Правомерность использования средств криптографической защиты данных

15.06.11 | Раздел публикации: Защита персональных данных

Справка 

Данный документ дает ответ на вопрос, связанный с правомерностью использования средств криптографической защиты данных (например, PGP, McAfee, Symantec, Microsoft BitLocker) в коммерческих организациях на территории России. На сегодняшний день прямых запретов на их использование в законодательстве РФ нет, поскольку данное ограничение касается только муниципальных и государственных информационных систем, а также систем обрабатывающих сведения, составляющие государственную тайну. Данный вопрос регламентируется ФЗ от 29 июля 2004 г. №98-ФЗ "О коммерческой тайне" и ФЗ от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации”.

Выдержки из ФЗ "О коммерческой тайне" №98-ФЗ

Статья 10 Охрана конфиденциальности информации
часть 1 

Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка; <….>

Комментарий:

Таким образом, согласно части 1 статьи 10 данного федерального закона, коммерческая компания имеет право самостоятельно определять перечень защищаемой информации.

часть 4

Наряду с мерами, указанными в части 1 настоящей статьи, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству Российской Федерации меры.

Комментарий:

Согласно части 4 статьи 10 данного федерального закона, коммерческая компания имеет право применять средства защиты конфиденциальной информации, к которым относятся и криптографические средства защиты информации.

Выдержки из ФЗ “Об информации, информационных технологиях и о защите информации” №149-ФЗ 

Статья 13 Информационные системы
часть 1 

Информационные системы включают в себя:

1) государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;
2) муниципальные информационные системы, созданные на основании решения органа местного самоуправления;
3) иные информационные системы.

часть 2

Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

Комментарий:

Согласно частям 1 и 2 статьи 13 данного федерального закона информационные системы коммерческих компаний не принадлежат к государственным и муниципальным информационным системам и коммерческая компания является ее оператором.

часть 6

Порядок создания и эксплуатации информационных систем, не являющихся государственными информационными системами или муниципальными информационными системами, определяется операторами таких информационных систем в соответствии с требованиями, установленными настоящим Федеральным законом или другими федеральными законами.

Комментарий:

Согласно части 6 статьи 13 данного федерального закона, коммерческая компания, как оператор своей информационной системы, вправе самостоятельно определять состав используемых средств защиты информации.

Статья 16 Защита информации
часть 5

Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

Комментарий:

Согласно части 5 статьи 16 данного федерального закона, требования о защите информации в государственных информационных системах определяются федеральным органом исполнительной власти в области обеспечения безопасности (ФСБ) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК). Именно эти организации требуют использования сертифицированных средств защиты. Прямого запрета на использование несертифицированных средств защиты в коммерческих информационных системах закон не содержит.

Таким образом, в РФ не существует федеральных законов, которые запрещали бы использование в коммерческих целях продуктов PGP и других зарубежных производителей. Ограничения распространяются только на государственные и муниципальные учреждения. Большинство мировых разработчиков, таких, как PGP, Symantec, McAfee, Check Point, Microsoft технически не могут быть сертифицированы в ФСБ, потому что они используют международный стандарт шифрования AES, а для сертификации в ФСБ требуется использование российского криптографического стандарта ГОСТ 28147-89. Тем не менее, все вышеперечисленные известные разработчики продают свои продукты по шифрованию в РФ. Их продукты используются в крупных банках, страховых компаниях, промышленных и финансовых корпорациях, транспортных компаниях и др. К сожалению, некоторые российские разработчики предоставляют коммерческим организациям некорректную информацию, чтобы успешно реализовать свой продукт.

info В обработку принимаются вопросы только по Корпоративному ПО и компьютерной технике для использования в организациях. Отправить запрос
info Техподдержка для Домашних пользователей (персональные версии программ, компьютер, ноутбук, принтер, сканер, монитор) производится Службами поддержки Производителей
            Популяные материалы:
   
  Как продлить Kaspersky Work Space Security для школы?
Приобретение Касперского для школы со скидкой 80%
Что такое OEM-версии Windows?
Как удалить антивирус Касперского?
Как скопировать текст из PDF?
Компьютер не видит DVD привод
Активация лицензии ESET
Антивирус Касперского не находит источник обновлений
Какие иностранные государства беспечивают адекватную защиту персональных данных?
Как настроить Radmin?
Как скрыть иконку Radmin в трее?
Как удалить домашнюю страницу deposit.files?
   
  Видеообзоры:
   
 
           
Коммутатор
D-Link DGS-1224
  Камера Axis М1114 Е   Камера Axis M1054   Диктофон ГНОМ-Р
 
Все видео
 

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.