Шифровальные криптографические средства это что

Содержание
  1. Категории шифровальных средств и их особенности
  2. Содержание
  3. Список товаров, относящихся к ШКС
  4. Процедура импорта (экспорта) ШКС
  5. 12 категорий ШКС
  6. Категория №1
  7. Категория №2
  8. Категория №3
  9. Категория №4
  10. Категория №5
  11. Категория №6
  12. Категория №7
  13. Категория №8
  14. Категория №9
  15. Категория №10
  16. Категория №11
  17. Категория №12
  18. Наиболее распространенные категории ШКС
  19. Шифровальные (криптографические) средства
  20. Какие товары являются ШКС?
  21. Разрешительные документы для ввоза/вывоза ШКС
  22. Нотификация
  23. Заключение
  24. Лицензия
  25. Описание ввоза (вывоза) шифровальных (криптографических) средств
  26. Что считается шифровальных (криптографическим) средством?
  27. Какие документы могут потребоваться?
  28. Что делать если отсутствует шифрование но документ требуют?
  29. Алгоритм ввоза/вывоза шифровальных средств
  30. 8 типов шифровальных средств, существующих в России!
  31. Ввоз средств шифрования в Россию: разоблачая мифы
  32. А причем тут вообще шифровальные средства?
  33. Если в продукте шифровальный функционал не является основным или его не предполагается использовать в качестве шифровального средства, он будет считается шифровальным средством или нет?
  34. Единая ли процедура ввоза для разных средств шифровальных средств?
  35. Что ввозится по упрощенной схеме?
  36. Что ввозится по “сложной” схеме?
  37. А других вариантов нет?
  38. Кто должен заниматься оформлением документов на ввоз средств шифрования?
  39. Что грозит за нарушение правил ввоза средств шифрования?
  40. А разве конечный пользователь не участвует в процессе оформления своего заказа?
  41. А вот другой вендор уверяет, что у него нет проблем с ввозом. Такое может быть?
  42. А если я ввез оборудование без шифрования, а потом обновил его через Интернет и получилось средство шифрования?
  43. Кто регламентирует вопросы ввоза и вывоза шифровальных средств?
  44. Какими документами регулируется ввоз шифровальных средств на территорию Российской Федерации?

Категории шифровальных средств и их особенности

Оформление разрешительных документов для ввоза и вывоза ШКС:

Данное определение весьма абстрактно, в связи с чем отнесение или неотнесение конкретного товара к ШКС может вызывать существенные затруднения.

Содержание

Список товаров, относящихся к ШКС

В Положении о ввозе (вывозе) ШКС приведен список функций (компонентов), которые должен содержать товар, чтобы он мог считаться ШКС [2] :

Однако, на практике нередко возникает ситуация, что таможенные органы, руководствуясь перечнем из раздела 2.19 [3] (и даже только кодом ТН ВЭД из перечня), могут решить, что ввозимый продукт является шифровальным средством (и неважно, есть ли там шифрование на самом деле или нет). В этом случае импортеру придется получать разрешительные документы или доказывать таможне, что в товаре отсутствует шифрование.

Процедура импорта (экспорта) ШКС

В зависимости от таможенной процедуры для ввоза (вывоза) ШКС необходимо оформить различные виды документов:

12 категорий ШКС

На практике подавляющее большинство товаров с функцией шифрования ввозятся на основании нотификации.

Нотификация может зарегистрирована только на товары, относящиеся к одной или нескольким из 12 категорий шифровальных средств, технические и криптографические характеристики которых подлежат нотификации. Данный перечень приведен в Положении о нотификации.

Ниже каждая из категорий рассмотрена подробнее.

Категория №1

ШКС данной категории выполняются различные криптографические функции, но определяющим фактором отнесения к данной категории является длина криптографического ключа. Указанные длины ключей существенно меньше рекомендованных минимальных значений для соответствующих групп алгоритмов. Использование таких коротких криптографических ключей делает возможным на современном оборудовании вскрытие зашифрованных сообщений методом полного перебора.

Симметричное шифрование в основном используется для обеспечения конфиденциальности данных, и основано на том, что отправитель и получатель информации используют один и тот же ключ как для зашифровки сообщений, так и для их расшифровки. Этот ключ должен храниться в тайне и передаваться способом, исключающим его перехват. Примеры симметричных алгоритмов шифрования: RC4, DES, AES.

Из перечисленных алгоритмов только DES (считающийся устаревшим) безусловно попадает в категорию 1; также алгоритм RC4 иногда может использоваться с короткими ключами (например, в протоколе WEP технологии связи Wi-Fi: длина ключа 40 или 128 бит).

Указанные методы относятся к математической базе функционирования асимметричных алгоритмов:

Примеры нотифицируемых ШКС: теоретически любой товар может использовать устаревшие алгоритмы, либо короткие ключи в современных алгоритмах. На практике, однако, это имеет мало смысла, т.к. не обеспечивает достаточный уровень защиты. Одним из реальных примеров может быть Wi-Fi в режиме WEP с ключом длины 40 бит.

Категория №2

Проверка подлинности пользователя в рамках данной категории предусматривает сравнение введённого им пароля или других аналогичных идентифицирующих данных с информацией, сохранённой в базе данных авторизованных пользователей, а сам процесс шифрования заключается в защите секретных данных пользователя от копирования и незаконного использования при их передаче от объекта аутентификации (пользователя) контролирующему устройству.

Примеры нотифицируемых ШКС: устройства систем контроля и управления доступом – считыватели паролей, устройства для хранения и формирования баз данных авторизованных пользователей, сетевые устройства аутентификации – шлюзы, роутеры, маршрутизаторы и т.д., устройства с защитой информации, хранящихся на них – жесткие диски с функцией парольного ограничения доступа.

Процесс подписи реализуется путем криптографического преобразования информации с использованием закрытого ключа подписи и позволяет проверить отсутствие искажения информации в электронном документе с момента формирования подписи (целостность), принадлежность подписи владельцу сертификата ключа подписи (авторство), а в случае успешной проверки подтвердить факт подписания электронного документа (неотказуемость).

Примеры нотифицируемых ШКС: генераторы ЭЦП, программное обеспечение для сопровождения и реализации механизма применения ЭЦП, устройства хранения ключевой информации ЭЦП.

Категория №3

Операционная система это комплекс взаимосвязанных программ, предназначенных для управления ресурсами компьютера и организации взаимодействия с пользователем.

Примеры нотифицируемых ШКС: операционные системы и программные комплексы на их основе.

Категория №4

Смарт-карты это пластиковые карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат микропроцессор и операционную систему, управляющую устройством и контролирующую доступ к объектам в его памяти.

Примеры нотифицируемых ШКС: SIM-карты доступа к услугам мобильных операторов, банковские карты, оснащенные чипом-микропроцессором, интеллектуальные карты идентификации ее владельца.

Категория №5

Данная категория относится к товарам, предназначенных для предоставления пользователю доступа к платным кодированным цифровым спутниковым, эфирным и кабельным телеканалам и радиостанциям (радиоканалам) (примеры стандартов: DVB-CPCM, DVB-CSA).

Примеры нотифицируемых ШКС: TV-тюнеры, приемники телесигналов, спутниковые телеприемники.

Категория №6

Примеры нотифицируемых ШКС: Игровые консоли, процессоры, игры, программное обеспечение и т.п.

Категория №7

Товары данной категории должны являться аппаратным устройством, т.е. иметь законченный вид банковского оборудования, применение которого не предполагает дополнительной сборки или доработки за исключением целей модернизации.

Примеры нотифицируемых ШКС: Банкоматы, платежные терминалы, пин-пады (банковские карты относят к категории №4).

Категория №8

В данную категорию отнесены все устройства мобильной сотовой связи, работающие в стандартах GSM, GPRS, EDGE, UMTS, LTE, а также некоторые радиостанции. Главным требованием, предъявляемым к товарам данной категории в области выполняемого функционала – отсутствие способности к сквозному шифрованию, т.е. связь между абонентами должна осуществляться через устройство ретрансляции.

Примеры нотифицируемых ШКС: Мобильные устройства связи и устройства, имеющие в своем составе модули сотовой связи вышеуказанных стандартов, радиостанции.

Категория №9

Сюда относится большинство устройств, которые иначе можно назвать как «радиоэлектронные средства малого радиуса действия». Шифрование происходит при передаче/приеме информации по беспроводному радиоканалу в целях ее защиты от перехвата, проникновения несанкционированных пользователей в сеть связи. Как известно, такую защиту поддерживает большинство беспроводных стандартов передачи данных: Wi-Fi, Bluetooth, NFC, иногда RFID.

Примеры нотифицируемых ШКС: роутеры, точки доступа, модемы, устройства, содержащие в своем составе модули беспроводной радиосвязи ближнего радиуса действия, бесконтактные карты доступа/оплаты/идентификации.

Категория №10

Данная категория описывает товары, которые являются сетевыми устройствами, выполняющие коммутационные и сервисные функции. Как правило большинство данных устройств поддерживают простые сетевые протоколы управления, позволяющие производить мониторинг состояния сети, ее производительность, а также направлять команды администратора сети в ее разные узлы.

Примеры нотифицируемых ШКС: Серверы, коммутаторы, сетевые платформы, шлюзы.

Категория №11

Данная категория может быть представлена абсолютно разными типами устройств разных назначений и области применения. Решающим фактором отнесения таких товаров к категории №11 является наличие предустановленного программного или аппаратного обеспечения, которое производит целенаправленную блокировку выполняемых товаром криптографических функций.

Категория №12

Товары данной категории можно объединить под общим словом «прочие».

Наиболее распространенные категории ШКС

Например, код 110000000110 говорит о том, что товар нотифицировался по категориям №№ 1, 2, 10 и 11.

Интересно посмотреть на статистику использования различных категорий.

312px %D0%A0%D0%B0%D1%81%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5 %D0%A8%D0%9A%D0%A1 %D0%BF%D0%BE %D0%BA%D0%B0%D1%82%D0%B5%D0%B3%D0%BE%D1%80%D0%B8%D1%8F%D0%BC

Как видно из диаграммы, наиболее распространёнными и часто встречающимися криптографическими функциями в ШКС является шифрование данных в беспроводном радиоканале малого радиуса действия (Wi-Fi, Bluetooth) – 27% от общего числа зарегистрированных ШКС, что логично, учитывая объем производимых мобильных средств связи, персональных компьютеров и других технических устройств, оснащенных модулями, поддерживающими данные технологии связи.

Второе место занимают ШКС, поддерживающие функции аутентификации и осуществления контроля доступа к защищенной информации – 19,5%. Данная тенденция также легко объясняется повышенными стандартами и запросами потребителей к защите персональной информации как на физических носителях (жесткие диски, USB-флеш накопители, серверы и т.п.), так и на сетевых (облачные хранилища, сетевые банки данных и т.п.). Дополнительно стоит отметить, что подавляющее большинство ШКС, используемые в системах контроля и управления доступом (более известные как СКУД) также выполняют криптографический функционал, относящийся к категории № 2.

Поскольку работа в сети является неотъемлемой частью функционирования любой информационной системы, то аспекты администрирования данной сетью связи реализованы в сетевых устройствах управления. Безопасность же организуемого данными устройствами интерфейса управления реализована посредством применения механизмов шифрования технологических каналов связи, что является основание для категорирования такого рода ШКС по категории №10, являющейся третьей по распространенности – 16%.

Важно также отметить, что наименее распространенные функции ШКС распределяются по категориям №5 (0,28%), №12 (0,29%) и №7 (0,62%). Товары реализующие данные криптографические функции являются редкими и при проведении регистрации в ЦЛСЗ документация на них подвергается более детальному анализу, т.к. «не поставлена на поток» и наборы используемых криптографических протоколов и алгоритмов могут быть уникальны в каждом отдельном случае. Именно поэтому товарам данных категорий необходимо уделить максимальное внимание при составлении необходимых документов, поскольку в противном случае риск отказа в регистрации нотификации крайне велик.

Источник

Шифровальные (криптографические) средства

Шифровальные (криптографические) средства (ШКС) — это товары, включенные в раздел 2.19 Приложения 2 к Решению Коллегии ЕЭК от 21.04.2015 № 30 и предназначенные для шифрования различной информации, либо имеющие функцию шифрования как неосновную.

В данном определении «шифрование» понимается в широком смысле и включает в себя в числе прочего функции защиты данных, каналов связи, паролей, функции электронно-цифровой подписи, подтверждения и проверки подлинности, а также криптоанализа («взлома» криптографической защиты).

К ШКС могут относиться аппаратные средства, программное обеспечение, а также техническая документация.

В сфере внешнеторговой деятельности и разрешительной документации термины «шифрование» и «криптография», как правило, означают одно и то же и используются взаимозаменяемо.

Какие товары являются ШКС?

Большинство современных электронных устройств, работающих с информацией, содержат в том или ином виде функционал для защиты данных, включая шифрование. Существует ряд признаков, свидетельствующих о том, что электронный прибор поддерживает шифрование:

Исключениями, с другой стороны, могут быть достаточно простые устройства: USB накопители («флешки»), мониторы, проводные клавиатуры и мыши и т.д. Тем не менее, существуют и флешки с защитой данных, и «умные» мониторы с функцией шифрования, поэтому в каждом конкретном случае следует внимательно изучать техническую документацию на товар или обращаться к экспертам.

Разрешительные документы для ввоза/вывоза ШКС

Нотификация

Нотификация является наиболее распространенным документом, который оформляется при ввозе/вывозе товаров, содержащих функции шифрования. Нотификация подается заявителем в согласующий орган (в России это ФСБ), регистрируется им, и позволяет любым участникам ВЭД (а также физическим лицам) ввозить товары в любом количестве и для любых целей.

Нотификация может быть оформлена только на товары, входящие в Перечень, который включает в себя, в основном, распространенные бытовые товары или товары с «несложным» шифрованием.

Заключение

Заключение (разрешительный документ) оформляется в случае временного ввоза (вывоза) шифровальных средств, либо их ввоза (вывоза) для собственных нужд без цели перепродажи или передачи третьим лицам. Заключение может быть оформлено на любые ШКС.

Лицензия

Если оборудование осуществляет сложное («мощное») шифрование данных, для его ввоза (вывоза) необходима Лицензия Минпромторга России на ввоз (вывоз) шифровальных средств.

Физические лица могут ввозить и вывозить многие товары для личного пользования без оформления нотификации и иных разрешительных документов.

Перечень таких товаров имеется в Решении ЕЭК № 30 от 21.04.2015.

Источник

Описание ввоза (вывоза) шифровальных (криптографических) средств

Что считается шифровальных (криптографическим) средством?

Ввоз и вывоз оборудования имеющего в себе функции (элементы) шифрования ограничен Решением Коллегии Евразийской экономической комиссии от 21.04.2015 N 30 «О мерах нетарифного регулирования». В частности, в пункте 2.19 отражены все общие наименования и коды ТН ВЭД продукции которая ограниченной ко ввозу и вывозу. Описание оборудования которое считается шифровальным (криптографическим) средством (средством криптографической защиты информации) можно найти в Постановлении Правительства от 16.04.2012 № 313. Стандартом обозначения данных устройств является аббревиатура СКЗИ (средством криптографической защиты информации).

а) средства шифрования — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства, реализующие алгоритмы криптографического преобразования информации для ограничения доступа к ней, в том числе при ее хранении, обработке и передаче;

б) средства имитозащиты — аппаратные, программные и программно-аппаратные шифровальные (криптографические) средства (за исключением средств шифрования), реализующие алгоритмы криптографического преобразования информации для ее защиты от навязывания ложной информации, в том числе защиты от модифицирования, для обеспечения ее достоверности и некорректируемости, а также обеспечения возможности выявления изменений, имитации, фальсификации или модифицирования информации;

в) средства электронной подписи;

г) средства кодирования — средства шифрования, в которых часть криптографических преобразований информации осуществляется с использованием ручных операций или с использованием автоматизированных средств, предназначенных для выполнения таких операций;

д) средства изготовления ключевых документов — аппаратные, программные, программно-аппаратные шифровальные (криптографические) средства, обеспечивающие возможность изготовления ключевых документов для шифровальных (криптографических) средств, не входящие в состав этих шифровальных (криптографических) средств;

е) ключевые документы — электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

ж) аппаратные шифровальные (криптографические) средства — устройства и их компоненты, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации без использования программ для электронных вычислительных машин;

з) программные шифровальные (криптографические) средства — программы для электронных вычислительных машин и их части, в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации в программно-аппаратных шифровальных (криптографических) средствах, информационных системах и телекоммуникационных системах, защищенных с использованием шифровальных (криптографических) средств;

и) программно-аппаратные шифровальные (криптографические) средства — устройства и их компоненты (за исключением информационных систем и телекоммуникационных систем), в том числе содержащие ключевую информацию, обеспечивающие возможность преобразования информации в соответствии с алгоритмами криптографического преобразования информации с использованием программ для электронных вычислительных машин, предназначенных для осуществления этих преобразований информации или их части.

encryption e1385852484392

Какие документы могут потребоваться?

В зависимости от таможенной процедуры на шифровальные (криптографические) средства необходимо оформить различные виды документов:

Ввоз для физических лиц для личных нужд в данной статье не рассматривается.

Подробнее о ввозе/вывозе по лицензии

На территории РФ уполномоченным органом по лицензиям на ввоз и вывоз в данной категории товара является Минпромторг. Лицензия требуется на сложную продукцию отраженную в пункте 2.19 не попавшую под упрощение процедуры ввоза/вывоза нотификацией.

Подробнее Вы можете ознакомиться с документами в соответствующих разделах:

Подробнее о ввозе/вывозе по нотификации

Основная сложность, если изготовитель иностранный, заключается в том что для получения документа потребуется легализованная доверенность от изготовителя с заверением полномочий подписанта.

Подробнее о документе Вы можете узнать в соответствующем разделе:

Подробнее о ввозе/вывозе по заключению ФСБ

Рекомендации по заполнению можно найти в Решении Коллегии Евразийской Экономической Комиссии от 16 мая 2012 г. №45.

Подробнее документе в разделе:

Что делать если отсутствует шифрование но документ требуют?

Часто встречаются ситуации когда шифрование (криптография) в товаре отсутствует, но в связи с тем что код ЕТН ВЭД соответствует пункту 2.16 Решения Коллегии Евразийской экономической комиссии от 21.04.2015 N 30 «О мерах нетарифного регулирования». В этом случае таможенные органы имеют право запросить подтверждение отсутствия шифрования. В этом случае, для начала, мы рекомендуем удостовериться в отсутствие шифрования, если изготовитель иностранный запросить данное подтверждение. В практике присутствуют разночтения с иностранными изготовителя понятия шифрования, наличие технологии беспроводной передачи данных Wi-Fi или Bluetooth уже подразумевает наличие шифрования в устройстве.

Алгоритм ввоза/вывоза шифровальных средств

Для определения наличия ограничений стоит обратиться к 30 решению Коллегии Евразийской экономической комиссии от 21.04.2015 N 30 «О мерах нетарифного регулирования». Для начала найти в пункте 2.19 соответствие имеющейся продукцией. Следующим этапом ознакомиться с перечнем категорий товаров, являющихся шифровальными (криптографическими) средствами или содержащих в своем составе шифровальные (криптографические) средства, технические и криптографические характеристики которых подлежат нотификации (также утвержденным 30 решением) и попробовать определить соответствие уже с этим перечнем (что даст возможность идти по «упрощенном пути» ввоза/вывоза).

Источник

8 типов шифровальных средств, существующих в России!

Продолжу тему ликбеза по криптографии с точки зрения нормативного регулирования. Почти 4 года назад в рамках написания книги «Мифы и заблуждения информационной безопасности» я опубликовал миф №50 «В нашем шифраторе мы используем ГОСТ 28147-89 и поэтому чисты перед законом». Но до сих пор бытует мнение, что если взять и реализовать ГОСТ, то это решит все проблемы с легальностью применения шифровального средства. Ни фига! Важно учитывать, кто и где реализует этот ГОСТ по криптографии.

Вот почему, как вы думаете, западные разработчики средств защиты еще не сделали встроенную поддержку ГОСТа в своих продуктах? Это что сложно? Нет. Это требует офигенной квалификации? Нет. Алгоритм засекречен? Нет. Тогда почему? А зачем?! Что даст такая реализация? Она облегчит ввоз продукта? Нет! Она облегчит сертификацию? Нет. Она облегчит применение? Нет. Ведь ни в одном нормативном документе не сказано, что шифровальное средство должно реализовывать ГОСТ 28147-89. Говорится о сертифицированных и несертифицированных СКЗИ. А почему включение ГОСТа не облегчит сертификацию? А потому, что в соответствие с российским законодательством заниматься разработкой шифровальных средств у нас может только российская компания на территории Россиийской Федерации.

Чтобы разобраться в этих хитросплетениях я и начертил вот такой куб. Он позволяет быстро понять, что в России явно разрешено и хорошо описано только применение сертифированной криптографии на ГОСТе (а иначе ее не сертифицируют), разработанной российской компанией (а иначе ей не разрешат разрабатывать СКЗИ и в итоге его не сертифицируют).

cryptocube

Мне кажется давно пора признать, что регулятор в области шифрования (даже при Президенте с его прошлым) не справляется и уже не справится с сертификацией такого количества устройств и приложений, использующих шифрование. Давно пора четко разделить всю криптографию на гражданскую и стратегически важную для национальной безопасности и регулировать именно последнюю, как и делается во всем мире. Если уж так хочется держать руку на пульсе, то контролировать можно на уровне выдачи разрешений на ввоз (как изначально и задумывалось). И эти однократно выдаваемые разрешения надо приравнять к разрешению на применение и вывести из под лицензирования деятельности по ПП-313. И тогда уже сложившаяся практика примет юридически значимые очертания. И все наконец-то скажут, что регулятор действительно действует на принципах законности, уважения и соблюдения прав и свобод человека и гражданина, как это и записано в ст.5 ФЗ-40 от 3 апреля 1995 года «О федеральной службе безопасности»

ЗЫ. А еще мы на прошлой неделе замутили ролик про то, что современному миру не хватает современной криптографии 😉

Источник

Ввоз средств шифрования в Россию: разоблачая мифы

Помните недавнюю историю с иском к россиянину, заказавшему в зарубежном Интернет-магазине новый смартфон Motorola? Тогда было немало заметок на эту тему и почти все они могли бы быть сформулированы коротко: “Российские власти закручивают гайки и обычному россиянину уже даже через Интернет нельзя заказать ничего нужного — везде фискалы и правоохранительные органы вставляют палки в колеса”. Надо заметить, что такие высказывания типичны для почти любого человека, который столкнувшись с нестандартной для себя ситуацией, в которой происходит якобы ущемление прав, начинает, не разобравшись, винить во всем всех кроме себя. С ввозом смартфона ситуация была как раз из этой области. Однако случай этот был далеко не первый. Еще несколько лет назад один из россиян, купив на eBay маршрутизатор Cisco, столкнулся с аналогичной ситуацией на российской таможне. А до и после было и еще несколько аналогичных случаев. Попробуем разобраться.

Дело в том, что в России, а точнее на территории Таможенного Союза, в который входят Россия, Беларусь и Казахстан, уже несколько лет действуют правила ввоза криптографических средств, под которые попадают многие гаджеты и иные предметы, о которых мы даже не задумываемся, что они подпадают под понятие средств щифрования. До сих пор в отношении этой темы больше слухов и мифов, чем достоверной информации. Основным заблуждением является две позиции и их производные “В Россию нельзя ввозить средства шифрования Cisco” и “Я могу заказать в зарубежном Интернет-магазине или аукционе все, что угодно, и без проблем получить это в России”. Это неверно и в данной статье нам бы хотелось ответить на самые распространенные вопросы в отношении импорта ИТ-продукции, и в частности, средств шифрования.

А причем тут вообще шифровальные средства?

Документы, регламентирующие вопросы ввоза-вывоза шифровальных средств, определяют, что средства шифрования – это “аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении”. С одной стороны это очень емкое, а с другой – совсем неконкретное определение, которое может трактоваться по разному в разных ситуациях. Кодирование – это шифрование? А электронная подпись? А криптографическая аутентификация?

На самом деле с точки зрения таможенных органов контролю подлежат не только средства шифрования определенные абзацем выше, но также:

Список получается достаточно большой, но для целей ввоза не так уж и важно само определение. Важнее то, что именно контролируется таможней. В Перечне 2.19 нет отдельно определенной группы шифровальных средств и соответствующих им кодов так называемой единой Товарной номенклатуры внешнеэкономической деятельности (ЕТН ВЭД). В Перечне 2.19 указаны наименования товаров и их коды ЕТН ВЭД, по принадлежности к которым, таможенные органы могут определить ввозимый продукт как шифровальный (и не важно, есть ли там шифрование на самом деле или нет). Применительно к продукции компании Cisco выдержка из Перечня 2.19 выглядит, например, следующим образом:

image loader

Не стоит сильно вникать в то, что написано в таблице 🙂 Гораздо важнее понимать, что таможенные органы контролируют все, что так или иначе мы используем в своей обычной жизни или в служебных целях — компьютеры, смартфоны, лэптопы, GPS-приемники, маршрутизаторы, точки беспроводного доступа, программное обеспечение, телевизоры и телевизионные приставки и т.п. Именно поэтому смартфон Motorola в нашумевшем недавно случае попал “под раздачу” — он считается шифровальным средством с точки зрения таможни. Хотя надо признать, что он таковым считается и не только с точки зрения таможни, но и здравый смысл подсказывает нам, что в любом современном смартфоне шифрование есть. Оно есть в чипе, реализующем любой стандарт мобильной связи (например, A5 в GSM). Оно есть в операционной системе Android или iOS или Blackberry. Оно есть в бразуере Safari или ином мобильном варианте распространенных браузеров. Оно есть в почтовом клиенте на смартфоне. Оно есть… Да мало ли приложений или микросхем на смартфоне, где есть шифрование. Если посмотреть на многие другие приведенные в таблице устройства, то мы поймем, что шифрование там действительно есть. Как минимум, для защиты информации на самом устройстве, для хранения ключей или аутентификационной информации, или для защищенного управления (SSH — это тоже шифрование).

Если в продукте шифровальный функционал не является основным или его не предполагается использовать в качестве шифровального средства, он будет считается шифровальным средством или нет?

Иными словами получается, что почти любой ИТ-товар, пересекающий границу Российской Федерации, становится предметом таможенного регулирования и на него распространяются все правила ввоза шифровальных средств. И совершенно неважно, кто является заказчиком такого средства — физическое или юридическое лицо.

Единая ли процедура ввоза для разных средств шифровальных средств?

Все шифровальные средства (читай почти любые ИТ-продукты) по процедуре ввоза разделены на две группы:

Что ввозится по упрощенной схеме?

Идеально, если продукт попадает под “упрощенку”. В этом случае его ввоз ничем не отличается от ввоза любой иной, неограниченной никакими запретами продукции. На сегодняшний день в этот список попадают:

Что ввозится по “сложной” схеме?

Если на пересекающий границу товар отсутствует нотификация, то ввозится он по “сложной” схеме. Даже если формально он мог бы быть оформлен по упрощенному варианту. Такая ситуация часто возникает для совсем новых продуктов, на которые производитель еще не успел (или и вовсе не планирует) оформить нотификацию.

А других вариантов нет?

В Положении указан ряд исключений, когда шифровальное средство может быть ввезено без нотификации, но и без лицензии Минпромторга. Это происходит в следующих случаях:

Правда, в этом случае все равно необходимо получение соответствующего заключения ЦЛСЗ.

Кто должен заниматься оформлением документов на ввоз средств шифрования?

В случае с ввозом по нотификации, ее оформлением занимается производитель ввозимой продукции. Например, Cisco заполняет нотификации на свою продукцию в двух экземплярах, после чего соответствующая информация попадает в Перечень НТФ, а Cisco передает сами нотификации для регистрации в ЦЛСЗ. После регистрации один экземпляр нотификации возвращается в Cisco. ЦЛСЗ также направляет информацию о зарегистрированной нотификации в ЕЭК для опубликования на сайте www.tsouz.ru/db/entr/notif/Pages/default.aspx (кстати, вы можете и сами проверить законность ввоза используемой вами продукции). В среднем, процедура регистрации нотификации занимает не менее 2-3 недель. Ввоз шифровальных средств, попадающих в Перечень НТФ, осуществляется на основании информации о зарегистрированной нотификации без оформления иных разрешительных документов.

В случае с ввозом по “сложной” схеме все работы с уполномоченными государственными органами (ЦЛСЗ и Минпромторг) осуществляет импортер (а не потребитель). Процедура получения лицензии и вся необходимая информация подробно представлена на сайте Минпромторга — www.minpromtorg.gov.ru/services/permission/export-import. При этом Положение о ввозе не делает различия между юридическими или физическими лицами, но на практике обычный гражданин врядли будет в состоянии пройти все процедуры общения с регулирующими органами.

Общий срок получения лицензии Минпромторга с учетом проведения экспертизы и получения заключения ЦЛСЗ не должен превышать 90 дней со дня регистрации обращения импортера в ЦЛСЗ. Сложившаяся практика показывает, что при условии правильно подготовленных документов, получение разрешительных документов занимает около 7 — 9 недель (ЦЛСЗ – от 4 до 6 недель, Минпромторг – не более 3 недель). При этом заказывать продукцию можно сразу после получения заключения ЦЛСЗ. Процедуру получения лицензии Минпромторга можно совместить с процессом изготовления и транспортировки продукции в Россию.

В вышеприведенном случае с ввозом смартфона он должен был попасть под упрощенную схему; но только после того, как российское юридическое лицо, представляющее интересы Motorola, зарегистрировало бы нотификацию на данный смартфон. Так как модель эта было новая и в Россию на момент заказа не поставлялась, то к смартфону была применена “сложная” схема. При этом оформлением документов на ввоз смартфона должен был заниматься не покупатель, а импортер — курьерская или логистическая компания, доставляющая товар через границу. У нее, разумеется, никаких специальных разрешительных документов на ввоз шифровального средства не было, а таможня в базе зарегистрированных нотификаций провозимой модели смартфона тоже не нашла. В результате и возникло нарушение таможенного законодательства.

Что грозит за нарушение правил ввоза средств шифрования?

Как было написано в повестке, приведенной пострадавшим любителем смартфонов Motorola, ему инкриминировали нарушение части 1 статьи 16.3 Кодекса об административных правонарушениях (“”Несоблюдение ограничений на ввоз товаров). На самом деле таможня не совсем верно классифицировала правонарушение — зесь следовало бы применить часть 2 данной статьи. Помимо статьи 16.3 возможно применение (но уже к импортеру) статей 16.2 “Недекларирование или недостоверное декларирование” и 16.7 “Представление недействительных документов при таможенном декларировании”. Все эти статьи могут быть применены как к юридическому лицу, ввозящему шифровальные средства через таможенную границу РФ, так и физическому лицу, что и было уже не раз продемонстрировано за прошедшие несколько лет.

Но вот если шифровальное средство пересекло границу и продается уже на территории России, то покупателю ничего не грозит. Дело в том, что покупка шифровальных средств на территории Российской Федерации в настоящее время никак не регламентируется. Действующее законодательство не обязывает покупателя на территории России проверять условия ввоза приобретаемых им продуктов. Только в случае заказа шифровальных средств за пределами РФ и ввоза их через границу Таможенного Союза вступают в силу все правила, описанные выше.

А разве конечный пользователь не участвует в процессе оформления своего заказа?

Как это ни странно, нет. В Положении не определены процедуры, которые должен осуществлять потребитель. Но в соответствии со сложившейся практикой, потребитель оказывает импортеру поддержку, предоставляя в ЦЛСЗ информационное письмо по применению ввозимого оборудования (для “сложной” схемы), т.к. импортер обязан указать для кого осуществляется ввоз шифровального средства. В письме указывается минимально необходимая следующая информация:

Информационное письмо должно совпадать по содержанию с заявлением в ЦЛСЗ от импортера. Отсутствие информационного письма может трактоваться как недобросовестность импортера и, как правило, означает стопроцентный отказ в выдаче заключения на ввоз шифровального средства.

С практикой оформления таких писем от потребителей — рядовых граждан нам сталкиваться не приходилось.

А вот другой вендор уверяет, что у него нет проблем с ввозом. Такое может быть?

Для перемещения любого шифровального средства через таможенную границу независимо от страны происхождения и названия производителя обязательными документами являются зарегистрированная нотификация или заключение ЦЛСЗ (при необходимости требуется также лицензия Минпромторга России). Обойти эту процедуру можно единственным способом — ввозить оборудование незаконным путем.

Если при приобретении продукции с функцией шифрования покупатель не может получит у продавца информацию о зарегистрированной нотификации или копию лицензии Минпромторга России – существует высокая вероятность, что данная продукция ввезена на территорию России с нарушением законодательства.

А если я ввез оборудование без шифрования, а потом обновил его через Интернет и получилось средство шифрования?

В действующем российском законодательстве действия по изменению криптографических характеристик устройств, уже находящихся и приобретенных на территории России не регламентированы и предсказать последствия скачивания из Интернет апгрейда с включенной криптографической функциональностью никто не возьмется. Вместе с тем, в настоящее время существует практика получения разрешения ЦЛСЗ на ввоз продуктов, позволяющих изменить криптографических характеристики имеющегося оборудования, например программного обеспечения на физическом носителе (CD/DVD) или скачиваемого по сети Интернет. Правда, действует эта практика преимущественно для юридических лиц, использующих средства шифрования. Они должны понимать, что у регулирующих и проверяющих органов могут быть вопросы к организации, которая никогда не приобретала криптографические продукты, ввезенные для нее по заключению ЦЛСЗ, но использует их в своей деятельности.

В отношении рядовых граждан, скачивающих из Интернет программные шифровальные средства, правоприменительной практики пока не сложилось.

Кто регламентирует вопросы ввоза и вывоза шифровальных средств?

ЕЭК была создана как единый постоянно действующий регулирующий орган Таможенного союза и Единого экономического пространства. Комиссия имеет статус наднационального органа управления, не подчинена какому-либо правительству и решения Комиссии обязательны для исполнения на территории трех стран, включая и Россиию. Основной задачей ЕЭК является обеспечение условий функционирования и развития Таможенного союза и Единого экономического пространства, а также выработка предложений по дальнейшему развитию интеграции. ЕЭК передаются полномочия упраздняемой Комиссии Таможенного союза.

В соответствии с решением Межгосударственного Совета Евразийского экономического сообщества от 27 ноября 2009 года «О едином нетарифном регулировании таможенного союза Республики Беларусь, Республики Казахстан и Российской Федерации» нынешнее Положение о ввозе, с изменениями и дополнениями, действует с 01 января 2010 года. Вступление России в ВТО 22 августа 2012 года ничего не поменяло в области нетарифного регулирования внешней торговли.

В качестве заключения хотелось бы ответить еще на 2 вопроса, которые могут возникнуть по ходу прочтения материала.

Какими документами регулируется ввоз шифровальных средств на территорию Российской Федерации?

Решением Решение Коллегии Евразийской экономической комиссии от 16 августа 2012г. №134 «О нормативных правовых актах в области нетарифного регулирования» утверждены:

Источник

Ошибки и заблуждения
Adblock
detector
Шифровальные средства
Шифровальные (криптографические) средства (ШКС)
200px Electronics
Основные НПА
Решение ЕЭК №30 от 21 апреля 2015 г.
Перечень 2.19
Положение Приложение 9
Услуги IFCG