04.08.2011

Об использовании несертифицированной криптографии

На заседании ПК1 ТК122 по стандартизации банковской безопасности Владимир Михайлович Простов (ФСБ) разъяснял немного ситуацию с законодательством в области криптографии и сделал несколько заявлений, которые будут интересными для многих:
  • если оборудование, относящееся к разряду шифровальных средств, ввезено в России легально, то формальное разрешение на ввоз является и формальным разрешением на эксплуатацию данных СКЗИ в целях, указанных в запросе на ввоз.
  • расширять сферу компетенции ФСБ за пределы СКЗИ пока не планируется. Слухи про то, что ФСБ будет сертифицировать еще и IPS/IDS - просто слухи (хотя я видел проект нормативного документа на эту тему).
  • приказ 152 менять и обновлять не планируется. Все спорные моменты надо решать в частном порядке.
  • сейчас практически готов проект нового Постановления Правительства, которое придет на смену 957-му.

От себя добавлю, что вопросы ввоза шифровальных средств достаточно подробно расписаны в FAQ, который готовила Cisco для своих заказчиков. Там указано, что такое шифровальные средства, как они ввозятся, как проверить легальность ввоза и т.д. В виде презентации я это также выкладывал.

ЗЫ. Если вам нужна официальная позиция ФСБ по указанным ваше вопросам, то необходимо писать официальный запрос, как я писал в среду.

5 коммент.:

mtkai комментирует...

Алексей, а как же сертификат ФСБ на СОА Аргус?

http://www.scribd.com/full/61638213?access_key=key-21j8fzvwm8q9w73s37j2

Алексей Т. комментирует...

Ну вот, а Вы всех пугали, Алексей :-)

Алексей Лукацкий комментирует...

mtkai: Во-первых, для госов именно ФСБ сертифицирует IDS. А во-вторых, я не очень верю в слова Простова в данном случае, т.к. он возможно не в теме с IDS, а я видел проект приказа своими глаза

Алексею Т.: И продолжаю это делать, т.к. неофициальное мнение (о чем Просто В.М. прямо сказал) к делу не пришьешь. И любой аудитор или сотрудник СВК спросит "На основании чего сделан вывод, что разрешение на ввоз является разрешением на эксплуатацию?"

Gin комментирует...

Учитывая то, что большая часть того, что используется как СКЗИ, ввозилась на территорию России не как средства СКЗИ(думаю, до 90-95%), т.е. разрешение на ввоз в ФСБ и последующее получение лицензии в минэкономразвитии не получались, то на самом деле ответ не сильно оптимистичный. Проверят вашу криптуху, и скажут - ввезли как межсетевой экран, вот и используйте как межсетевой экран, а криптуху извольте другую.

Алексей Лукацкий комментирует...

Вы не в курсе законодательства. Таможню не волнует ДЛЯ ЧЕГО вы ввозите. У нее есть список товаров, которае считают СКЗИ. Это принтеры, GPS, компы, смартфоны и т.д.