В ходе совещания также было определено, что согласно ПП-614 от3.04.2007 г. Служба национальной безопасности Республики Узбекистан является уполномоченным органом, осуществляющим единую государственную политику и обеспечивающим проведение сертификации продукции (услуг) в области криптографической защиты информации.

Кроме того, хотелось бы отметить, что ни один разработанный гос. стандарт в области криптографической защиты не имеет ссылку на концепции Международных стандартов ISO/IEC, что делает проблематичным интеграцию наших информационных систем в мировые сети, в то время как одной из основных задач стандартизации яляется обеспечение международного обмена товарами и услугами, а также развития сотрудничества в интеллектуальной, научно-технической и экономической областях? и т.д.

А не проще тогда использовать международные разработанные стандарты в области криптографической защиты? Или "безопасность" не позволяет?

Добавил бы, что:
- В планах до 2012 года внести изменения или переработать закон об ЭЦП.
- При создании информационных систем с шифрованием требуется сертифицировать не только модуль шифрования, но и всю систему в целом.
- В настоящее время ведутся работы над созданием протокола шифрования веб-трафика, наподобие https, но на основе национального крипто-провайдера.
- С помощью национального криптопровайдера нельзя создать защищённый туннель.
- Прецедентов суда по поводу ЭЦП ещё не было, поэтому неизвестно как суд отнесётся к документу, подписанному ЭЦП.

А там ещё не заинтересовались организацией и её сотрудниками, активно внедряющей услуги, подписанные ЭЦП, которое их служба не сертифицировала?

Запрета на использование криптографических средств нет. Для работы в гос. органах и для работы конфиденциальными данными средства должны быть сертифицированы.
конфиденциальные данные - опять же, смотря для кого они конфиденциальны.

Какими бы электронными средствами мы сейчас не подписывались бы, всё это туфта.
Единственное, что можно сделать - это в договоре между субъектами указать, что субъекты заключающие договор, признают ЭЦП определенного стандарта для своих отношений и приравнивают её к ручной подписи. Вот тогда какую-то юр. силу ЭЦП приобретает, но только для субъектов, подписавших договор.

В принципе я считаю, что это на сегодняшний день было бы наиболее приемлемым решением, но ПП-614 ограничивает нас в части использования негосударственных стандартов, а в Приложениях к данному ПП вообще ничего не говорится о возможности использования международных стандартов, только о государственных стандартах.
Но еще одна проблема - это сертификация средств криптографической защиты информации.
На сколько я поняла из вчерашней встречи - данный вопрос, хоть и определен в ПП-614, до настоящего времени до конца не проработан. Даже используя средства криптогр. защиты местного криптопровайдера, это еще не факт, что он пройдет сертификацию в службе (тем более что из вчерашнего обсуждения я не услышала конкретного ответа по данному вопросу).

Не выльется ли это все, как обычно происходит, что прикрываясь требованиями национальной безопасности банально лоббировать свои узковедомственные или другие интересы?

Будет выложена?

Я думаю, что для исключения данной проблемы, необходимо организовать встречу с представителями CНБ для выработки единого подхода по данному вопросу. Учитывая, что на сегодняшний день уровень их специалистов в области информационных технологий достаточно высок, мне кажется эта встреча была бы достаточно продуктивной. Кроме того, мы бы четко определились бы и с использованием стандарта, что потом бы и облегчило проведение сертификации средств крипт. защиты.
В любом случае. на сегодняшний день видно, что никак не обойтись без внесения соответствующих изменений как в законодадельные акты, так и в утвержденные стандарты. Документы должны быть рабочими, а не для галочки, я так считаю.

Пока не заметно лоббирования.
Хислат-ака жаловался на отсутствие финансовой поддержки и диктатуре в области ценорегулирования обслуживания клиентов.