информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяГде водятся OGRыSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / law
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Проблема свободного софта заключается в том, что, как правило не существует правильного юрлица-разработчика, который может инициировать сертификацию. 15.05.07 16:29  Число просмотров: 4087
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
если передаваемая инфа не конфендициальная - лицензирование не обязательно. Качество выполненных работ (предоставленных услуг) оговаривается в договорных документах и фиксируется актом выполненных работ.

Уточните в лицензии ОпенВПН все особенности использования.
Не запрещено ли коммерческое использование.
Возможно продавать сетевой или веб сервис, а опенВПН использовать как сетевой уровень передачи данных - взаимодействия.
<law>
OpenVPN как услуга , как продать OpenVPN? 15.05.07 16:15  
Автор: server_not_send_pass Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Здраствуйте, интересуюсь возможностью продавать OpenVPN доступ как услугу.

Например одна контора захочет продать доступ с использованием OpenVPN другой.

Вообще согласно законам и требованиям ФСТЭК и ФСБ:

1) На осуществление деятельности по шифрованию конфеденциальной информации нужна лицензия, так?

2) При этом необходимо использовать только сертифицированные средства шифрования, так?

Теперь собственно вопросы которые наверное помогут обойти эти ограничения

3) OpenVPN можно сертифицировать? (Тогда возможно будет получить лицензию)

4) Если обозвать услугу как то по-иному, можно ли будет придраться (Снимет ли это ограничения)?

5) Если контора которая покупает доступ к OpenVPN "согласится" передавать только открытую информацию, отменит ли это ограничения фстэка и фсб?

С уважением.
Чуть поподробнее, будте любезны. Что за хитрая "услуга", кому это может быть надо? 16.05.07 13:08  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Планируется предоставлять защищенный удаленный доступ другим... 17.05.07 12:17  
Автор: server_not_send_pass Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Планируется предоставлять защищенный удаленный доступ другим компаниям.

Это может быть надо для того чтобы удешевить доступ. Имеется ввиду, что компании не требуется поддержка рос криптоалгоритмов и т.п. а защищенный доступ иметь все же хочется
Уже лучше, но не до конца. Доступ куда? Если у меня два... 17.05.07 14:53  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Планируется предоставлять защищенный удаленный доступ
> другим компаниям.

Уже лучше, но не до конца. Доступ куда? Если у меня два офиса связаны через ВПН, то зачем я у кого-то такую услугу еще покупать должен? Может это для тех, у кого админы сами не могут настроить? Если я из дома через инет по защищеному каналу (ВПН, короче) админю что-то на работе, то какое может к этому иметь отношение какой-либо продавец услуг?

> Это может быть надо для того чтобы удешевить доступ.
> Имеется ввиду, что компании не требуется поддержка рос
> криптоалгоритмов и т.п. а защищенный доступ иметь все же
> хочется

Софт что-ли? Оно и так бесплатно. Нет, есть, конечно и платный, но это для желающих потратится.
А по поводу рос. криптоалгоритмов все просто: ни один ГУП не имеет право использовать несертифицированные алгоритмы (как всякие там ОпенВПН). Негосударственные организации могут пользоваться чем угодно.
Короче все равно непонятно что за услуга/софт продаваться будет.
Хорошо опишу поподробнее: Допустим имеется некий центр... 21.05.07 15:07  
Автор: server_not_send_pass Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Уже лучше, но не до конца. Доступ куда? Если у меня два
> офиса связаны через ВПН, то зачем я у кого-то такую услугу
> еще покупать должен? Может это для тех, у кого админы сами
> не могут настроить? Если я из дома через инет по защищеному
> каналу (ВПН, короче) админю что-то на работе, то какое
> может к этому иметь отношение какой-либо продавец услуг?

Хорошо опишу поподробнее: Допустим имеется некий центр обработки данных, которым пользуются некие компании (грубо говоря колокейшн - они арендуют сервера) Компании к примеру распределены территориально и доступ на свои сервера они получают через интернет. Услуга заключается в том чтобы предоставить компаниям арендующим или размещающим сервера на нашей площадке (опять же напоминаю, что компании решили отдать на аутсорс вопрос о защищенном доступе к своему серверу в силу доверия, удобства или не хватки квалификации у персонала - не суть важно) защищенный доступ (ВПН).

> Софт что-ли? Оно и так бесплатно. Нет, есть, конечно и
> платный, но это для желающих потратится.
> А по поводу рос. криптоалгоритмов все просто: ни один ГУП
> не имеет право использовать несертифицированные алгоритмы
> (как всякие там ОпенВПН). Негосударственные организации
> могут пользоваться чем угодно.
> Короче все равно непонятно что за услуга/софт продаваться
> будет.

Для ГУПов понятно все. Целью вопроса было получение консультации о том как обстоят дела с комерческими организациями.

Как вы пишете: Негосударственные организации могут пользоваться чем угодно. То есть если будет к примеру заключен договор о предоставлении защищенного доступа с некой компании, товарищам из ФСБ будет все равно, что некая организация будет осуществлят деятельность по защите информации?

С уважением.
Продавать - это жестоко. Если кто-то у кого-то хранит... 21.05.07 19:11  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 21.05.07 19:12  Количество правок: 2
<"чистая" ссылка>
> Хорошо опишу поподробнее: Допустим имеется некий центр
> обработки данных, которым пользуются некие компании (грубо
> говоря колокейшн - они арендуют сервера) Компании к примеру
> распределены территориально и доступ на свои сервера они
> получают через интернет. Услуга заключается в том чтобы
> предоставить компаниям арендующим или размещающим сервера
> на нашей площадке (опять же напоминаю, что компании решили
> отдать на аутсорс вопрос о защищенном доступе к своему
> серверу в силу доверия, удобства или не хватки квалификации
> у персонала - не суть важно) защищенный доступ (ВПН).

Продавать - это жестоко. Если кто-то у кого-то хранит информацию, то доступ должен быть в большинстве случаев ограничен. Парольные системы не столь надежны, хотя очень удобны, но они и не защищают данные по пути от хранилища до потребителя. Предоставления защищеного канала - это как само собой разумеется. Никто же не берет дополнительные деньги за парольный доступ к почтовику. Многие пользуются https, за это тоже не беруться дополнительные деньги.

> Как вы пишете: Негосударственные организации могут
> пользоваться чем угодно. То есть если будет к примеру
> заключен договор о предоставлении защищенного доступа с
> некой компании, товарищам из ФСБ будет все равно, что некая

Насколько я помню, лицензированию подлежит деятельность по разработке, производству и распространению шифровальных средств. На использование средств по шифрованию информации не содержащей государственную тайну лицензии пока не требуется. К тому же средства могут быть не сертифицированы. Мало ли народу пользуется протоколом https? Ни кого за это пока не привлекали.

> организация будет осуществлят деятельность по защите
> информации?

Какую? Деятельность здесь - храниение информации и предоставление удаленного доступа. Короче предоставление в аренду накопителей и обеспечение связи.
Ничего не слышал про привлечение к ответственности за передачу зашифрованных рар-архивов, даже если за это брались деньги, если не был нарушен закон о предпринимательской деятельности. А в рар'е хороший алгоритм сидит.

> С уважением.
Проблема свободного софта заключается в том, что, как правило не существует правильного юрлица-разработчика, который может инициировать сертификацию. 15.05.07 16:29  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
если передаваемая инфа не конфендициальная - лицензирование не обязательно. Качество выполненных работ (предоставленных услуг) оговаривается в договорных документах и фиксируется актом выполненных работ.

Уточните в лицензии ОпенВПН все особенности использования.
Не запрещено ли коммерческое использование.
Возможно продавать сетевой или веб сервис, а опенВПН использовать как сетевой уровень передачи данных - взаимодействия.
Благодарю за ответ. 16.05.07 11:12  
Автор: server_not_send_pass Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> если передаваемая инфа не конфендициальная - лицензирование
> не обязательно. Качество выполненных работ (предоставленных
> услуг) оговаривается в договорных документах и фиксируется
> актом выполненных работ.
>
> Уточните в лицензии ОпенВПН все особенности использования.
> Не запрещено ли коммерческое использование.
> Возможно продавать сетевой или веб сервис, а опенВПН
> использовать как сетевой уровень передачи данных -
> взаимодействия.

Благодарю за ответ.

Конфиденциальность информации (гриф) в данном случае определяет собственник информации (то есть потребитель услуги доступа по OpenVPN)?
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach