Прослушал вебинар от АИС, Академия Информационных Систем на тему «Проблематика ввоза - вывоза шифровальных средств». Ведущий вебинара – Андрей Николаевич Ковалев, независимый эксперт АИС, до 2017 года – заместитель начальника ЦЛСЗ ФСБ России."
АИС, Академия Информационных Систем больших плюсов в карму за тематику и за привлечение представителя регулятора данной области такого ранга. Прояснил для себя несколько моментов:
1. ПКЗ-2005 сознательно написан исключительно под отечественные СКЗИ, а регулировать использование иностранного СКЗИ так и не надумали.
2. использование в документации по ввозу/вывозу СКЗИ формулировок "принтер с функцией шифрование" и подобное, вызван нежеланием таможни присваивать отдельные коды средствам СКЗИ. По этому для ФТС все ввозимое оборудование одинаково и приходится ФСБ постоянно разъяснения им направлять. Больная тема оказалась для Андрей Николаевича.
3. Озвучена интересная позиция, что сертифицированные СКЗИ обязательны только для гостайны (это не ново), но и для ГИС, потому что в ГИС владельцем информации является государство и так будет правильно. Но юридически это не закреплено.
4. Сертификации иностранных СКЗИ не будет никогда, мельком упомянута роль Cisco в этом (специально для Alexey Lukatsky).
5. Существуют "черные списки" ЦЛСЗ, при попадании в которые, производителям иностранного СКЗИ не грозит получение нотификации на ввоз в РФ. Одним из основанием для включения названо - "фиктивное" отключение функции шифрований на устройстве (производитель информирует покупателя в РФ как снять заводскую блокировку шифрования после ввоза).
АИС, Академия Информационных Систем больших плюсов в карму за тематику и за привлечение представителя регулятора данной области такого ранга. Прояснил для себя несколько моментов:
1. ПКЗ-2005 сознательно написан исключительно под отечественные СКЗИ, а регулировать использование иностранного СКЗИ так и не надумали.
2. использование в документации по ввозу/вывозу СКЗИ формулировок "принтер с функцией шифрование" и подобное, вызван нежеланием таможни присваивать отдельные коды средствам СКЗИ. По этому для ФТС все ввозимое оборудование одинаково и приходится ФСБ постоянно разъяснения им направлять. Больная тема оказалась для Андрей Николаевича.
3. Озвучена интересная позиция, что сертифицированные СКЗИ обязательны только для гостайны (это не ново), но и для ГИС, потому что в ГИС владельцем информации является государство и так будет правильно. Но юридически это не закреплено.
4. Сертификации иностранных СКЗИ не будет никогда, мельком упомянута роль Cisco в этом (специально для Alexey Lukatsky).
5. Существуют "черные списки" ЦЛСЗ, при попадании в которые, производителям иностранного СКЗИ не грозит получение нотификации на ввоз в РФ. Одним из основанием для включения названо - "фиктивное" отключение функции шифрований на устройстве (производитель информирует покупателя в РФ как снять заводскую блокировку шифрования после ввоза).
Специально поднял вопрос вывоза отечественного сертифицированного СКЗИ для собственных нужд. Получил следующие ответы:
1. Для временного вывоза ноутбука с СКЗИ необходимо получать разрешение ЦЛСЗ. Вопрос был про командировку сотрудника за рубеж.Причем разрешение будет выдаваться разово, с привязкой конкретному человеку,организации и условий поездки. Все будет решаться индивидуально.
2. Необходимо получать разрешение на вывоз ноутбука с установленными СЗИ у ФСТЭК, если эти СЗИ имеют сертификаты ФСТЭК и обязательны для использования СКЗИ. Конкретно озвучивалось защита от НСД.
3. СКЗИ должны иметь исполнение, допускающее эксплуатацию за рубежом.
4.Если зарубежное представительство/филиал оформлено как отдельное юрлицо, то никакой речи об "использовании для собственных нужд" уже не идет. Вперед на получение внешнеторговых лицензий.
5. Любое использование СКЗИ между филиалами в РФ и заграницей решается индивидуально. Касается как использования российской дочки иностранного СКЗИ (оформление ввоза), так и иностранного филиала российской компании (вывоз СКЗИ).
1. Для временного вывоза ноутбука с СКЗИ необходимо получать разрешение ЦЛСЗ. Вопрос был про командировку сотрудника за рубеж.Причем разрешение будет выдаваться разово, с привязкой конкретному человеку,организации и условий поездки. Все будет решаться индивидуально.
2. Необходимо получать разрешение на вывоз ноутбука с установленными СЗИ у ФСТЭК, если эти СЗИ имеют сертификаты ФСТЭК и обязательны для использования СКЗИ. Конкретно озвучивалось защита от НСД.
3. СКЗИ должны иметь исполнение, допускающее эксплуатацию за рубежом.
4.Если зарубежное представительство/филиал оформлено как отдельное юрлицо, то никакой речи об "использовании для собственных нужд" уже не идет. Вперед на получение внешнеторговых лицензий.
5. Любое использование СКЗИ между филиалами в РФ и заграницей решается индивидуально. Касается как использования российской дочки иностранного СКЗИ (оформление ввоза), так и иностранного филиала российской компании (вывоз СКЗИ).
Общий вывод: проблема ввоза/вывоза СКЗИ стоит остро, но ни неформальные обращение, ни мои официальные публикации в СМИ и доклады на профильных выставках ни к чему не привели в части регламентации действий заявителя Единственная реакция регулятора - появились требования к СКЗИ для эксплуатации за рубежом и отечественные производители насытили коммерческий рынок подобными предложениями.
Комментариев нет:
Отправить комментарий