Лицензирование деятельности при работе с ЭЦП

#криптография #лицензирование #закон

Необходимо ли лицензирование деятельности у ФСБ при разработке ПО с применением программно-аппаратных
криптографических средств (в моей случае это опыт с eToken ГОСТ и JaCarta ГОСТ компании
Aladdin R.D.) для целей аутентификации и формирования юридически значимой квалифицированной
подписи на документы, если данное ПО подразумевается как коммерческий продукт для внешнего
использования клиентами и третьей стороной?

Согласно п.3 постановления РФ от 16 апреля 2012 г. № 313 не могу однозначно понять.

Налицо встраивание уже лицензированного решения, вроде не разработка, но встраивание,
и возможно распространение. Сами криптоустройства и плагин для связи токена и системы
не распространяю. Само решение и без данной криптозащиты спокойно работает, но код
взаимодействия остается.

Ответ на вопрос так же искал на форумах аладдина и криптопро, хабре и тостере, а
так же направил вопрос в службу поддержки указанного решения.

Так или иначе может кто-то сталкивался с данным вопросом при разработке?
    

Ответы

Ответ 1

Вот что удалось самостоятельно выяснить:

Если использовать криптоустройства только для целей двухфакторной аутентификации,
то лицензия не нужна, т.к. шифрование не осуществляется. (впрочем, здесь есть сомнения
и все зависит от используемого протокола)

Если формирование ЭЦП, обслуживание и др. используется для личных нужд или внутренних
нужд компании, то под постановление не попадаем.

Лицензия ФСБ требуется при встраивании криптографических средств (даже сертифицированных)
в ПО которое будет предоставляться как товар/услуга для других лиц. 

Соответственно при заказной разработке или для предоставления другим лицам как услуги
лицензия фсб все же нужна. 



В итоге остается 6 возможностей:


Самостоятельное получение лицензии ФСБ со всеми вытекающими последствиями;
Само приложение поставлять без криптозащиты. Ее подключать в виде отдельного модуля
с помощью пользователя и/или посредника. При этом модуль в таком случае должен разрабатываться
и распространяться отдельно посредником, имеющим лицензию. Поставлять модуль необходимо
отдельно от основного приложения. Другими словами: использовать услуги другой стороны; 
Использовать простую подпись без криптографии, например усиленную смс-подтверждением.
При этом нужно формировать соглашение между сторонами обмена о том, что такая подпись
признается юридически значимой. А в суде факт формирования такой подписи осуществляется
проверкой логов сервера и др. согласно условиям соглашения.
Использовать средства СКЗИ встроенные в ОС. (под закон не попадает)
Осуществлять подпись не на территории РФ. (Электронные подписи, созданные в соответствии
с нормами права иностранного государства и международными стандартами признаются юридически
значимыми согласно законодательству РФ)
Не использовать криптографию и ЭЦП вовсе.




Отсутствие данной лицензии после первой возмездной/безвозмездной передачи другой
стороне является нарушением статьи 171 "Незаконное предпринимательство" уголовного
кодекса РФ а так же, КоАП РФ, Статья 13.13. Незаконная деятельность в области защиты
информации и сулит серьезный штраф и возможно конфискацию всех СКЗИ.