Pull to refresh

Новые таможенные правила или как жить дальше? Семинар в cisco

Reading time 4 min
Views 9.7K
11 марта 2010 в московском офисе cisco состоялся увлекательный семинар Миши Кадера про новые таможенные правила на территории таможенного союза России, Белоруссии и Казахстана. И про то, что cisco делает для того, чтобы ввоз нового оборудования наконец стал снова радовать и продавцов и покупателей.

Статья была опубликована 11.03 здесь, но по просьбе докладчика была направлена на доработку. Миша внес ряд нужнейших ссылок и комментариев, поправив меня в тех моментах, которые были изложены не точно. За что ему огромное спасибо!
Сейчас публикуется поправленный вариант.

Для начала экскурс в историю:
1. Таможенные правила ввоза на территорию РФ впервые были написаны аж в 1995 году и там было и про шифрование и про согласование с ФАПСИ (ныне ФСБ) и МинПромТоргом. Просто их никто не выполнял. Вот ссылка на указ для интересующихся
2. В 2006, для вступления в ВТО, был разработан новый, более гибкий документ, выводящий часть криптографии из-под лицензирования ввоза. Документ так и не был согласован
3. В конце 2009 году, приняв за основу документ 2006г, ФСБ быстренько согласовала новые правила ввоза на территорию единого таможенного союза. Так что с 01.01.2010 года мы просто получили то, что должно было работать давным-давно. Вот опять же ссылка на эти правила

По новым правилам часть шифровательных функций выводится из-под лицензирования (полный список можно найти в нормативных документах):
1.«Слабое» шифрование (симметричное шифрование с длиной ключа меньше либо равным 56 битам, асимметричное – 128 битам)
2.Шифрование каналов для управления (ssh, https для управления)
3.Шифрование беспроводными точками доступа (со встроенными антеннами) трафика, передаваемого на расстояние до 400 м.
4.Если шифрование является неотъемлемой частью программного продукта (операционной системы).


Внутри себя Cisco классифицирует свою продукцию следующим образом:
С1 – оборудование, не содержащее шифрования вовсе. Определяется производителем или ввозящим. Тут есть ряд засад, о которых позже
С2 – оборудование, содержащее шифрование, но выведенное из-под лицензирования путем подачи нотификаций
С3 – оборудование, содержащее строгое шифрование. Для него требуется разрешение ФСБ на ввоз, импортная лицензия Минпромторга, а также лицензии ФСБ на распространение и техобслуживание.
С4 – оборудование, которое ещё не классифицировано и перейдет с C2 или C3.

Какие условия ввоза для того или иного класса:
С1 – не требуется разрешительных документов, свободный ввоз. Но есть одна тонкость: таможенники – парни въедливые. Вполне могут сказать: «А откуда я знаю, есть оно там или нет? Я не доверяю этим буржуям”. В этом выяснении случае компания Cisco пишет письмо на таможню, подтверждая отсутствие шифрования. Если же таможеннику этого недостаточно, то он должен писать официальный запрос в ФСБ, которое пришлет официальное заключение.

С2 – для ввоза этого оборудования необходимо, чтобы на таможне был документ – нотификация. Этот документ на линейки оборудования (part-numbers) составляет производитель или доверенная организация. Эти списки подаются в ФСБ, и в течение 2-3 недель эти документы регистрируются там. Далее этот документ передается на таможню и после данное оборудование едет спокойно. Посмотреть существующие нотификации можно на сайте таможни. После этого импортер может смело ввозить указанное железо без дополнительных документов. Если нотификация уже есть, а на таможне тормозят и её пока не опубликовали, cisco готова предоставить копию вплоть до нотариальной, для предоставления в таможню (проверено на московских и питерских таможнях).
Вот ссылка на список уже опубликованных таможней нотификаций

С3 – для ввоза и продажи этого оборудования компания должна иметь соответствующую лицензию ФСБ (действует год), а также получить разрешение МинПромТорга на ввоз на каждую поставку. Разрешение могут делать непредсказуемое время. Позиция ФСБ проста: у нас нет ресурсов отслеживать строгое импортное шифрование, поэтому на территории РФ хотим видеть только ГОСТ. Особенно в госучреждениях, а также в системах защиты персональных данных. Если же заказчик не планирует использовать шифрование передаваемых данных (VPN), но хочет использовать оборудование класса С3, то он может составить официальное письмо в ФСБ и были прецеденты, когда под такое письмо под конкретного заказчика ввозилось железо С3 (АСАшки, например).

С4 – ждем, пока их переведут в С2 или С3

Компания cisco одной из первых подала списки на нотификацию и на данный момент много железа и софта уже нотифицировано. Это дает некоторые конкурентные преимущества.
В частности:
Нотифицированы многие коммутаторы, точки доступа, беспроводные контроллеры, ACS, IPS.
Нотифицированы маршрутизаторы ISR G2 (19xx/29xx/39xx) с ОС типа NPE (Non Payload Encryption: есть все фичи по безопасности, кроме шифрованных туннелей). Пока не решена проблема с security бандлами: там по умолчанию идёт IOS c шифрованием данных. При его замене – бандл начинает стоить дороже. Поэтому сейчас надо заказывать не готовые security бандлы, а собирать конфигурацию по новой.
Скоро обещают появление IOS NPE для серий 860-880-890 (архитектурно они похожи на ISR G2) и их тоже можно будет ввозить по нотификации
Уже готов документ и будет сертифицировано решение ISR G2+RVPN (модуль для шифрования ГОСТ компании STerra) для защиты персональных данных класса вплоть по 1 класс включительно.
Обещают в апреле разрулить ситуацию с ASA. Сейчас нельзя ввезти ASA-K8 (56 бит), потому что она превращается в К9 простым введением серийного номера ASA на сайте cisco. Обещают, что будет можно ввозить ASA-K8 по нотификации, если найдется метод заблокировать получение лицензий на сильное шифрование.

ЗЫ Не очень литературно получилось, но надеюсь помог немного разобраться в нынешней каше. Во-всяком случае мне этот семинар помог расставить точки над «ё». Если есть замечания – не стесняйтесь: тема не совсем моя, пишу что услышал. Если нужны контакты для изготовления ФСТЭКовских сертификатов поточно, пишите на 4u@anticisco.ru. Попробую связать вас с ответственными людьми из Московского cisco, а те обещают всестороннюю помощь (правда, не деньгами :)).
Tags:
Hubs:
+33
Comments 73
Comments Comments 73

Articles