Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Cisco crypto FAQ 2013

16.463 Aufrufe

Veröffentlicht am

  • Als Erste(r) kommentieren

Cisco crypto FAQ 2013

  1. 1. Часто задаваемые вопросы Часто задаваемые вопросы по ввозу и использованию продукции с функцией криптографии(не является официальным документом, ответы на вопросы подготовлены на основании открытых материалов и опыта практической деятельности компании Cisco в Российской Федерации)В1.Что такое шифровальные средства?О1. Документы, регламентирующие вопросы ввоза-вывоза шифровальных средств, определяют,что средства шифрования - аппаратные, программные и аппаратно-программные средства, системы икомплексы, реализующие алгоритмы криптографического преобразования информации ипредназначенные для защиты информации от несанкционированного доступа при ее передаче поканалам связи и (или) при ее обработке и хранении.В2.Какой правительственный или государственный орган регламентирует вопросы ввоза-вывоза шифровальных средств?О2. Решением Президентов Российской Федерации, Республики Беларусь и Республики Казахстанв конце 2011 года создана Евразийская экономическая комиссия (далее ЕЭК) как единый постояннодействующий регулирующий орган Таможенного союза и Единого экономического пространства.Комиссия имеет статус наднационального органа управления, не подчинена какому-либоправительству и решения Комиссии обязательны для исполнения на территории трех стран. Основнойзадачей ЕЭК является обеспечение условий функционирования и развития Таможенного союза иЕдиного экономического пространства, а также выработка предложений по дальнейшему развитиюинтеграции. ЕЭК передаются полномочия упраздняемой Комиссии Таможенного союза.В3.Какие документы регулируют ввоз шифровальных средств на территорию РоссийскойФедерации?О3. Решением Решение Коллегии Евразийской экономической комиссии от 16 августа 2012г. №134«О нормативных правовых актах в области нетарифного регулирования» утверждены:  Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - членами таможенного союза в рамках Евразийского экономического сообщества в торговле с третьими странами (включающий в себя): o Шифровальные (криптографические) средства, ввоз которых на таможенную территорию Таможенного союза и вывоз с таможенной территории Таможенного союза ограничен (далее Перечень 2.19)  Положения о применении ограничений (включающие в себя): o Положение о порядке ввоза на таможенную территорию Таможенного союза и вывоза с таможенной территории Таможенного союза шифровальных (криптографических) средств (далее Положение о ввозе)Все документы ЕЭК опубликованы на официальном сайте www.tsouz.ru.В4.Какие продукты могут быть отнесены к шифровальным средствам?О4. В Перечне 2.19 нет отдельно определенной группы шифровальных средств исоответствующих им кодов единой Товарной номенклатурой внешнеэкономической деятельности(ЕТН ВЭД). В Перечне 2.19 указаны наименования товаров и их коды ЕТН ВЭД, по принадлежности ккоторым, таможенные органы могут определить ввозимый продукт как шифровальный. Выдержка изПеречня 2.19 применительно к продукции Cisco:Наименование товаров Код ЕТН ВЭД5. Машины вычислительные и их части, имеющие функции из 8471 30 000 0, из 8471 41 000 0шифрования (криптографии) из 8471 49 000 0, из 8471 50 000 0 из 8471 90 000 0, из 8473 30 200 96. Устройства вычислительных машин, имеющие функции из 8471 70 500 0, из 8471 70 980 0шифрования (криптографии) из 8471 80 000 08. Абонентские устройства связи, имеющие функции из 8517 11 000 0, из 8517 12 000 0шифрования (криптографии) из 8517 18 000 09. Базовые станции, имеющие функции шифрования из 8517 61 000 1, из 8517 61 000 2,(криптографии) из 8517 61 000 8© Cisco Systems, 2013 г. 1
  2. 2. Часто задаваемые вопросы10. Телекоммуникационное оборудование и его части, из 8517 62 000 , из 8517 69 390 0имеющие функции шифрования (криптографии) из 8517 69 900 0, из 8517 70 90011. Программные шифровальные (криптографические) из 8523 29 310 1, из 8523 29 310 2средства вне зависимости от носителя информации из 8523 29 330, из 8523 49 250 0 из 8523 49 450 0, из 8523 49 910 0 из 8523 49 930 0, из 8523 51 910 1 из 8523 51 930 1, из 8523 52 из 8523 59 910 1, из 8523 59 930 0 из 8523 80 910 1, из 8523 80 930 012. Аппаратура для радиовещания или телевидения и ее из 8525 50 000 0, из 8525 60 000 0части, имеющие функции шифрования (криптографии) из 8529 90 200 1, из 8529 90 650 0 из 8529 90 970 013. Приемники радионавигационные, аппаратура из 8526 91 200 0, из 8526 91 800 0дистанционного управления и их части, имеющие функции из 8526 92 000, из 8529 90 650 0шифрования (криптографии) из 8529 90 970 014. Аппаратура доступа в сеть “Интернет” и из 8517 62 000, из 8528 71 130 0телевизионные приемники с коммуникационной функцией, из 8529 90 650 0, из 8529 90 970 0их части, имеющие функции шифрования (криптографии)15. Схемы электронные интегральные, запоминающие из 8542 31 900 1, из 8542 31 909 9устройства, имеющие функции шифрования из 8542 32 410 9(криптографии) или содержащие шифровальные(криптографические) средства16. Прочие машины электрические и аппаратура, из 8543 70 900 9, из 8543 90 000 9имеющие индивидуальные функции, содержащиешифровальные (криптографические) средстваВ5. Процедура ввоза единая для всех шифровальных средств?О5. Нет. Все шифровальные средства по процедуре ввоза разделены на две группы. Упрощеннаяпроцедура ввоза – ввоз по зарегистрированной нотификации - существует для шифровальныхсредств, которые могут быть включены в «Перечень категорий товаров (продукции), являющихсяшифровальными (криптографическими) средствами или содержащих в своем составе шифровальные(криптографические) средства, технические и криптографические характеристики которых подлежатнотификации» (приложение к Положению о ввозе, далее - Перечень НТФ). Выдержка из Перечня НТФприменительно к продукции Cisco:№ Наименование продукции1 Товары, содержащие шифровальные (криптографические) средства, имеющие любую из следующих составляющих:  симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит; или  асимметричный криптографический алгоритм, основанный на любом из следующих методов: a) на разложении на множители целых чисел, размер которых не превышает 512 бит; b) на вычислении дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит; или c) на дискретном логарифме в группе, отличного от поименованного в вышеприведенном подпункте “b” размера, не превышающего 112 бит.2 Товары, содержащие шифровальные (криптографические) средства, обладающие следующими ограниченными функциями:  аутентификация, включающая в себя все аспекты контроля доступа, где нет шифрования файлов или текстов, за исключением шифрования, которое непосредственно связано с защитой паролей, персональных идентификационных номеров или подобных данных для защиты от несанкционированного доступа;  электронная цифровая подпись.3 Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной.7 Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций.© Cisco Systems, 2013 г. 2
  3. 3. Часто задаваемые вопросы8 Портативные или мобильные радиоэлектронные средства гражданского назначения (например, для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию (т.е. от абонента до абонента).9 Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя.10 Шифровальные (криптографические) средства, используемые для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи.11 Товары, у которых криптографическая функция заблокирована производителем.В6.Кто заполняет, регистрирует и хранит нотификации?О6. ООО «Сиско Системс», действуя по поручению производителя оборудования компании CiscoSystems International B.V. (Нидерланды), заполняет нотификации в двух экземплярах на продукциюCisco, которая попадает в Перечень НТФ и передает их для регистрации в Центр по лицензированию,сертификации и защите государственной тайны ФСБ России (далее ЦЛСЗ) clsz.fsb.ru. Послерегистрации один экземпляр нотификации возвращается в Cisco. ЦЛСЗ также направляетинформацию о зарегистрированной нотификации в ЕЭК для опубликованияwww.tsouz.ru/db/entr/notif/Pages/default.aspx». В среднем, процедура регистрации нотификациизанимает не менее 2-3 недельВ7.Как выглядит упрощенная процедура ввоза шифровальных средств Cisco?О7. Ввоз шифровальных средств, попадающих в Перечень НТФ, осуществляется на основанииинформации о зарегистрированной нотификации без оформления иных разрешительных документов.По запросу импортера ООО «Сиско Системс» предоставляет сканы зарегистрированныхнотификаций. Иногда таможенные органы сами отслеживают необходимую информацию на сайтеwww.tsouz.ru.В8.Как ввозятся шифровальные средства, не попадающие в Перечень НТФ?О8. Такие шифровальные средства ввозится на основании разовой лицензии МинпромторгаРоссии, выданной на основании заключения ЦЛСЗ о возможности ввоза шифровального средства.Лицензия и заключение выдаются на определенное количество конкретных шифровальных средств.В9.Кто обращается в Минпромторг и ЦЛСЗ за разрешительными документами?О9. Все работы с уполномоченными государственными органами осуществляет импортер.Положение о ввозе не делает различия между юридическими или физическими лицами.В10. Какова процедура получения лицензии Минпромторга России?О10. Процедура получения лицензии и вся необходимая информация подробно представлена насайте Минпромторга www.minpromtorg.gov.ru/services/permission/export-import .Основной регулирующий документ: «Административный регламент Министерства промышленности иторговли Российской Федерации по предоставлению государственной услуги по выдаче лицензий идругих разрешительных документов на экспорт и (или) импорт отдельных видов товаров, а такжеформированию и ведению федерального банка выданных лицензий»В11. Какова процедура получения заключения ЦЛСЗ на ввоз шифровального средства?О11. В настоящее время импортер представляет в ЦЛСЗ следующие документы:  заявление о выдаче заключения на ввоз или вывоз шифровального средства с указанием его полного наименования, идентифицирующих признаков (P/N), количества, информации о конечном пользователе, его сети и обрабатываемой информации  копии лицензий на осуществление лицензируемого вида деятельности (распространение), собственной и, при необходимости, интегратора  техническую документацию на шифровальное средство (передается импортеру по его запросу ООО «Сиско Системс»)Заключение на конкретное шифровальное средство должно выдаваться однократно, но сейчас ЦЛСЗвыдает заключения только на конкретную поставку для указанного конечного пользователя.© Cisco Systems, 2013 г. 3
  4. 4. Часто задаваемые вопросыВ12. Как передаются документы в ЦЛСЗ?О12. Документы должны быть оформлены в виде письма с приложениями на официальном бланкеорганизации и адресованы начальнику Центра по лицензированию, сертификации и защитегосударственной тайны ФСБ России Васюкову Юрию Константиновичу. Обязателен исходящийрегистрационный номер и дата подписания письма. Письмо можно направить почтой России поадресу: г. Москва. 107031, ул. Большая Лубянка, дом 1/3 или передать конверт с документами,оформленный в соответствии с требованиями Государственной фельдъегерской службы России вэкспедицию по адресу ул. Б. Лубянка д.2, подъезд №6. Дополнительную информацию можно получитьпо телефонам, указанным на сайте ЦЛСЗ clsz.fsb.ru/.В13. Что должен делать Заказчик (конечный пользователь)?О13. В Положении не определены процедуры, которые должен осуществлять Заказчик, но всоответствии со сложившейся практикой, Заказчик оказывает импортеру поддержку, предоставляя вЦЛСЗ информационное письмо по применению ввозимого оборудования. В письме указываетсяминимально необходимая следующая информация:  каталожные номера (P/N) , наименования, количество ввозимых шифровальных средств  цель ввоза  краткая характеристика сети – локализация, пользователи, обрабатываемая информация  назначение ввозимых шифровальных средств, их размещение (адрес) Информационное письмо должно совпадать по содержанию с заявлением в ЦЛСЗ от импортера.Отсутствие информационного письма может трактоваться как недобросовестность импортера и, какправило, означает 100% отказ в выдаче заключения на ввоз шифровального средства. В случае, еслиимпортер и Заказчик одно лицо, например ввоз для себя, информационное письмо не требуется.В14. Во всех случаях ввоза шифровальных средств, не попадающих в Перечень НТФ,требуется получение лицензии Минпромторга?О14. Нет, в Положении указаны исключения. Ввоз шифровальных средств производится безлицензии Минпромторга и только на основании заключения ЦЛСЗ в случаях:  при ввозе и вывозе шифровальных средств для осуществления ремонта или замены в соответствии с обязательствами по договору (контракту, соглашению);  при временном ввозе и временном вывозе шифровальных средств в целях: o проведения научно-технической экспертизы; o научных исследований; o экспонирования на выставках;  при ввозе и вывозе шифровальных средств в целях обеспечения собственных нужд организаций без права их распространения и оказания третьим лицам услуг в области шифрования;  при транзитных перевозках шифровальных средств через территорию государств – участников таможенного союза.В15. Сколько времени занимает процедура получения разрешительных документов на ввозшифровального средства?О15. Общий срок получения лицензии Минпромторга России с учетом проведения экспертизы иполучения заключения ЦЛСЗ не должен превышать 90 дней со дня регистрации обращенияимпортера в ЦЛСЗ. Сложившаяся практика показывает, что при условии правильно подготовленныхдокументов, получение разрешительных документов занимает около 7 - 9 недель (ЦЛСЗ – от 4 до 6недель, Минпромторг – не более 3 недель). При этом заказывать продукцию можно сразу послеполучения заключения ЦЛСЗ. Процедуру получения лицензии Минпромторга можно совместить спроцессом изготовления и транспортировки продукции в Россию.В16. Как поступать, если в устройстве Cisco нет шифровального функционала, но оно понаименованию и коду ЕТН ВЭД попадает в Перечень 2.19?О16. Между производителем продукции Cisco компанией Cisco Systems International B.V.(Нидерланды) и ООО «Сиско Системс» подписано соглашение, в соответствии с которым ООО«Сиско Системс» может представлять документы, подтверждающие технические и криптографическиехарактеристики продукции Cisco, в том числе, гарантийные письма об отсутствии криптографии в© Cisco Systems, 2013 г. 4
  5. 5. Часто задаваемые вопросыконкретном продукте Cisco. Такие документы представляются компаниям – импортерам по их запросуи принимаются таможенными органами.В17. Что делать, если ООО «Сиско Системс» не может предоставить гарантийное письмо оботсутствии шифрования на ввозимый продукт?О17. Скорее всего это значит, что ввозимый продукт является шифровальным средством и ондолжен ввозиться по определенной в Положении о ввозе процедуре.В18. С какого времени действует нынешнее Положение о ввозе?О18. В соответствии с решением Межгосударственного Совета Евразийского экономическогосообщества от 27 ноября 2009 года «О едином нетарифном регулировании таможенного союзаРеспублики Беларусь, Республики Казахстан и Российской Федерации» нынешнее Положение оввозе, с изменениями и дополнениями, действует с 01 января 2010 года. Вступление России в ВТО 22августа 2012 года ничего не поменяло в области нетарифного регулирования внешней торговли.В19. Если в продукте шифровальный функционал не является основным и продукт послеввоза не предполагается использовать в качестве не шифровального средства, он будетсчитается шифровальным средством или нет?О19. Если продукт может реализовать алгоритмы криптографического преобразованияинформации, он в любом случае считается шифровальным средством, даже если шифрованиеявляется неосновной или неиспользуемой функцией продукта.В20. Определение шифровальных средств относится только к продукции компании Cisco?О20. Нет. Устройства с функцией шифрования выпускают большинство вендоров. В общем случаеможно сказать, что аналогичные устройства Cisco и других производителей телекоммуникационногооборудования имеют идентичные криптографические характеристики. Отличие в другом:  компания Cisco имеет четкую классификацию шифровальных средств, основанную на требованиях экспортного законодательства США  с целью защиты интересов российских потребителей продукции Cisco в нашей компании была введена система внутренней классификации и контроля импортируемой в Россию продукции (см. ниже В21). Каждый покупатель продукции Cisco может быть уверен, что его оборудование ввезено с соблюдением требований законодательства Российской Федерации.В21. Что такое С1-С4? И что это значит с точки зрения поставки?О21. Это внутренняя классификация офиса Cisco для импортируемой в Россию продукции:  C1 – продукты, которые Cisco определяет как не имеющие функций шифрования и соответственно не требующие для ввоза разрешительных документов от ЦЛСЗ и Минпромторга России и для которых Cisco может выдать гарантийные письма,  С2 – продукты, которые Cisco определяет как шифровальные средства попадающие в Перечень НТФ и для который имеются зарегистрированные нотификации  С3 – продукты, которые Cisco определяет как шифровальные средства не попадающие в Перечень НТФ и ввоз которых осуществляется по лицензии Минпромторга России, выдаваемой на основании заключения ЦЛСЗ  С4 – продукты, еще не распределенные ни по одной из предыдущих категорий.В22. Как узнать, в какой категории находится приобретаемый продукт?О22. ООО «Сиско Системс» регулярно сообщает данную информацию партнерам Cisco,осуществляющим импорт на территорию России.В23. Как добавить новый продукт в список классифицированных?О23. Заявки на классификацию новых продуктов следует отправлять по электронной почте по адресам ddu-info@cisco.com или rus-sec-import@cisco.com (обязательно указывайте P/N).В24. Что делать, если в спецификацию по проекту попадают продукты разных классов?О24. Можно разбить одну спецификацию на несколько в соответствии с условиями поставки иввозить не одновременно. Можно ввозить по мере готовности разрешительных документов или вслучае одновременной поставки, ввозить после получения всех заключений и лицензий.© Cisco Systems, 2013 г. 5
  6. 6. Часто задаваемые вопросыВ25. Что происходит с продуктами категории С3 при заказе?О25. Эти продукты попадают под процедуру «приостановка отгрузки» или в нашей внутреннейтерминологии «ставятся на hold» до момента получения от компании – импортера информации ополученном положительном заключении ЦЛСЗ.В26. Будут ли «приостанавливаться к отгрузке» заказы на продукты, отсутствующие в спискеклассифицированных продуктов?О26. Да, отгрузка таких заказов будет приостановлена до проведения классификации и получения,в случае определения их как шифровальных средств, разрешительных документов:зарегистрированной нотификации или заключения ЦЛСЗ.В27. Почему заказ продуктов, получивших заключения ЦЛСЗ на ввоз, может иметь статус«приостановка отгрузки»?О27. Возможно в заказе присутствуют позиции в дополнительных subline, относящиеся к продуктам,имеющим нулевую цену (модули, лицензии и т.п.), при этом эти продукты м.б. не классифицированы.В этом случае необходимо обратиться по адресу ddu-info@cisco.com или rus-sec-import@cisco.com Мыпроведем классификацию продуктов и после обновления данных в системе (несколько часов), продуктможет быть доступен к заказу.В28. Можно приобрести продукцию Cisco с криптографическими характеристиками категорииС3, но без формальностей процедуры ввоза?О28. Компания Cisco предлагает российский криптографический модуль NME-RVPN длямаршрутизаторов серии ISR G2 2900, 3900. Данные маршрутизаторы могут быть с установленнымпрограммным обеспечением версии NPE (ввоз по нотификации). Модуль производится в России, как имаршрутизатор Cisco2911R/K9, и процедура ввоза отсутствует в принципе. Модуль имеетсертификаты ФСБ России как шифровальное средство и сертификаты ФСТЭК России как межсетевойэкран и может использоваться для защиты конфиденциальной информации.www.cisco.com/web/RU/products/hw/vpndevc/rvpn/index.html.В29. Что делает компания Cisco для облегчения ввоза шифровальных средств?О29. Компания предпринимает меры по изменению криптографических характеристик продуктовтаким образом, что бы перевести их из категории С3 с категорию С2 и ввозить данные продукты позарегистрированным нотификациям. Например, через такую процедуру прошли следующие продукты:  маршрутизаторы серий Cisco 800, ISR 1900 , ISR 2900 , ISR 3900, 2100 CGR, ASR1000, ASR 903 с установленным программным обеспечением NO PAYLOAD ENCRYPTION - «NPE»  коммутаторы серий Cisco Catalyst 3560-X, Catalyst 3750-X, 2500 CGS, Nexus 7000 с установленным программным обеспечением серии NO PAYLOAD ENCRYPTION – «NPE»  оборудование систем видеоконференцсвязи с установленным программным обеспечением версии NO PAYLOAD ENCRYPTION – «NPE»  специальные версии программного обеспечения EXPORT UNRESTRICTED – «XU» для продуктов системы унифицированных коммуникаций Cisco Unified Communications  маршрутизаторы серии 800 PCI только для банковских или финансовых операций (for PCI DSS - FSI and payment transactions only)Этот список модифицированных продуктов постоянно расширяется.В30. Чем отличается программное обеспечение версий «NPE» и «XU» от обычногопрограммного обеспечения?О30. В программном обеспечении версий «NPE» и «XU» производителем - компанией Ciscoзаблокирована криптографическая функция шифрования пользовательских данных. Остальнойфункционал, включая защиту удаленного управления и мониторинга (технологического канала)остается неизменным. В P/N такого программного обеспечения присутствуют соответственно символы«NPE» и «XU».В31. Я могу включить шифрование пользовательских данных в программном обеспеченииверсий «NPE» и «XU» путем активации какой либо специальной лицензии?О31. Нет. Дополнительно потребуется установка соответствующего программного обеспечения.© Cisco Systems, 2013 г. 6
  7. 7. Часто задаваемые вопросыВ32. Шифрование в маршрутизаторах и других продуктах и продуктах блокируется только впрограммном обеспечении версий «NPE» и «XU» или меняется и аппаратная платформа?О32. Аппаратная платформа не меняется.В33. Один западный вендор уверяет нас, что в его продукцию встроена российскаякриптография и для ее ввоза не требуется заключение ЦЛСЗ и лицензия Минпромторга России.Это так?О33. Для перемещения любого шифровального средства через таможенную границуобязательными документами являются зарегистрированная нотификация или заключение ЦЛСЗ (принеобходимости требуется также лицензия Минпромторга России). Как примечание: такие жедокументы требуются и для экспорта шифровальных средств из России, только экспортную лицензиювыдает ФСТЭК России www.fstec.ru.В34. Я узнал, что купленное мной оборудование было ввезено в обход законодательства олицензировании ввоза шифровальных средств. Чем мне это грозит как мне покупателю?О34. Покупка шифровальных средств в настоящее время не регламентируется. Законодательствоне обязывает покупателя на территории России проверять условия ввоза приобретаемых импродуктов.В35. Один западный вендор предлагает нам свою продукцию с функциями шифрования, нопри этом не может предоставить ни копию лицензии Минпромторга России, ни нотификации.Может ли такое быть?О35. Если при приобретении продукции с функцией шифрования покупатель не может получит упродавца информацию о зарегистрированной нотификации или копию лицензии Минпромторга России– существует вероятность, что данная продукция ввезена на территорию России с нарушениемзаконодательства.В36. Как определить, для каких лицензий требуется получение заключения ЦЛСЗ?О36. Лицензии, посредством которых могут изменяться криптографические характеристикипродуктов, не подходят под определение шифровальных средств, данных в Положении о ввозе. Темне менее, в настоящее время получение заключения ЦЛСЗ обязательно для лицензий, качественноизменяющих криптографические характеристики продуктов, например активирующие шифрованиепользовательских данных и поставляемые на электронных носителях (CD, DVD, flash и т.п.).Лицензии, поставляемые на бумажных носителях или скачиваемые через Интернет, относятся ккатегории C1. К категории С1 также относятся лицензии категории RTU (right-to-use) или изменяющиеколичественные криптографические характеристики.В37. Какие нормативные документы регламентируют скачивание программных продуктовчерез Интернет, является ли такое скачивание таможенной операцией?О37. В настоящее время нет нормативных документов, регламентирующих скачивание любыхвидов данных через Интернет. Информация, передаваемая по сети Интернет, в т.ч. программноеобеспечение и лицензии, не является товаром, а также при скачивании нет таможенной границы,ввоза и соответственно выпуска товара. Из Таможенного Кодекса Таможенного Союза (общиеположения):  Единую таможенную территорию Таможенного союза составляют территории Республики Беларусь, Республики Казахстан и Российской Федерации  ввоз товаров на таможенную территорию Таможенного союза – совершение действий, связанных с пересечением таможенной границы, в результате которых товары прибыли на таможенную территорию Таможенного союза любым способом, включая пересылку в международных почтовых отправлениях, использование трубопроводного транспорта и линий электропередачи, до их выпуска таможенными органами  выпуск товаров – действие таможенных органов, разрешающее заинтересованным лицам использовать товары в соответствии с условиями заявленной таможенной процедуры или в соответствии с условиями, установленными для отдельных категорий товаров, не подлежащих в соответствии с настоящим Кодексом помещению под таможенные процедуры  товар – любое движимое имущество, перемещаемое через таможенную границу, в том числе носители информации, валюта государств – членов Таможенного союза, ценные бумаги и© Cisco Systems, 2013 г. 7
  8. 8. Часто задаваемые вопросы (или) валютные ценности, дорожные чеки, электрическая и иные виды энергии, а также иные перемещаемые вещи, приравненные к недвижимому имуществу;В настоящее время не существует практики получение заключения ЦЛСЗ на ввоз продуктов, непроходящих через таможню, т.е. скачиваемых через Интернет.В38. Криптографическую функциональность многих телекоммуникационных продуктов,приобретенных на территории России, можно изменить путем установки иной версиипрограммного обеспечения или активации соответствующей лицензии. Как при этом ненарушить требования законодательства?О38. В действующем российском законодательстве действия по изменению криптографическиххарактеристик устройств, находящихся на территории России никак не определены. В настоящеевремя не существует регламентированной практики получение разрешения ЦЛСЗ на изменениекриптографических характеристик имеющегося оборудования. Тем не менее, мы рекомендуемпользователям, которые планируют использовать шифровальные средства, относящиеся к категорииС3, сразу заказывать криптографические продукты в требуемой конфигурации, а дополнительныепрограммное обеспечение и лицензии - на электронном носителе (CD, DVD и т.п.). Пользовательдолжен понимать, что у регулирующих и проверяющих органов могут быть вопросы к организации,которая никогда не приобретала криптографические продукты, ввезенные для нее по заключениюЦЛСЗ, но использует их в своей деятельности.В39. Обновление (upgrade) пользователем программного обеспечения на имеющемсяоборудовании – это техническое обслуживание или модернизация?О39. Исходя из определения того, что техническое обслуживание производится во времяэксплуатации обслуживающим персоналом в соответствии с документами производителя, амодернизация относится к стадии проектирование - производство жизненного цикла продукта иосуществляется самим производителем в соответствии с Техническим заданием, upgrade ПО – этотехническое обслуживание. Дополнительно:  ГОСТ 18322-78 «Система технического обслуживания и ремонта техники. Термины и определения: Техническое обслуживание - комплекс операций или операция по поддержанию работоспособности или исправности изделия при использовании по назначению, ожидании, хранении и транспортировании  Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденное Приказом ФСБ России №66 от 9 февраля 2005 г. уравнивает работы по созданию нового образца СКЗИ и модернизации действующего образца СКЗИ  ГОСТ Р 53736-2009 Изделия электронной техники. Порядок создания и постановки на производство. Основные положения: Модернизация – комплекс мероприятий направленных на усовершенствование продукта, приведение его в соответствие с новыми требованиями и нормами, техническими условиями, показателями качестваВ40. Какие документы регламентируют деятельность с шифровальными средствами натерриторию Российской Федерации?О40.  Постановление Правительства РФ от 16 апреля 2012 г. № 313 “Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)”  Приказ ФСБ РФ от 30 августа 2012 г. №440 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке, производству, распространению шифровальных (криптографических) средств,© Cisco Systems, 2013 г. 8
  9. 9. Часто задаваемые вопросы информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)"В41. Положение о лицензировании отличается от Положения о ввозе в части определенияшифровальных средств?О41. Нет. Определения шифровальных средств практически совпадают. Дополнительно вПоложении о лицензировании есть определения аппаратных, программных и программно-аппаратныхшифровальных (криптографических) средств.В42. Как отличаются лицензионные требованиями при осуществлении различных видовдеятельности?О42. Положение о лицензировании содержит перечень 28 видов выполняемых работ иоказываемых услуг, составляющих лицензируемую деятельность в отношении шифровальных(криптографических) средств. Эти работы и услуги можно разделить на три группы видовдеятельности, к которым предъявляются различные лицензионные требования. Эти требованияотносятся штатному персоналу соискателя лицензии:  требования к квалификации руководителя и одного инженерно-технического работника >100 часов обучения по направлению «Информационная безопасность» – передача шифровальных средств и защищенных с использованием шифровальных средств информационных и телекоммуникационных систем  требования к квалификации руководителя и одного инженерно-технического работника >500 часов обучения по направлению «Информационная безопасность» и стаж в области выполняемых работ > 3 лет – разработка защищенных с использованием шифровальных средств информационных и телекоммуникационных систем, их производство, монтаж и ремонт; производство (тиражирование) и техническое обслуживание шифровальных средств; предоставление услуг по шифрованию информации и защищенных шифровальными средствами каналов связи  требования к квалификации руководителя и двух инженерно-технических работников >1000 часов обучения по направлению «Информационная безопасность» и стаж в области выполняемых работ > 5 лет – разработка шифровальных средств, их модернизация и ремонтВ43. Как связаны между собой процедуры таможенного оформления шифровальныхсредств и лицензирование деятельности с шифровальными средствами на территорииРоссийской Федерации?О43. Никак. Это разные разделы законодательства. Несмотря на одинаковые названия, лицензииМинпромторга на ввоз шифровальных средств и лицензии ФСБ на деятельность с шифровальнымисредствами это совершенно разные документы. Классификация Cisco C1-C4 никак не связана сраспространением и использованием шифровальных средств.В44. Каковы требования для компании, которая осуществляет деятельность пораспространению или техническому обслуживанию шифровальных средств?О44. Компания, распространяющая или обеспечивающая техническое обслуживание такихшифровальных средств (но не для собственных нужд) должна иметь лицензию ФСБ России на данныйвид деятельности Отсутствие лицензии является административным и уголовным правонарушением,которое влечет за собой штраф или приостановку деятельности компании или лишение свободы длясотрудников.Не требуют наличия лицензии работы по обслуживанию шифровальных (криптографических) средств,предусмотренные технической и эксплуатационной документацией на эти средства, если указанныеработы проводятся для обеспечения собственных нужд юридического лица или индивидуальногопредпринимателя.© Cisco Systems, 2013 г. 9
  10. 10. Часто задаваемые вопросыВ45. Для распространения шифровальных средств ввезенных по зарегистрированнойнотификации продавец должен быть лицензиатом ФСБ России?О45. В Положении о лицензировании есть перечисление шифровальных средств, на деятельность скоторыми это Положение не распространяется. Данный перечень в большинстве пунктов совпадает сПеречнем НТФ. Тем не менее, есть варианты, при которых продавец должен иметь лицензию дляраспространения шифровальных средств ввезенных по нотификации Отличия в пунктах Положения олицензировании, определяющие такие варианты, выделены шрифтом:  шифровального (криптографического) оборудования, специально разработанного и ограниченного применением для банковских или финансовых операций в составе терминалов единичной продажи (банкоматов), POS-терминалов и терминалов оплаты различного вида услуг, криптографические возможности которых не могут быть изменены пользователями;  беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах);  шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к критически важным объектам;  товаров, у которых криптографическая функция гарантированно заблокирована производителем;В46. Маршрутизаторы серии 800 PCI, для которых имеются зарегистрированныенотификации (категория С2), имеют ограниченную криптографическую функциональность?О46. Нет, по своей криптографической функциональности маршрутизаторы серии 800 PCI неотличаются от аналогичных маршрутизаторов без символов PCI в P/N. Их применение должно бытьограничено банковскими или финансовыми операциями и ответственность за это несет пользователь.Факт ограничения применения желательно подтвердить нормативными документами компании –пользователя.В47. Под какие еще ограничения по ввозу могут попадать продукты Cisco?О47. В «Единый перечень товаров, к которым применяются запреты или ограничения на ввоз иливывоз государствами-членами таможенного союза в рамках ЕврАзЭС в торговле с третьими странамии Положения о применении ограничений» включены:  Радиоэлектронные средства и (или) высокочастотные устройства гражданского назначения, в том числе встроенные либо входящие в состав других товаров, ограниченные к ввозу на таможенную территорию Таможенного союза (раздел 2.16)  Специальные технические средства, предназначенные для негласного получения информации, ввоз которых на таможенную территорию Таможенного союза и вывоз с таможенной территории Таможенного союза ограничен (раздел 2.17)В48. Что делает Cisco для ввоза радиоэлектронных средств и высокочастотных устройств?О48. Cisco получает соответствующие разрешительные документы и предоставляет изпартнерам. Внутренняя классификация Cisco для радиоэлектронных устройств:  Rn1 – устройства, не являющиеся РЭС  Rn3 - РЭС, не требующие получения лицензии на ввоз  Rn4 - РЭС, не требующие получения лицензии на ввоз (при условии декларирования как абонентского оборудования)  Rn5 - РЭС, требующие получения лицензии на ввоз(есть сопутствующие документы для получения лицензии: частное решение ГКРЧ; протокол соответствия общее решение ГКРЧ; сертификат Минкомсвязи России)  Rn6 - РЭС, требующие получения лицензии на ввоз (сопутствующие документы для получения лицензии отсутствуют)Данные по радио классификации конкретных продуктов Cisco распространяет Никита Бардинnbardin@cisco.com в едином документе с информацией по классификации шифровальных продуктовCisco.© Cisco Systems, 2013 г. 10
  11. 11. Часто задаваемые вопросыДля классификации новых продуктов или получения дополнительной информации необходимообращаться к Алексею Белашу rus-cert@cisco.com и Андрею Харитонову akharito@cisco.com.В49. Cisco производит специальные технические средства, предназначенные для негласногополучения информации?О49. Нет. Cisco не производит специальные технические средства и в ответ на официальноеобращение готова предоставить гарантийное письмо о том, что вся продукция компании Cisco.,поставляемая на территорию Российской Федерации, не является специальными техническимисредствами, предназначенными для негласного получения информации и не попадает под действиеПостановления Правительства Российской Федерации от 10 марта 2000 года №214.В50. Где получить список авторизованных партнеров?О50. На официальном сайте нашей компании www.cisco.com/web/RU/index.html.В51. К кому обращаться за дополнительными вопросами?О51. Сергей Снежков, прямой: +7(499) 929-5282, мобильный: +7(985) 767-7539, ssnezhko@cisco.com www.cisco.ru© Cisco Systems, 2013 г. 11

×