

ФЗПорядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы. До тех пор, пока не возникает противоречий с иными требованиями законодательства. TREY говорит об обмене информацией через информационные каналы общего пользования между разными юридическими лицами . То есть, в данном случае мы попадаем и в сферу ФЗ№128-ФЗ (поскольку средства шифрования переданы другому юрлицу), и к приказу ФАПСИ №152 (поскольку используются средства связи общего назначения).

TREYи что теперь делать?Законно или нет - это один вопрос, а "что делать?" - совсем-совсем другой!

Вторым вопросом в свое время задавался Ленин, Чернышевский и множество других широколобых людей. Боюсь, что ожидать от меня исчерпывающего ответа на него после того, как такие мозговые монстры не смогли его до конца и корректно озвучить, было бы неправильно... :) Тем более, что не прозвучало никакой вводной информации по поводу расстановки сил, административного потенциала, интересов задействованных сторон, предпосылок и предыстории сложившейся ситуации.