30.11.2009

Так нужна ли лицензия ФСБ на защиту ПДн

Интересная коллизия. Был я 26-го числа на заседании Координационно-методического совета лицензиатов ФСТЭК и ФСБ Уральского федерально округа. Представитель ФСБ рассказывал про защиту ПДн в части требования ФСБ и в какой-то момент заявил, что для защиты ПДн с помощью СКЗИ нужна лицензия ФСБ на техобслуживание.

Я задаю встречный вопрос, мол, А.П. Баранов (первый зам. начальника 8 Центра ФСБ) на конференции АРБ, а также другой представитель ФСБ на Парламентских слушаниях заявил, что лицензия ФСБ на защиту ПДн для собственных нужд не требуется. Представитель свердловской ФСБ говорит, что раз нет официальных документов на эту тему, то частное мнение другого сотрудника ФСБ (даже одного из руководителей восьмерки) - это частное мнение. Мол в ПП-957 написано, что нужна лицензия ФСБ, значит надо получать.

Вот так вот ;-(

ЗЫ. Уже не первый раз сталкиваюсь с тем, что мнение региональных представителей регуляторов часто отличается от того, что говорят в центре.

26 коммент.:

Евгений Родыгин комментирует...

Не только... в центре то же самое.. даже люди сидящие в одном кабинете твердят разное...

Евгений Родыгин комментирует...

Вообще задумываюсь стоит ли озвучивать высказывания ответственных лиц...
Ведь они порой только вносят сумятицу или просто противоречат руководящим документам...
А ведь есть обучающие программы утвержденные регуляторами...

Алексей Лукацкий комментирует...

Ну если не озвучивать, то будет полный вакуум ;-(

sergkorolkov комментирует...

Может у меня неактуальная версия этого ПП но
в том случае если оператор использует только буржуйскую криптографию, банкоматы, ККМ, и СКЗИ для шифрования каналов связи, то лицензия на обслуживание ему не требуется или я не прав?

zoy444ik комментирует...

Здравствуйте.
Прошу прощения за оффтоп. На банкире в одной из тем было заявлено, что к концу ноября будет пакет типовых шаблонов по ПДн.
Вселите надежду в сердца, пожалуйста, когда и где его можно будет искать.
Заранее благодарна.

attendantofwood комментирует...

sergkorolkov: Буржуйскую криптуху у нас использовать вообще запрещено (там где закон нас обязывает это делать). Т.о. это не считается криптозащитой вообще.

Анонимный комментирует...

Извините если не в тему. Есть желание передавать конфиденциалку (в том числе и ПД) по протоколу https с использованием OpenSSL.
1) Можно ли с точки зрения закона генерировать сертификаты (ключи) самим (оба субъекта в передаче данных согласны, что не будет третьего лица - удостоверяющего центра).
2) Нужно ли в этом случае получать лицензию на обслуживанию шифровальных (криптографических) средств, если описаное выше реализуется средствами сертифицированной серверной ОС.

Анонимный комментирует...

А как на счет дополнений в стандарт ИББС 1.0 для Банков...

На сколько я помню ЦБ РФ в презентации писал что лицензия на ТЗКИ не нужна...
Хочется верить что на СКЗИ тоже не понадобится....

имеются ли какие нибудь новости по отраслевым стандартам?

sergkorolkov комментирует...

2 attendantofwood
А где нас закон обязывают это делать? с учетом последней поправки, которая будет принята скоро во 2-м и 3-м чтении?

Евгений Родыгин комментирует...

Вопрос не в тему....
Вот в России зарождается рынок ИБ...
При этом зрелость потребителей невысокая и т.п. а Игроки вешают лапшу на уши незрелых пользователей...
Но время то идет !
Есть вероятность, что повышение зрелости наведет какой то порядок ?
На западе как с этим ?

Анонимный комментирует...

Поправка не отменяет обязанность в том случае, когда криптозащита действительно нужна. Поправка лишь убирает двоякое толкование закона, что хочешь-не хочешь. а криптозащиту ставь.
PS Вы не обойдетесь без шифрования, если ПДн передаются в сеть общего пользования.

sergkorolkov комментирует...

не обойдусь, поставлю буржуйские СКЗИ на каналы.
а вот для них по этому ПП мне как раз лицензия и не нужна
я об этом вопрошаю 3-й раз
кто нибудь видит в таком толковании изъян али нет? :))

Анонимный комментирует...

sergkorolkov пишет...
Вы sergkorolkov наивный как ребенок - запатите интегратору миллиончик и все вам расскажут и будет вам счастье....

Анонимный комментирует...

sergkorolkov Вам же ответили, что эти средства должны быть российского производства и должны использовать только российские алгоритмы. Для ФСБ использование вами буржуйских средст означает лишь одно, что требования по криптографии и шифрованию вами не выполнены.

Алексей Лукацкий комментирует...

По пакетам документов:

По первой части рекомендаций ее подготовка завершается. Основная проблема - оформить десятки шаблонов документов. По второй части (СТО с разделом по ПДн) - 7.12 должно быть его утверждение на ПК3, затем утверждение руководством ЦБ, потом (в январе приблизительно) он станет публичным.

По лицензии:

Чтобы не попасть впросак при проверках, лучше проконсультироваться в 8-м Центре (именно там, а не в регионах) путем напраки им официального письма с вопросом - нужна лицензия или нет при использовании СКЗИ западного производства? Я знаю и случаи, когда она требовалась, и когда не требовалась.

doom комментирует...

2 sergkorolkov
А откуда такая уверенность, что иностранные СКЗИ не попадают по действие ПП № 957?

В пункте 1 положения приведен полный перечень того, на что действие положения не распространяется. Из прочих СКЗИ под действие положения не попадают те, которые реализуют симметричные алгоритмы с длиной ключа менее 56 бит (т.е. DES можно использовать :)) и асимметричные, причем обязательно основанные на вычислениях дискретных логарифмов либо разложении целых чисел на множители и длиной ключа не более 128 бит.

Таким образом, если у вас ASA с AES'ом - то под действие положения вы очень даже попадаете.

Насчет нелегальности применения - у нас остался только указ президента №334 от 95-го года, но он действует только формально, ибо часть призывов там так никто и не пытался выполнить. К примеру:
"Предложить Центральному банку Российской Федерации и Федеральному агентству правительственной связи и информации при Президенте Российской Федерации принять необходимые меры в отношении коммерческих банков Российской Федерации, уклоняющихся от обязательного использования имеющих сертификат Федерального агентства правительственной связи и информации"
или

"запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств ... без лицензий, выданных Федеральным агентством правительственной связи и информации"


Так что, за применение ASA ФСБ вас не накажет :)

Алексей Лукацкий комментирует...

doom'у: DES не попадает под разрешение, т.к. в ПП-957 написано менее 56 бит, а у DES "не менее", а как раз 56 бит.

doom комментирует...

2 Алексей
Ну вот, решил я не писать про возмущение математика во мне и тут же меня поправляют :)
Подозреваю, что хотели DES все-таки разрешить, но получилось как всегда - ведь в старой редакции было 40 бит - с какой еще целью могло быть увеличение?

Алексей Лукацкий комментирует...

Изначально хотели как раз разрешить слабую криптуху с 56 битами. Но потом либо передумали, либо ошиблись, но получили то, что получили.

Сергей комментирует...

ответить я сам могу все что угодно
покажите пальцем где написано что у меня должны использоваться российские СКЗИ для защиты ПД

Алексей Лукацкий комментирует...

По документам ФСБ вы должны использовать сертифицированные решения. А сертифицировать вы можете только российские.

doom комментирует...

2 Сергей

Ну в одно место я уже тыкнул - указ №334 - но его спишем на лихие девяностые.

Есть еще пресловутое ПП 781, где сказано: "Средства защиты информации в установленном порядке проходят процедуру оценки соответствия"

Есть ПКЗ-2005, которое устанавливает порядок оценки соответствия:
"СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом Федеральным законом от 27 декабря 2002 года N 184-ФЗ "О техническом регулировании"

Технических регламентов нет, а значит работает статья 46, пункт 3:
"3. Правительством Российской Федерации до дня вступления в силу соответствующих технических регламентов утверждаются и ежегодно уточняются единый перечень продукции, подлежащей обязательной сертификации, и единый перечень продукции, подлежащей декларированию соответствия."

В упомянутом перечне СКЗИ нет (хотя сейчас принимают очередное постановление). Внимание вопрос: ну и кого хватит духу бороться? Эта же логическая цепочка говорит, что и СрЗИ не надо сертифицировать...

Сергей комментирует...

2 doom
из приведенного я понял что места в которое можно ткнуть пальцем собственно и нет :))
1. ПП 781 и тот пункт касается СКЗИ, которые разработаны сами, если я купил СКЗИ в магазине и не трогая ввел в эксплуатацию то как я понимаю сертификат не требуется
2. ПКЗ 2005 обязателен только если использование СКЗИ требуется (!) законом, работа на государство, взял на себя добровольные обязательства

из этого я делаю вывод что буква закона явно нигде не требует
есть еще дух закона :)) А его все по разному интрепритируют
просто "хватит духу" зависит от затрат - что проще убедить проверяющего или судится с ним несколько лет, чем угрохать ХХ млн рублей в сертифицированные СКЗИ и только

doom комментирует...

Стоп-стоп.

Оба вывода мне непонятны. По ПП 781, вот полная цитата:
"5. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия."
Где тут про собственную разработку?

Про ПКЗ-2005:
"1. Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее - информация конфиденциального характера)."
Где тут про гос. органы? Оно обязательно для всех, поскольку ФСБ у нас:
"осуществляет регулирование в области разработки, производства, реализации, эксплуатации, ввоза в Российскую Федерацию и вывоза из Российской Федерации шифровальных (криптографических) средств и защищенных с использованием шифровальных средств систем и комплексов телекоммуникаций, а также в области предоставления на территории Российской Федерации услуг по шифрованию информации и выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах;"
(c) Положение о Федеральной службе безопасности, раздел III, пункт 9, 24-й элемент в списке.

Сергей комментирует...

2 doom
1. п. 5 про СЗИ а я про СКЗИ. Кроме того, что такое оценка соответствия. В четверокнижьи вообще похоже путаница с этим термином. Что это такое не ясно
а про СКЗИ и сертификацию в 781 есть п 17
2. ПКЗ 2005 надо смотреть п. 3 и п. 4
в п. 3 есть слова НАДО. Но! ПД не внесено в список таких сведений по приказу президента
п 4 написано что на буржуйские СКЗИ не распространяется
если коллег по цеху есть возражения и желание их обсудить предлагаю в асю или в твиттер
тут в комментах не очень удобно :(

Анонимный комментирует...

всех с новым годом :)