На сайте ФСБ РФ 18 июля было размещено Извещение «по вопросу использования сертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет»». Документ достаточно интересный. Но прежде чем его рассматривать нужно немного поговорить о текущей политике и возникших проблемах.
На данный момент перед госструктурами, муниципальными органами (а теперь согласно Директивам 4972п-П13 еще и перед компаниями с госучастием (их список есть в Распоряжении Правительства РФ от 23 января 2003 г. №91-р)) проставлена задача импортозамещения. Также Думой и правительством были выдвинуты задачи по повышению общей безопасности российского сегмента сети Интернет, защищенности сетей передачи данных и тд. В частности с правками закона Яровой Статья 13.6 (Использование несертифицированных средств связи или несертифицированных средств кодирования (шифрования) либо предоставление несертифицированных услуг связи) кодекса об административных правонарушениях выглядит так:
Не касаясь того, что требуется достаточно много времени на разработку требуемого ПО — процесс сертификации весьма долгий. Если для антивирусных средств он составляет не менее 6-8 месяцев, то не меньше он должен быть и для средств шифрования. И это не касаясь выпуска обновлений безопасности — данная процедура в реальности сейчас полностью отсутствует.
Получается, что импортозамещение требуется вчера, но нужно отложить для многих вещей эту задачу на годик, так как нужно все засертифицировать. Что делать?
Первый звонок появился в Поручении об обеспечении «комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования»:
В обоих пунктах слово «сертифицированных» или «прошедших процедуру оценки соответствия» отсутствовало!
И вот теперь о Извещении ФСБ РФ:
Ну а для тех, кто хочет проснуться — рекомендуется понять, что имелось в виду в первом абзаце в следующей фразе: «устанавливается административная ответственность за использование несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законом предусмотрена их обязательная сертификация.»
Апдейт. Очень интересный комментарий с примерами решений ФСБ по поводу использования СКЗИ. Рекомендую
Еще апдейт или тайные метаморфозы. 21го числа было обнаружено, что извещение таинственно изменилось.
Был абзац:
Стал абзац:
Таким образом в новой редакции сняты вопросы о противоречиях с приказами по защите персданных, закону Яровой, методическими рекомендациями и тд. Но некрасиво же…
Кстати говоря нас еще ждут интересные открытия, так каксогласно Перечня поручений утвержденных президентом:
Отметим тут нюанс — требуется предоставить информацию в случае дополнительного кодирования, но в отличие от закона Яровой не сказано, что эти средства были предоставлены оператором. Ну и опять же внимание направлено на контроль за темп, кто действительно пользуется некими сервисами
На данный момент перед госструктурами, муниципальными органами (а теперь согласно Директивам 4972п-П13 еще и перед компаниями с госучастием (их список есть в Распоряжении Правительства РФ от 23 января 2003 г. №91-р)) проставлена задача импортозамещения. Также Думой и правительством были выдвинуты задачи по повышению общей безопасности российского сегмента сети Интернет, защищенности сетей передачи данных и тд. В частности с правками закона Яровой Статья 13.6 (Использование несертифицированных средств связи или несертифицированных средств кодирования (шифрования) либо предоставление несертифицированных услуг связи) кодекса об административных правонарушениях выглядит так:
Использование на сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет» либо предоставление несертифицированных услуг связи, если законом предусмотрена их обязательная сертификация, — влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц — от трех тысяч до четырех тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц — от тридцати тысяч до сорока тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.
Не касаясь того, что требуется достаточно много времени на разработку требуемого ПО — процесс сертификации весьма долгий. Если для антивирусных средств он составляет не менее 6-8 месяцев, то не меньше он должен быть и для средств шифрования. И это не касаясь выпуска обновлений безопасности — данная процедура в реальности сейчас полностью отсутствует.
Получается, что импортозамещение требуется вчера, но нужно отложить для многих вещей эту задачу на годик, так как нужно все засертифицировать. Что делать?
Первый звонок появился в Поручении об обеспечении «комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования»:
1) предоставление безвозмездного доступа гражданам Российской Федерации к использованию российских средств шифрования для электронного взаимодействия с органами государственной власти и органами местного самоуправления;
2) законодательные меры с целью исключить применение оборудования, позволяющего третьим лицам вмешиваться в работу криптографических протоколов при передаче данных с использованием сети связи общего пользования, кроме случаев реализации органами, осуществляющими оперативно-разыскную деятельность, мероприятий по снятию информации с технических каналов связи в соответствии с требованиями законодательства Российской Федерации.
В обоих пунктах слово «сертифицированных» или «прошедших процедуру оценки соответствия» отсутствовало!
И вот теперь о Извещении ФСБ РФ:
Законом Российской Федерации «О государственной тайне» обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (ст. 28).
Порядок сертификации указанных средств и их перечень установлены приказом ФСБ России от 13 ноября 1999 г. № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия» (зарегистрирован в Минюсте России 27 декабря 1999 г. № 2028).
Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется.
Ну а для тех, кто хочет проснуться — рекомендуется понять, что имелось в виду в первом абзаце в следующей фразе: «устанавливается административная ответственность за использование несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законом предусмотрена их обязательная сертификация.»
Апдейт. Очень интересный комментарий с примерами решений ФСБ по поводу использования СКЗИ. Рекомендую
Еще апдейт или тайные метаморфозы. 21го числа было обнаружено, что извещение таинственно изменилось.
Был абзац:
Законодательством Российской Федерации обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (статья 28 Закона Российской Федерации «О государственной тайне»).
Стал абзац:
Законом Российской Федерации «О государственной тайне» обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (ст. 28).
Таким образом в новой редакции сняты вопросы о противоречиях с приказами по защите персданных, закону Яровой, методическими рекомендациями и тд. Но некрасиво же…
Кстати говоря нас еще ждут интересные открытия, так каксогласно Перечня поручений утвержденных президентом:
1. Правительству Российской Федерации с участием ФСБ России подготовить проекты необходимых нормативных правовых актов… обратив особое внимание на:
применение норм Федерального закона об ответственности за использование на сетях связи и (или) при передаче сообщений в информационно-телекоммуникационной сети Интернет несертифицированных средств кодирования (шифрования);
разработку и ведение уполномоченным органом в области обеспечения безопасности Российской Федерации реестра организаторов распространения информации в сети Интернет, предоставляющих по запросу уполномоченных ведомств информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений в случае их дополнительного кодирования;
применение норм Федерального закона о прекращении оказания услуг связи в случае неподтверждения соответствия персональных данных фактических пользователей услуг связи сведениям, указанным в абонентских договорах.
Срок – до 1 ноября 2016 года.
Ответственные: Медведев Д.А., Бортников А.В.
3. ФСБ России утвердить порядок сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, определив перечень средств, подлежащих сертификации, а также порядок передачи ключей шифрования в адрес уполномоченного органа в области обеспечения безопасности Российской Федерации.
Срок – 20 июля 2016 года.
Ответственный: Бортников А.В.
Отметим тут нюанс — требуется предоставить информацию в случае дополнительного кодирования, но в отличие от закона Яровой не сказано, что эти средства были предоставлены оператором. Ну и опять же внимание направлено на контроль за темп, кто действительно пользуется некими сервисами