Справка 

Данный документ дает ответ на вопрос, связанный с правомерностью использования средств криптографической защиты данных (например, PGP, McAfee, Symantec, Microsoft BitLocker) в коммерческих организациях на территории России. На сегодняшний день прямых запретов на их использование в законодательстве РФ нет, поскольку данное ограничение касается только муниципальных и государственных информационных систем, а также систем обрабатывающих сведения, составляющие государственную тайну. Данный вопрос регламентируется ФЗ от 29 июля 2004 г. №98-ФЗ "О коммерческой тайне" и ФЗ от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации”.

Выдержки из ФЗ "О коммерческой тайне" №98-ФЗ

Статья 10 Охрана конфиденциальности информации
часть 1 

Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; <….>

Комментарий:

Таким образом, согласно части 1 статьи 10 данного федерального закона, коммерческая компания имеет право самостоятельно определять перечень защищаемой информации.

часть 4

Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.

Комментарий:

Согласно части 4 статьи 10 данного федерального закона, коммерческая компания имеет право применять средства защиты конфиденциальной информации, к которым относятся и криптографические средства защиты информации.

Выдержки из ФЗ “Об информации, информационных технологиях и о защите информации” №149-ФЗ 

Статья 13 Информационные системы
часть 1 

Информационные системы включают в себя:

1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.

часть 2

Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

Комментарий:

Согласно частям 1 и 2 статьи 13 данного федерального закона информационные системы коммерческих компаний не принадлежат к государственным и муниципальным информационным системам и коммерческая компания является ее оператором.

часть 6

Порядок создания и эксплуатации информационных систем, не являющихся государственными информационными системами или муниципальными информационными системами, определяется операторами таких информационных систем в соответствии с требованиями, установленными настоящим Федеральным законом или другими федеральными законами.

Комментарий:

Согласно части 6 статьи 13 данного федерального закона, коммерческая компания, как оператор своей информационной системы, вправе самостоятельно определять состав используемых средств защиты информации.

Статья 16 Защита информации
часть 5

Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

Комментарий:

Согласно части 5 статьи 16 данного федерального закона, требования о защите информации в государственных информационных системах определяются федеральным органом исполнительной власти в области обеспечения безопасности (ФСБ) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК). Именно эти организации требуют использования сертифицированных средств защиты. Прямого запрета на использование несертифицированных средств защиты в коммерческих информационных системах закон не содержит.

Таким образом, в РФ не существует федеральных законов, которые запрещали бы использование в коммерческих целях продуктов PGP и других зарубежных производителей. Ограничения распространяются только на государственные и муниципальные учреждения. Большинство мировых разработчиков, таких, как PGP, Symantec, McAfee, Check Point, Microsoft технически не могут быть сертифицированы в ФСБ, потому что они используют международный стандарт шифрования AES, а для сертификации в ФСБ требуется использование российского криптографического стандарта ГОСТ 28147-89. Тем не менее, все вышеперечисленные известные разработчики продают свои продукты по шифрованию в РФ. Их продукты используются в крупных банках, страховых компаниях, промышленных и финансовых корпорациях, транспортных компаниях и др. К сожалению, некоторые российские разработчики предоставляют коммерческим организациям некорректную информацию, чтобы успешно реализовать свой продукт.