Законопроект № 6696

Законопроект № 6696

Президент внёс на рассмотрение Верховного Совета очень важный для многих из нас Законопроект № 6696. Очень хотелось бы чтобы прошел (три шестерки все-таки разбавлены девяткой), так как без отмены лицензирования на работу с криптосистемами выполнять качественно закон "О защите персональных данных" будет для многих ОЧЕНЬ затруднительно.

Stanislav Varyukhno (Variukhno) Давно пора! Ибо только шифрованием можно защитить право на свободу слова (ну и чтоб органы там некоторые не вчитывались в это слово):) Правда сейчас шарашкиных контор наплодиться...

Victor Zhora Весьма противоречивое предложение. Лицензирование деятельности в сфере ТЗИ и КЗИ помогает структурировать рынок. Что в таком случае авторы советуют делать с Департаментом регулирования деятельности в сфере ТЗИ и КЗИ Госспецсвязи? ИМХО, на данном этапе целесообразно рассмотреть лишь вопрос отмены лицензирования использования и эксплуатации средств КЗИ.
К тому же лицензии сейчас выдаются бессрочно.

Volodymyr Styran О как. С плеча значит, да? Сам себе удивляюсь, но в чем-то согласен с Виктором. Радикальные меры в этом случае -- это перебор. Как минимум экспертиза, экспорт и импорт КЗИ, на мой взгляд, должны регулироваться. А другого инструмента регулирования, кроме лицензирования, мы пока толком не освоили. Что касается ТЗИ, как по мне, этот рынок давно пора "отпускать в свободное плавание". Тем не менее, с интересом выслушаю контр-аргументы.

Stanislav Varyukhno (Variukhno) А зачем регулироваться? Как пример - программка true crypt. Кто ее будет лицензировать? Или Open SSL? Сейчас ведь доходит до маразма - чтоб поставить в организации true crypt, я должен идти, платить денюжку, и ждать пока мне лицензию на него дадут или не дадут... Эта тема, кстати, уже поднималась ранее.

Victor Zhora Что касается ТЗИ, то ПЭМИНы, акустику, "жучки-паучки" тоже отпускать в свободное плавание?
По КЗИ вроде обсудили, к тому же лицензия выдается на организацию, а не на продукт.

Stanislav Varyukhno (Variukhno) Виктор, по ТЗИ, насколько я знаю, рада приняла закон (номер не помню), по которому за жучки срок дается немалый... А вот поиск жучков - чем хотите - тем ищите:)

Victor Zhora Имелось в виду производство средств защиты от утечек по техническим каналам. Сейчас к таким организациям предъявляются высокие требования, в т.ч. наличие испытательной лаборатории, соотв. измерительной техники и т.д. Если убрать хотя бы базовое государственное регулирование в этой сфере, кто ответит за качество конечной продукции?

Vladimir Gninyuk Криптосистемы создают математики-криптографы. Пусть и создают, зачем им лицензия? Лицензия на знания? Для того, что бы их продукт ...

Victor Zhora @Vladimir Gninyuk Вы немного узко смотрите на создание средств КЗИ. Насчет математиков Вы правы в части разработки и реализации криптоалгоритмов. Создание же средства КЗИ - это некоторый производственный процесс, к которому согласно действующей нормативно-правовой базе выдвигаются весьма конкретные требования, особенно в части разработки средств криптозащиты информации с более высокими степенями ограничения доступа, нежели "конфіденційно".

Что касается мобильника, вряд ли его можно рассматривать в качестве закладки, но такой продукт, как "подавитель мобильных телефонов" тоже присутствует на рынке. К тому же на переговоры высокого уровня конфиденциальности люди, как правило, приходят без телефонов либо вынимают аккумуляторы. В некоторые органы гос. власти вы также не сможете попасть с мобильником, и это нормально.

Gleb Paharenko

Gleb Paharenko Коллеги, отраслевые ассоциации могут выполнять регулирование и структурирование рынка. Государство может делегировать часть своих функций контроля таким объединениям. Членство в ассоциации это своего рода "лицензия" :)

Victor Zhora Однако, как правило, ассоциации создаются с целью совместной защиты отрасли от государства :)

Vladimir Gninyuk @Victor Zhora Коллега, я прекрасно понимаю, о чем вы говорите, но ИМХО, мы сейчас говорим о разных вещах.
Почему Вам не нравится подход, что если в определенных случаях использование тех или иных средств регламентируются дополнительно, то проверка на соответствие данных требований должна подразумевать процесс СЕРТИФИКАЦИИ. В результате чего появляется отметка «Одобрен …», а вместо трех точек, например, «PA DSS» или «DSTSZI» и т.п. ?
Сейчас же речь идет о регулировании «видов хозяйственной деятельности». Природа данного регулирования понятна, но пардон, честный человек может иметь желание, но ни иметь (экономически обоснованных) возможностей на получение данной лицензии, преступнику лицензия не нужна. Вы много знаете случаев, что бы бандиты получали разрешение «на право ношение оружия»?
Вы в своем посте упоминаете о возможности эксплуатации такой уязвимости как ПЭМИН, так почему в сегодняшнем законе нет требований к лицензированию производства мониторов?
Извините за вопрос с мобильным телефоном, наверное, я его не четко сформулировал, суть вопросы была о возможности несанкционированного снятия информации БЕЗ использования специальных средств. Сорри торопился. Главное в другом: в Законопроекте № 6696 лично я не видел отмены пункта №13 Закона Украины «Про ліцензування певних видів господарської діяльності». Так что производство «жучков» остается под контролем.

ЗЫ: Средства КЗИ нужны сегодня не только Государству, но и Обычному Человеку, а текущее законодательство сдерживает легальны достп к технологиям, что приводит к эффекту "прафанации" понятия правового государства

@Глеб ИМХО, отраслевые ассоциации, не должны заниматься «регулированием рынка» да еще и под эгидой Государства. Они должны генерить, в первую очередь, некие «бест прэктис», и игроки рынка должны хотеть попасть в ассоциацию, что бы получить доступ к этим наработкам. Хотя безусловно вопрос не столь прост. Как пример, каждый может попытаться для себя ответить на вопрос: «А что такое Ukrainian Information Security Group и почему я здесь?»

Victor Zhora Владимир, лицензия на ТЗИ/КЗИ стоит до 1000 грн. Сие означает, что при желании ее может получить любое юрлицо.
По поводу производства мониторов: у меня нет информации о том, что где-то в Украине они производятся. Крупноузловая сборка - возможно. Но это продукт массового спроса, а массовому потребителю утечек по техническим каналам бояться нечего.

Vladimir Gninyuk Лицензия стоит немного, а сколько стоит выполнение квалификационных требований? Люди, процедуры, отчетность? Сразу хочу упредить, я говорю о требованиях регулятора, а не бизнеса. Для бизнеса, чаще нужно другое.

Эксперт имеет хорошую практику, хорош он потому, как обладает знаниями, методиками и умело их использует на практике. Как ему обезопасить свои наработки не используя КЗИ? Если в компании десять человек, и вы стремитесь достичь высокой производительности труда, у вас не будет возможности обучить двоих человек на курсах в КПИ (кстати, три года назад это была не «тысяча грн»), содержать их в штате и соблюдать все необходимые процедуры.

Мое мнение, что на данном уровне развития ИТ, а самое главное степени их проникновения в бизнес «массового потребителя», последний начинает активно *требовать* свободного доступа к этим технологиям.

Субьекты, которые сталкиваются с необходимостью использования продуктов со специфическими требованиями, вправе требовать *сертификации* продуктов и технологий.

Виктор, я понял и принял Вашу позицию, попытался, как мог, изложить свою, предлагаю продолжить дискуссию когда если она станет интересна кому то еще.

Alexey Kornilov Уважаемые коллеги! В контексте обсуждаемого закона, уточните пожалуйста, а разве у нас в в стране можно торговать персональными данными, ...

Vladimir Gninyuk В данной теме шла речь о возможных изменениях к Закону Украины который регламентирует требования к получению лицензии на тот или иной вид деятельности, и в частности в вопросе работы со средствами криптографической защиты. Вида деятельности "торговать персональными данными" не припомню :-)

Закон о персональных данных это нечто другое...

Думаю, что Ваш вопрос требует переноса в соответсвующую дискуссию

Alexey Kornilov да, ошибся топиком. Надо перенести.

Vladimir Tkachenko Как получившие лицензию ТЗИ в єтом году могу рассказать подробно что по чем
Сама ліцензія стоит 850 грн. 00 коп. Госпошлина. Необходимо минимум 2 специалиста с профильным (информационная безопасноть) образованием . Варианты 1) закончившие ВУЗ с соответстветствующей квалификацией; 2) курсы повышения квалификации по соответствующей специальностью (есть при КПИ Прокофьева фирмочка ,счас не знаю, есть и другие варианты)
Также нужно прикупить (или достать другими путями нормативные документы по ТЗИ (продает НИкС, хотя это смешно на таком делать бизнес, но некоторые документы реально надо доставать, (даже без грифа секрктности) - вывод все хотят кушать... И последнее нужно указать основные средства с помощью которых вы собираетесть проводить деятельность в области ТЗИ (ПК ,ОС, возможно что-то еще, что посчитаете нужным). Сам процесс занимает около 1- 1,5 месяца.

Gleb Paharenko

Gleb Paharenko Не сразу нашел что это за НИкС. Вот урл: http://www.nics.com.ua/ ...

Victor Zhora По-моему, есть четыре аккредитованные конторы, где можно повысить квалификацию. Та, что при КПИ, работает на базе Физтеха. Директор - Архипов А.Е.
Насчет НД ТЗИ, то сейчас даже не все открытые выкладываются на сайт Госспецсвязи.

Alex Grebenyuk Раньше был еще центр в НАУ

Kostiantyn Korsun Виктор, жаль, что регламент конференции не позволил Вам и нам подискутировать на эту тему (весьма любопытную и неоднозначную) подольше. По-моему, она вызвала самое горячее обсуждение:-)
Что касается моего мнения, то я придерживаюсь той точки зрения, что лицензировать есть смысл только отдельные виды КЗИ и совсем отдельные в ТЗИ. (типа ПЭМиН и т.п.) Реально "держава" ничего не гарантирует лицензированием, это чисто номинальная формальность, недорогая и в принципе легко выполнимая (Владимир Ткаченко все доходчиво объяснил)

Victor Zhora Константин, совершенно с Вами согласен. Ответственность государства может быть реализована лишь в виде отзыва лицензии у соответствующего лицензиата. Но даже необходимость выполнить какие-то базовые требования - это уже что-то. Рынок ИБ нуждается в открытости, но он априори не может быть таким же открытым, как, например, рынок моющих средств или парфюмерии. Даже для торговли спиртным нужна лицензия (я уже не говорю о страховании или банковской деятельности). При этом я не считаю, например, что для оказания консалтинговых услуг в области управления ИБ или рисками ИБ требуется лицензия. А вот что касается пентестов или услуг по внедрению средств защиты от НСД - вопрос дискуссионный, и я полагаю, он еще не раз возникнет на наших последующих встречах :)

Vladimir Gninyuk Таки утвердили. Хотя редакция и претерпела изменений, подвижки на лицо: для использования средств криптозащиты теперь лицензия НЕ ТРЕБУЕТСЯ.

Gleb Paharenko

Gleb Paharenko Новость на портале Верховной Рады: ...http://portal.rada.gov.ua/rada/control/uk/publish/article/news_left?art_id=217902&cat_id=37486

Vladimir Gninyuk Казуистики здесь нет. Лицензирование в определенном обьме сохранено, но данный обьем отличается от существующего.

Boris Kosyakov Все правильно, лицензированию подлежит оказание услуг - то есть лицензию будут получать только компании - продавцы и производители СКЗИ, а также сервис-провайдеры.
То есть покупателям товаров и услуг лицензия для их использования не требуеться.

Vladimir Gninyuk небольшая интрига все таки сохраняется, так как присутствует оговорка: (згідно з переліком, що визначається Кабінетом Міністрів України)...

Оговорка может запросто стать своеобразным "дышлом": сегодня ты "законопослушный", а завтра - "нарушитель". Но наш законодатель иначе не может, с другой стороны и нам не привыкать :-)

А то, что "использование" кануло "в лету" -- это ПЛЮС

Evgen Kostenko 2Gleb Paharenko Victor Zhora Ви можете створити саморегулювальну організацію і захищати інтереси галузі. Як це, до речі, вже роблять аудитори, будівельники тощо.

Kostiantyn Korsun Видимо, лицензированию в сфере ТЗИ будет подлежать только определенные КМУ виды деятельности, например, услуги по проверке помещений на закладные устройства и т.п.
НО, этот перечень можно будет быстро менять постановой Кабмина, а не внесением изменений в Закон Украины, что ЗНАЧИТЕЛЬНО проще для власти, тут я согласен с Владимиром

Evgen Kostenko 2Kostiantyn Korsun Хто Вам заважає спробувати сформулювати іншу позицію і мотивації щодо цього переліку і процедури його затвердження

Gleb Paharenko

Gleb Paharenko Коллеги, можно ли уже сейчас предположить, какое подразделение/персоналии в Кабмине будут отвечать за "перелік"?

8 days ago

####Offtop########
Подготовка специалистов по информационной безопасности:
  http://www.dstszi.gov.ua/dstszi/control/uk/publish/article?art_id=79986&cat_id=39110

Evgeniy Tarasov По задумке Госспецсвязистов, перечень будет определяться двумя постановлениями Кабинета Министров: №86 от 28.01.2004 (см. раздел 5 часть 2 Перечня) и №1807 от 20.11.2003 (см. позицию ML11 Перечня).
Прописать это собирались путем изменения Ліцензійних умов провадження господарської діяльності ....... криптосистем і засобів криптографічного захисту інформації.


Comments