далее процитирую то что хотелось бы обсудить.

Насчет законности использования средств шифрования .

Основными законами, регламентирующими общеюридическое применение средств шифрования являются:

Федеральный закон от 27.07 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации

Федеральный закон О лицензировании отдельных видов деятельности от 08.08.2001 г. №128-ФЗ
(с многочисленными последующими изменениями)

Что же сказано в тех законах, что есть? В законе 149-ФЗ:

Статья 6: Обладатель информации:

цитата: 3. Обладатель информации, если иное не предусмотрено федеральными законами, вправе:
1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;
2) использовать информацию, в том числе распространять ее, по своему усмотрению;
3) передавать информацию другим лицам по договору или на ином установленном законом основании;
4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;
5) осуществлять иные действия с информацией или разрешать осуществление таких действий.
4. Обладатель информации при осуществлении своих прав обязан:
1) соблюдать права и законные интересы иных лиц;
2) принимать меры по защите информации;
3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами

Обладатель информации - это в соответствии с законом, лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Мы не то, что вправе защищать информацию, мы это обязаны делать! Смотрим далее:

Статья 9. Ограничение доступа к информации

цитата: 4. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.
5. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации.

Тут стоит вопрос классификации информации как той или иной тайны. Этот вопрос рассматривать надо отдельно, и не здесь.

Статья 16. Защита информации

цитата: 1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа,
3) реализацию права на доступ к информации.
2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.
5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации

Запрета на использование средств защиты всеми желающими закон не содержит. Все, что есть - законодательные ограничения в применении средств защиты. В юридической практике имелись случаи возбуждения дел по факту незаконного использования средств шифрования для защиты информации. Ни одно из этих дел, насколько мне известно, до суда не дошло. Во всех случаях вменялось обвинение по статье 171 УК РФ. Вот эта статья:

цитата: 1. Осуществление предпринимательской деятельности без регистрации либо без специального разрешения (лицензии) в случаях, когда такое разрешение (лицензия) обязательно, или с нарушением условий лицензирования, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, -
наказывается штрафом в размере от трехсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от трех до пяти месяцев, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо арестом на срок от четырех до шести месяцев, либо лишением свободы на срок до трех лет.
2. То же деяние:
а) совершенное организованной группой;
б) сопряженное с извлечением дохода в особо крупном размере;
в) совершенное лицом, ранее судимым за незаконное предпринимательство или незаконную банковскую деятельность, -
наказывается штрафом в размере от семисот до одной тысячи минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от семи месяцев до одного года либо лишением свободы на срок до пяти лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.

То есть единственный варианты привлечения за использование шифровальных средств - за предпринимательскую (!) деятельность без лицензии. Заодно обратите внимание, что у органов внутренних дел для возбуждения уголовного дела должны уже быть на руках доказательства о наличии крупного ущерба или извлечения дохода в крупном размере. Определение предпринимательской деятельности дано много где, и везде по-разному. Лицензии положено получать или юридическим лицам, или индивидуальным предпринимателям. Главное - физическое лицо, да и работника организации отдельно, как физическое лицо, осудить по этой статье не могут, поскольку он предпринимательскую деятельность не осуществляет, статуса юридического лица или ИП не имеет.
О каких лицензиях идет речь? Смотрим соответствующий закон 128-ФЗ:
Статья 17. Перечень деятельности, на осуществление которых требуются лицензии

цитата:
5) деятельность по распространению шифровальных (криптографических) средств
6) деятельность по техническому обслуживанию шифровальных (криптографических) средств
7) предоставление услуг в области шифрования информации
8) разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем
9) деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)
10) деятельность по разработке и (или) производству средств защиты конфиденциальной информации
11) деятельность по технической защите конфиденциальной информации

Как видите, законом прямо не предусмотрено лицензирования использования шифровальных средств. Посмотрим, можно ли нас привлечь за распространение или оказание услуг. Конкретно особенности лицензирования раскрываются в Постановлении Правительства РФ от 23.09 2002 г № 691. "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами"
Для начала, в этих положениях сразу оговаривается, на какие средства получать лицензии не обязательно:

цитата: Настоящее Положение не распространяется на предоставление услуг/деятельность по распространению с использованием:
а) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;
б) персональных кредитных карточек со встроенными микроЭВМ, криптографические возможности которых не могут быть изменены пользователями;
в) портативных или мобильных радиотелефонов гражданского назначения (типа радиотелефонов, предназначенных для использования в коммерческих гражданских системах сотовой радиосвязи), которые не имеют функции сквозного шифрования;
г) приемной аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрования цифрового сигнала, в которой шифрование ограничено функциями управления видео- или аудиоканалами;
д) специально разработанных и применяемых только для банковских и финансовых операций шифровальных (криптографических) средств в составе терминалов единичной продажи (банкоматов), криптографические возможности которых не могут быть изменены пользователями;
е) специально разработанных и применяемых только в составе контрольно-кассовых машин шифровальных (криптографических) средств защиты фискальной памяти;
ж) шифровальных (криптографических) средств (независимо от их назначения), реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 40 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на вычислении дискретных логарифмов в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит.

Т.е. нет никаких проблем с использованием средств шифрования, встроенных в Linux (документация открыта, поддержки никакой), а вот с продукцией Microsoft вопросов возникает много. Кроме того, если вы используете для шифрования средства, содержащие старые алгоритмы с малой длиной ключа, проблем с законом из-за их использования тоже никаких. Что попадает под деятельность по распространению, определения в постановлении и положениях не дано, указано лишь, что точно подпадает продажа и передача. А вот определение деятельности по оказанию услуг дано:

цитата:
Деятельность по предоставлению услуг в области шифрования информации включает в себя:
а) шифрование информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц;
б) имитозащиту информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц;
в) предоставление юридическим и физическим лицам защищенных с использованием шифровальных (криптографических) средств каналов связи для передачи информации, не содержащей сведений, составляющих государственную тайну;
г) обеспечение пользователей системы электронного документооборота ключевой информацией (включая ее формирование и распределение) независимо от вида носителя ключевой информации, предназначенной для защиты информации, не содержащей сведений, составляющих государственную тайну.

Невесело, правда? Т.е. сам факт применения средств к информации приравнен к оказанию услуги. Соответствие этого определения законам - вопрос к юристам в сфере экономической деятельности. Но настоящая бомба скрыта не здесь, а в скромном пункте 11 статьи 17 закона 128-ФЗ. Достаточно посмотреть определение деятельности по защите информации в постановлении Правительства РФ от 15.08 2006 N 504 "Положение о лицензировании деятельности по технической защите конфиденциальной информации":

цитата:
Под технической защитой конфиденциальной информации понимается комплекс мероприятий и (или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней.

Вот так. Настройка файерволла у клиента или установка Active Directory (eDirectory, NIS и т.д.) - и вас вполне можно притянуть за деятельность без лицензии. Не важно, в чьих интересах, даже в своих собственных. К слову, как и за использование спецсредств вроде "Прибоя". Вспоминая про закон 149-Фз получается, что фактически запрещены все средства защиты при отсутствии лицензии.
А что там пресловутый Указ президента РФ № 334 от 03.04.1995 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (с изменениями 2000 г.)". Что же в нем запрещено на самом деле:

цитата:
2. Запретить использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.
...
3. В интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации".

С лицензированием мы уже разобрались. На что по федеральному закону не положено лицензии получать в правоприемнике ФАПСИ, за то нас не накажут согласно пункта 3 указа. Впрочем, вероятность прилечения кого-либо, не являющегося госслужащим за неисполнение данного указа по статьям 330 УК, 19.1 КоАП можно считать исчезающе малой.
А что с обязательной сертификацией и статьей 13.12 КоАп?:

цитата:
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), -
влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой.

Ну что же, обратимся к документу, устанавливающему порядок сертификации криптографических средств. Постановление Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации" (в редакции постановления №808 2004 г.):

цитата: 1. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации. Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации.

Если средства защиты применялись не для защиты гос. тайны, их сертификация необязательна, и к административной ответственности привлечь нельзя.

В наступлении уголовной ответственности все упирается в текст статьи 171 УК РФ. Физическое лицо, не занимающее предпренимательской деятельностью с использованием шифровальных средств в этой деятельности привлечь по ней невозможно. Сложнее штатным и "приходящим" работникам IT. Использование шифровальных средств для внутренних нужд организации не требует лицензирования.Но в группу риска попадают такие вещи, как шифрование информации, которую по закону подлежит обязательной защите (персональные данные), шифрование данных, передаваемых клиентам/контрагентам (системы банк-клиент, защищенные SSL сайты, выдача спец.ПО , сертификатов, ключей шифрования работникам предприятия для использования за пределами предприятия (доступ из дома). Но в любом случае людям в погонах надо доказать, что имеется крупный ущерб/доход - двести пятьдесят тысяч рублей.
Основным видом ответственности будет административная ответственность, определенная статьей 13.13 КоАП:

цитата: Незаконная деятельность в области защиты информации
1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), -
влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на должностных лиц - от двадцати до тридцати минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой.

Учитывая рыхлость определения защиты информации в постановлении Правительства РФ от 15.08 2006 N 504 "Положение о лицензировании деятельности по технической защите конфиденциальной информации", дамоклов меч висит буквально над каждым.

пароль на биос=комп не мой

так
те кто употребляет расширители сознания могут в этой теме не комментить.

нейрон юрист?

Ссылку на источник давай! копипастом пахнет.

P.S. Шивруй, не шифруй: паяльник и утюг - лутьшие дешифраторы.

Рассмотрение об изменении закона о защите персональных данных и конф. информации перенесено на начало следующего года. если ты по этому поводу беспокоишься. В остальных случаях использование средств шифрования абсолютно добровольно

+ еще очевидно гос тайна.

Прочитал,
- здесь 149-й закон не причем, там нет прямых запретов.
- по 128 закону + другие подзаконные акты - шифрование обязаны лизензировать только для гос. и некоторой перс. тайны. Остальные виды информации при их шифровании не обязательно лицензировать.

Все просто ))),
если отсутствует лицензия предусмотерн либо штраф, либо (по максимому) срок должностного лица до 3 лет. Это в теории, на практике я не слышал о реальных сроках.

В чем суть вопроса то???

Нейрон, что опять случилось?

что хотел то?

УГ тема....

ничего не случилось . все хорошо.
для общего развития тему создал.)

получаеться люди шифрующие свои жесткие диски существенно затруднят деятельность разного рода служб?

конечно.
ты шифруешь или из служб?)))

на самом деле подавляющему большинству народа бояться нечего. ну не интересна их информация ни кому. даже если они денег доплатят.

152 закон менять чтоли собрались?

Нейрон, прочитай внимательно что написано в законах.

НИКОМУ не нужна лицензия для использования для себя (!!!) юр.лица или физика или чпшника.
а вот предоставлять такие услуги другому лицу ты без лицензии не имеешь права.

получается если ЧП зашифрует все свои данные то ему ничего не будет?)

нет конечно его данные, что хочет то и делает.
вот тока ты ему не можешь их зашифровать.

конечно не могу.
он купит программу(PGP например) и сам ткнет кнопочку зашифровать).

правильно ли я понимаю что ни какими силами *кроме пояльника* выудить из чп ника его базы будет не возможно?
как на счет предприятий?

какие еще базы???
документацию в электронном виде?
да не обязан, но должен предоставить бумажный вариант в полном объеме.
иначе - это помеха следствию +ст.УК

бухгалтерские например.
кто определяет в полном или не в полном объеме предоставлены данные в бумажном варианте?
адресса пароли явки допустим он там хранит.
и вообще у него там личная переписка и он не желает что кто либо в том числе и представители структур ее читали.
и защифровал ее соотвествующим ПО с ключами максимальной длинны и сложности.
представители его утюгом будут пытать или вменят статью помеха следствию?

я не понимаю нейрон че ты так закипишавал. если есть человек статья обязательно найдется. а за что она, уже дело десятое.

я не кипишую. я просто хочу расставить все точки над и.
мене этот вопрос интересен.
а с принципом был бы человек, а статья найдется можно совсем без законов жить.
а зачем?

так это есть и точки над и.
пока ты государству не интересен, шифруй чо хочешь и как хочешь.
а когда государство заинтересуется тобой, то опять же будет пофик что и как ты шифровал, для терморектальный криптоанализа это не так важно.

хорошо.
а если человек уничтожил свои данные в момент маски шоу?

ну как говориться не пойман не кайф.
жрать улики на допросах придумали давно.
другое дело в том что информация оставляет о себе следы. хотя конечно не вся. но нужна ли такая информация

Нейрон не ссы в компот, кому надо, тот восстановит информацию... а вот что бы её цивилизовано гарантированно уничтожить у тебя средств не хватит. Хотя ты можешь конечно растворить жесткий диск в кислоте.. если успеешь. :D:D:D
А пароли это не проблема... все зависит от того какую ценность она представляет для тех кто её хочет получить.

а причом тут пароли?

ну давайте предположим что стоимость информации чпника 20-30 тыс у.е.
рассмотрим варианты в городе уфе*для наглядности*
1) он всю информацию зашифровал и решил поиграть в партизанов , т.е. упорно ссылается на склероз и пароль не желает вспоминать. предположим он использовал По со стойкими алгоритмами шифрования и пароль удумал ...

2) он купил прибор на каждый винт и в момент маски шой нажав на кнопку всю инфу потер.

вы реально думаете что сотрудники смогут добраться до его личной переписки с деловым партнером?
какова реальная цена которую затратят . в первом случае?
они его будут пытать? угрожать жизни его семьи?
вы действительно в это верите ?

2) я не верю что они потратят сотни тысячь у.е. на ее востановление.
а если таких умников наберется значительное кл-во будет и вовсе ....

нейрон не стоят логи аськи 20-30 тыс у.е.

это смотря чьи логи)

не льсти себе ))

вот смотри что получается.
А пишет Б письмо которое по твоим словам стоит 20-30 тысяч у.е.
в момент прихода искусствоведов в штатском, А нажимает кнопочку и вся инфа хериться.
что будут делать любители искусства:
1. вставлять паяльник в задницу А? после чего А с радостью отдаст последний чемодан денег лишь бы вынули паяльник из его ануса
2. под благовидым предлогом изимут компьютер у ничего неподозревающего Б
3. пойдут к провайдеру и вежливо представившись получат все на блюдечке
?

и что же таки за логи такие дорогие?))

Легко, причем почти бесплатно, а точнее за 80 рублей, т.е. стоимость паяльника, главное поставить себе цель.

Терморектальный криптоанализ рулит!!!
:D:D:D

бери на поток, выйдет дешевле

т.е. ты реально думаешь что будут пытать?
в уфе.
особенно если Б вне зоны доступа и трафик тоже зашифрован)

нейрон любая инфорамция оставляет следы. и сама является следом действий. необязательно расшифровывать твой винт к примеру. то что я описал это общий случай так сказать. в каждом конкретном случае найдутся другие ниточки за которые можно подергать для достижения результата. андерстанд?

и все таки чего такого может быть в переписке ИП на 30 тонн иностранных денег?

наверное по этому в англии приняли закон о том что за не раскрытие паролей полагается тюрьма *не давно кстати засадили одного параноика*.

и? показуха и не более
В Англии есть закон, который запрещает владеть телевизором всем, кто не имеет особой лицензии. также в Англии детям до 10-лет запрещается смотреть на обнаженные манекены.
и самоубийство расценивается как тяжкое преступление(какое интересно наказа ние за это?) .
а англии кстати запрещено ссать нга публике. но можно если мужчина делает это на заднее колесо своей машины- его правая рука при этом должна оставаться на капоте автомобиля.


самый лучший способ сохранения информации - делать так чтобы никто не знал что она есть. а шифрование и т.д. не самый лучший метод

ты загугли. такие законы не только в англии.
случаев таких масса.
и появился закон после того как некие люди которые ни разу не дружат с сотрудниками стали активно шифрование применять.
ну и склероз конечно же их сильно мучил.

ну есть и есть закон. чо такого то. кто то испугается паяльника в заднице, кто то когда пальчиком грозят. дальше то что?

ты колос когда закончишь на личности переходить в обсуждении чего либо?
есть исходные есть законы какие еще тут могут быть "испугался" итд?

задолбали.

какие личности? А и Б?

вот именно.
какие еще могут быть паяльники и пр?
что за детский сад.

какие могут быть паяльники - зайди в электронику посматри там много разных.

ты хочешь закон рассматривать закон отдельно от тех кем и к кому он применяется? этакий сферический конь в вакууме?

хорошо покажи мне хоть одного человека к которому применяли паяльник с целью выведать пароль

Больше того ты имеешь право забыть пароль зашифрованной информации согласно 51 статьи конституции.

Закон, что дышло...

Есть ещё способ: ноут в тяжёлый сейф (на ключ), через отверстие вывести нужные шнуры и уже в час Х, просто нажать на кнопочку :p;)

у вас в ноуте секретные планы генштаб чтоль?