10.06.2013

4 ветви регулирования криптографии в России

Про регулирование криптографии я уже писал неоднократно. И специализированные семинары проводились тоже неоднократно. И в рамках других выступлений и курсов я про это тоже говорил неоднократно. А вопросы всплывают постоянно. Долгие годы. И все без официального ответа. Складывается такое впечатление, что 8-му Центру ФСБ и ЦЛСЗ выгодна такая ситуация и они делают все, чтобы у потребителей и дальше была полная сумятица в голове относительно того, что можно, а что нельзя в области криптографии. ФСТЭК по сравнению с ними - овечка. Попробую еще раз сформулировать ключевые положения законодательства по криптографии.

Начну с того, что существует 4 разных ветви регулироания криптографии. ЧЕТЫРЕ! Ввоз СКЗИ на территорию России, их применение, деятельность с использованием СКЗИ и их вывоз за пределы РФ. Любая организация, которая хочет защищать какую-либо информацию с помощью шифровальных средств попадает под эти ветви законодательства. Может быть не под все сразу, но под две минимум (применение и деятельность), а при наличии трансграничного обмена еще и под оставшиеся две.



И касаются эти ветви регулирования не только западной криптографии, но и отечественной; сертифицированной и несертифицированной; применяемой в госорганах и на коммерческих предприятиях; на ГОСТе и без него.

Допустим, вы хотите вы хотите применить VPN-модуль Cisco + С-Терра. Ввозить его не надо, т.к. продукт разработан в России, - эта ветвь регулирования минует вас. Вопрос с его применением тоже решается без проблем, т.к. модуль имеет сертификат ФСБ. Но вот дальше возникает вопрос. А для чего я буду применять этот модуль? Какие виды работ мне понадобится оказывать с его помощью? Не являются ли данные виды работ лицензируемыми? А есть ли у меня лицензия ФСБ, выданная в соответствие с ПП-313, на указанные виды работ? Т.е. я и мог бы применять модуль NME-RVPN (как продукт), но как у организации у меня может и не быть такого права. Например, по причине отсутствия у вас специалистов с подтвержденной квалификацией. Для ФСБ это является основанием для отказа в выдаче лицензии. А деятельность без лицензии по мнению регулятора - это уголовное преступление, наказуемое по статье 171 УК РФ (и такие прецеденты есть).

Теперь возьмем к примеру маршрутизатор Cisco ISR 881 с функцией VPN. Продукт не имеет сертификата ФСБ и изготовляется за пределами России. Но при этом часто используется для защиты различных платежных терминалов и банкоматов. Что нам говорит законодательство по этому поводу? Можно ли его применять? Да. В том же 382-П Банка России ограничений для этого нет. А можно ли его ввезти на территорию РФ? Да, по облегченной схеме, т.к. на данный продукт (с кодом PCI в part number) выдана нотификация (что такое нотификация смотрите тут). Но вопросы с лицензированием деятельности остаются.

Теперь возьмем какой-нибудь западный VPN-продукт, на который устанавливается сертифицированная криптография в России. Напомню, что если просто так взять и поставить что-то сертифицированное, это еще не делает получившийся продукт легальным в России. Но допустим вопрос с установкой на западный VPN решен и мы можем применять получившийся симбиоз в России для каких-то криптографических задач. И допустим у нас даже есть лицензия ФСБ. Но вопрос с ввозом остался. Но как же? Мы же не используем иностранную криптографию и навешиваем отечественную. Но иностранная-то криптография в ввозимом продукте же осталась - ее никто не убирал, а следовательно ввозимый продукт по-прежнему попадает под регулирование ввоза шифровальных средств. И тут надо либо исключать из продукта шифрование вовсе (например, Cisco даже специально сделала специальную версию IOS-NPE для данной задачи), либо пытаться попасть под исключения, благодаря которым можно попробовать получить нотификацию (т.е. право на облегченную процедуру ввоза) на ввозимое шифровальное средство.

Теперь рассмотрим какой-нибудь планшетник или смартфон с встроенной криптографией. И ввоз их осуществляется по нотификации, т.е. по упрощенной процедуре. И лицензия ФСБ на их использование не нужно, т.к. они попадают в исключения. Но вот применять нельзя, т.к. есть ограничения, установленные другой ветвью регулирования. Если говорить о госорганах, то им запрещено применять несертифицированные СКЗИ (а для большинства современных мобильных устройств сертифицированной криптографии нет). А если говорить о негосударственных потребителях, то если на их мобильных устройствах встречаются персданные, то защищать их можно также только при помощи сертифицированной криптографии.

Пойдем дальше. Допустим продукт ввезли (или произвели в России). Допустим мы можем его применить для поставленной задачи (например, для шифрования персональных данных). Допустим у нас есть лицензия ФСБ. А теперь мы хотим организовать защищенный трансграничный обмен со своими контрагентами или филиалами, находящимися за границей. И хотим это сделать непременно на отечественной сертифицированной криптографии. И вот тут вступает в игру 4-я ветвь регулирования криптографии - о вывозе (экспорте) шифровальных средств. При этом она разбивается на 2 составляющие. Вы должны получить право на экспорт из России и право на импорт в ту страну, в которой вы хотите использовать нашу криптографию. И если с разрешением на экспорт еще как-то можно разобраться (хотя это и не так просто), то получение разрешения на ввоз СКЗИ в другое государство останавливает многие благие начинания (и уж тем более ставит крест на идее России о мировом господстве в области криптографии). При этом сама же ФСБ и ставит палки в колеса, посчитав смягчение процедуры вывоза СКЗИ нецелесообразной.

Что в сухом остатке. А все просто. Вы можете применять, но можете не иметь возможности ввезти. Вы можете ввезти, но можете не иметь возможности применить. Вы можете и ввезти и применить, но не можете вообще заниматься деятельностью, связанной с криптографией. И таких комбинаций из 4-х элементов получается много. И никто и нигде не разъясняет этих хитросплетений российского законодательства ;-( Через наши семинары по этой тематике прошло, уже наверное, около трех-четырех тысяч человек. А вопросы все задают и задают. У основного же регулятора по этой теме ответ один - "Будем решать все в частном порядке" ;-(

Мне кажется, что даже некоторые регуляторы (как в нашей области, так и за ее пределами) не до конца понимают всей картины регулирования криптографии. Отсюда и все последующие проблемы. Бывает напишут "используйте", а про то, что это нельзя ввезти не говорят (а может и не знают). Традиционная закрытость ФСБ начинает играть против них...

Чтобы стоило бы сделать на мой взгляд?
  1. Уменьшить число видов работ, требующих лицензирования, и сделать оставшийся перечень более конкретным и прозрачным.
  2. Разработать и узаконить процедуру "ввоза" средств шифрования путем скачивания через Интернет.
  3. Совместить процедуры получения разрешения на ввоз с получением разрешения на применение СКЗИ (из одного должно автоматически вытекать второе).
  4. Уменьшить число случаев, когда решение о том, какие СКЗИ можно использовать для защиты информации, обладателем которой является не государство, принимает ФСБ, а не сам обладатель.
  5. Облегчить процедуру вывоза СКЗИ и сделать ее более прозрачной.

8 коммент.:

brandnewname комментирует...

Алексей, не могли бы Вы рассказать из чего следует логический вывод "если говорить о негосударственных потребителях, то если на их мобильных устройствах встречаются персданные, то защищать их можно также только при помощи сертифицированной криптографии". Заранее спасибо

ZZubra комментирует...

5 ветвь. Разработка СКЗИ. Часто слышу "а вот мы для андроида/айфона шифровалку замутили на российском ГОСТе".

Алексей Лукацкий комментирует...

Brandnewname: это вытекает из имеющихся и разрабатываемых документов по ПДн, в которых ПДн защищать можно только с помощью сертифицированных СКЗИ

Алексей Т. комментирует...

Вот это новость!)))

Алексей Т. комментирует...

Вот это новость!)))

tomato комментирует...

Действительно новость...
Каким же действующим документом вводится требование по защите ПДн криптографией?

Алексей Лукацкий комментирует...

Как минимум двумя нелегитимными методичками ФСБ ;-) Которые как бы действуют и как бы нелегитимны, но их никто не опротестовал ;-)

mike комментирует...

4 ветви регулирования криптографии в России

Про разработку забыл написать. А там тоже немало интересного, расходящегося с например методичками....

Видимо надо писать пять ветвей :)

"Допустим, вы хотите вы хотите применить VPN-модуль Cisco + С-Терра. Ввозить его не надо, т.к. продукт разработан в России" - разработан или производится ? когда начинали сертификацию никаких разработок в России модуля не было.
Не вводи народ в заблуждение.

"Вопрос с его применением тоже решается без проблем, т.к. модуль имеет сертификат ФСБ." - опять вранье - Модуль не имеет сертификата - можно пройти по приведенной тобой ссылке и убедиться в этом. Сертификат на с-терру CSP.... Модуль, это СФК...
ТАкой же как и сервер HP для стерры 7000 например ....

"Т.е. я и мог бы применять модуль NME-RVPN (как продукт), но как у организации у меня может и не быть такого права" - не надо путать применение для себя ( лицензия не нужна) и установку для кого то ( на это нужна лицензия).