15.4.13

Новый сегмент рынка информационной безопасности

Что мы чаще всего видим, когда выходим на улицу кроме людей? Различные транспорпортные средства, преимущественно колесные. Причем эти транспортные средства могут быть как личными, так и находящимися в собственности юридических лиц и индивидуальных предпринимателей. Последних по статистике Минтранса и МВД в России было зарегистрировано 0.9 миллиона автобусов, еще два десятка тысяч других видов транспорта, перевозящего пассажиров и несколько сотен тысяч грузовых автомобилей, находящихся в собственности юридических лиц и индивидуальных предпринимателей. Очень нехилый парк колесных транспортных средств, на который распространяются обязательные требования Постановления Правительства от 23 ноября 2012 г. № 1213 "О требованиях к тахографам, категориях и видах оснащаемых ими транспортных средств, порядке оснащения транспортных средств тахографами, правил их использования, обслуживания и контроля их работы" и разработанного во его исполнение приказа Минтранса от 13 февраля 2013 года №36 "Об утверждении требований к тахографам, устанавливаемым на транспортные средства, категорий и видов транспортных средств, оснащаемых тахографами, правил использования, обслуживания и контроля работы тахографов, установленных на транспортные средства". Вступил в силу этот приказ 1 апреля 2013 года.

Согласнозаконодательству на указанные выше транспортные средства должны быть установлены тахографы, т.е. контрольные бортовые регистрирующие приборы, предназначенные для контроля и регистрации таких параметров как: скорость движения, пробег автомобиля, периоды труда и отдыха экипажа. Требования же к тахографам и установлены 36-м приказом Минтранса. Одним из обязательных элементов тахографа является "программно-аппаратное шифровальное (криптографическое) средство (блок СКЗИ тахографа), реализующее алгоритмы криптографического преобразования информации и обеспечивающее:
  • аутентификацию;
  • регистрацию информации в некорректируемом виде в защищенной памяти (защищенный архив блока СКЗИ тахографа);
  • хранение информации ограниченного доступа, используемой для создания электронной подписи и проверки электронной подписи (ключевой информации), и аутентифицирующей информации;
  • преобразование сигналов глобальных навигационных спутниковых систем ГЛОНАСС и GPS (ГНСС) в данные о текущем времени и о координатах местоположения транспортного средства в некорректируемом виде". 
Помимо тахографа к нему должны прилагаться еще и карты водителя, контролера, мастерской и эксплуатирующего транспортное средство предприятия. Эти карты "обеспечивают идентификацию и аутентификацию с использованием шифровальных (криптографических) средств, а также хранение данных о деятельности" заинтересованных лиц. Согласно приказу данные карты "являются защищенной от подделок полиграфической продукцией", следовательно их разработчики подчиняются ПП-965 от 24 сентября 2012 года и должны получить лицензию на указанный вид деятельности. Одним из условий получения такой лицензии является применение средств защиты, прошедших оценку соответствия.

Дополнительным требованием к разработчикам карт, описанным в приказе Минтранса, является "разработка и производство карты осуществляется с соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. № 66". Аналогичная отсылка к ПКЗ-2005 cуществует и для разработки СКЗИ тахографа, а также для проведения их тематических исследований. Производство, распространение и техническое обслуживание блоков СКЗИ тахографа и карт осуществляются также в соответствии с ПКЗ-2005, т.е. лицензиатами ФСБ.

Указанные карты также должны соответствовать "требованиям к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденным постановлением Правительства Российской Федерации от 8 июля 2008 г. № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных".

Также "система разграничения доступа к данным карты соответствуют требованиям по защите информации, установленным постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Также на тахограф возлагается задача обеспечения "целостности и достоверности информации, регистрируемой в памяти тахографа в некорректируемом виде, на основе применения квалифицированной электронной подписи, а также возможность гарантированного выявления ее корректировки или фальсификации по результатам проверки информации, зарегистрированной в памяти тахографа". А "создание и выдача квалифицированных сертификатов блоков СКЗИ тахографа и карт осуществляется с учетом требований, предусмотренных Федеральным законом от 6 апреля 2011 г. № 63 «Об электронной подписи» и нормативными правовыми актами, регулирующими создание и выдачу квалифицированных сертификатов", т.е. теми же приказами ФСБ.

"Выпуск и аннулирование выпущенных квалифицированных сертификатов блоков СКЗИ тахографа и карт осуществляет удостоверяющий центр, аккредитованный в установленном порядке", а "создание ключей квалифицированной электронной подписи блока СКЗИ тахографа и карт осуществляется с применением средств, соответствующих требованиям" ПКЗ-2005.

Иными словами мы получили с 1-го апреля (а привести все транспортные средства надо в соответствие до 2015-го года) новый и очень немаленький сегмент рынка СКЗИ, включая ЭП. Мы получили новый сегмент рынка для удостоверяющих центров. Мы получили новых лицензиатов ФСБ по части шифрования. Причем такими лицензиатами должны стать не только разработчики и мастерские, выпускающие и обслуживание тахографы и карты, но и все транспортные предприятия. Ведь информация с тахографа может (при наличии в его составе связного модуля) передавать по открытым каналам связи GSM/GPRS. А если вспомнить выступление г-на Ковалева из ЦЛС ФСБ на Рускрипто, то по его мнению передача защищаемой информации по открытым каналам связи не может быть отнесена к собственным нуждам предприятия и требует лицензирования в соответствии с ПП-313. Иными словами, каждый автобусный парк или владелец газели (включая и индивидуальных предпринимателей) должен получить лицензию ФСБ! Мы получили новых клиентов для учебных центров, готовящих по программам обучения, согласованным с ФСБ.

И это будет почище Фауста Гёте, как говорилось в известном фильме Гайдая ;-) Рынок получается немаленький. Я не нашел данных за 2012 год, но в 2008-м году в России пассажирискими перевозками занимались около 14 тысям предприятий всех отраслей экономики и около 62 тысяч индивидуальных предпринимателей. А так как каждое из них должно поставить на свой транспорт по тахометру с вытекающими отсюда требованиями по лицензированию и обучению, то можно себе представить рост рынка. Ни с каким рынком лицензиатов ФСТЭК/ФСБ не сравнить...

20 коммент.:

Dikushka комментирует...

Вот честно говоря это уже какой то перегиб. И как это всё будет реализовано, лично я представляю себе с трудом. Скорее всего будет точно так же как с ФЗ-69 "О такси". Вроде формально закон есть, но на практике все делают вид, что никакого такого закона нет.

Анонимный комментирует...

Алексей а теперь посмотрим на все это с другой стороны. Все мы прекрасно знаем что отечественных производителей чипов для встраивания в карты у нас пока нет.
И в какое то время может сложиться такая ситуация что наш потенциальный противник пусть даже гипотетически получит возможность контролировать весь существующий в России подвижной состав транспортных средств. Вот это уже похлеще атак на АСУ ТП.

Алексей Лукацкий комментирует...

О да! Иностранным спецслужбам очень интересно контролировать все автобусы и газели ;-) Для них движение наших газелей будет шоком ;-)

It girl комментирует...

Они смогут наблюдать броуновское движение в жизни :)

Я пока что слабо себе представляю превращение закона в реальную жизнь, но вполне может сработать сценарий с ПДн - чесаться все начали года через 2-3.

doom комментирует...

Вот почему нельзя с авторов сего документа попросить обоснования требований именно сертифицированных СКЗИ, именно квалифицированной ЭП и пр?..
Ну вообще же мрак какой-то.

Svyazist комментирует...

А как вам этот рынок - ЭКЛЗ в ККТ, он покрупнее будет. http://www.novayagazeta.spb.ru/2007/88/1

Алексей Лукацкий комментирует...

А я про него писал в прошлом году

Unknown комментирует...

Так все-таки, в 2-х словах, чем это грозит транспортному предприятию или организации, устанавливающей тахографы?
Надо обучать сотрудников и руководителя по курсу ФСБ? Аттестовывать рабочее место? Что еще?

Алексей Лукацкий комментирует...

Лицензия = аттестация помещения + обучение + оргмеры по работе с СКЗИ = головная боль. Это если вкратце

Unknown комментирует...

А рабочее место (ПЭВМ к которому подключается тахограф) нужно аттестовывать тоже? И СрЗИ ставить?

Алексей Лукацкий комментирует...

Я думаю на практические вопросы, связанные с этим приказом, сейчас никто не ответит

Serg комментирует...

В части карт водителей, по моему в эту концепцию вписывается УЭК. И сертифицированная криптография кстати на борту.
Остается сделать тахограф со считывателем смарт карт...

Алексей Лукацкий комментирует...

Нет, УЭК там не планируется

Unknown комментирует...

В тему
http://rosavtotransport.ru/wp-content/uploads/2013/03/RU_O_W.pdf
пункт 7

Итого, лицензию надо получать на 3 вида деятельности: 12, 20 и 21 (из 313 ПП)

Алексей Лукацкий комментирует...

Навскидку не помню, но 20 и 21 не требуют ли лицензии на гостайну? Или 20-21 это не модернизация?

Unknown комментирует...

Приложение 1 к 313 ПП от 16 апр 2012г.
...
12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств.
...
19. Ремонт, сервисное обслуживание средств изготовления ключевых документов.
20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
...
На гостайну лицензия точно не нужна.
Но вопрос с аттестованым помещением и АС остается

Unknown комментирует...

Прошу прощения...
19 пункт убрать

добавить
21. Передача шифровальных (криптографических) средств.

Unknown комментирует...

Здравствуйте, подскажите пожалуйста как обстоит дело с данной ситуацией на сегодняшней день?

Алексей Лукацкий комментирует...

В каком смысле?

Unknown комментирует...

"Алексей Лукацкий комментирует...
Лицензия = аттестация помещения + обучение + оргмеры по работе с СКЗИ = головная боль. Это если вкратце"
Не могли бы вы расписать подробно для организации устанавливающей тахографы что нужно по части ЗИ сделать? Очень хотелось бы услышать от вас, так как судя по вашему послужному списку вы большой профессионал.