15.04.2014

А я опять про 8-й Центр ФСБ :-)

Вчера в Твиттере я опубликовал заметку такого содержания "Злорадно жду, когда 8-й Центр примет свой приказ по ПДн. Как же они поднасрут всем своим лицензиатам, работающим под Linux и не имеющим КА". Не все поняли ее смысла, поэтому решил чуть раскрыть ее суть.

Если мы посмотрим на 43-ю редакцию проекта приказа ФСБ по защите персональных данных, то там есть такой пассаж (п.14) "СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 – 13 настоящего документа и не менее одной из следующих дополнительных возможностей... возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования".

Кстати, советую обратить внимание на эти приписки. Если у ФСТЭК в 21-м приказе класс сертификации средства защиты зависит только от уровня защищенности и прописывается вполне внятная таблица соответствия, то у ФСБ надо читать документ внимательнее. Вместо привязки класса сертификации СКЗИ к уровню защищенности (что логичнее и понятнее обывателю), 8-й Центр пошел по своей дороге и решил класс сертификации СКЗИ привязать к возможностям нарушителя, о которых должен подумать оператор ПДн (так себе и представляю, как главврач сельской больницы в перерыве между операциями думаю о возможностях нарушителя СКЗИ).

Так вернемся к упомянутому выше пассажу. Если читать его внимательно, то можно поставить знак равенства между двумя фразами "наличие исходных кодов на операционную систему" и "обязательное применение СКЗИ класса КА". В предыдущем пункте проекта приказа ФСБ написано тоже самое, но применительно к исходным текстам прикладного ПО, использующего вызовы СКЗИ. В этом случае СКЗИ должны быть минимум класса КВ. Но это не так важно. Дело в том, что сегодня, в условиях местами мифической для большинства пользователей угрозы импортозамещения иностранного ПО на что-то свое, доморощенное, все чаще всплывает тема применения решений open source. Хотя фраза "все чаще" звучит малость глуповато - тема линуксовых поделок в России поднимается уже много лет и пока безрезультатно. Своих Фениксов, АстраЛинуксов, Янусов, МСВСов, РОСАЛинуксов, Виндуксов, Трастлинуксов и т.п. *никсов у нас родилось полно, но всех их отличает постройка на базе открытых исходников. Поэтому кто-то начинает задумываться о том, чтобы и вправду заменить проприетарные решения на open source, которые якобы безопаснее (это, кстати, не так). Или берут open source, добавляют туда что-нибудь свое и выдают за новый отечественный продукт. И вот тут-то и скрывается мина замедленного действия, которую всем нам готовит 8-й Центр ФСБ со своим приказом.

Если его примут, то любая СКЗИ, построенная на базе Linux, должна быть классом не ниже КА, чтобы ее можно было применять оператор ПДн даже для минимального, 4-го уровня защищенности. Любая! Т.е. сертифицировать-то такое СКЗИ можно и на КС1 и на КС3 и на КА, но по проекту приказа оператор ПДн обязан применять только КА и не ниже. При этом мнение разработчика тут мало кого будет волновать - нормативный документ требует КА. Использовать же отдельно СКЗИ для ПДн и отдельно для других видов конфиденциальной информации никто не будет - слишком накладно и неудобно. При этом, 8-й Центр за 6 лет активного вставления палок к колеса ФЗ-152 довел ситуацию до того, что все понимают, что ПДн - это наше все. Это 5 миллионов операторов ПДн по всей России. Никакая другая тема в ИБ не сравнится с ПДн по ее объему. Поэтому 8-й Центр и не отпускал ее ни на шаг от себя, пытаясь наложить лапу на столь лакомый для продвижения идеи национальной безопасности кусок. Добились своего - все всё поняли. Но теперь отыграть все назад и сказать, что можно применять не КА, а КС1 или КС2 будет нельзя. Неудобняк получится (хотя 8-му Центру не привыкать в таком положении находиться).

Вот и получится, что 8-й Центр своим приказом загонит всех потребителей на СКЗИ класса КА, а у нас их раз-два и обчелся (я статистику уже приводил). Посмотрите на самые распространенные VPN-решения в России - CSP VPN Gate от С-Терра, VipNet Coordinator от Инфотекса, Континент от Кода Безопасности, продукцию ЛИССИ и т.п. Они почти все построены на базе open source ОС - Linux, FreeBSD и т.п. И чтобы законно использовать такие VPN в качестве шлюза они должны быть сертифицированы на класс КА. А таковых почти нет. А те единицы, что есть, в управлении мягко скажем неудобны и без наличия большого количества выделенного персонала (а точнее выделенных шифрслужб) сеть даже из пары десятков VPN-шлюзов класса КА сама по себе летать не будет - ее придется поддерживать и поддерживать. В условиях нехватки специалистов на местах, я с трудом представляю, кто и как будет управлять такими VPN-сетями (про то, что по ним не работают современные мультимедийные и иные сетевые протоколы я скромно умолчу).  

Вот и получается, что 8-й Центр своим приказом подложит замечательную свинью своим разработчикам-лицензиатам, о которых 8-й Центр так печется. Разработчики тоже будут очень рады активизировать свои усилия по доработке своих продуктов под требования КА. Рынок труда администраторов VPN-шлюзов тоже вырастет, что не может не радовать наше Министерство труда и Минкомсвязи, которые так ратуют за рост численности ИТ-специалистов в России. А может в этом и состоит тайная задача 8-го Центра? Именно таким образом поднять с колен российскую ИБ-, а за ней и ИТ-индустрию! Есть и другая версия - 8-й Центр своим приказом хочет операторам ПДн сказать - делайте что хотите; нам наплевать на вас (хоть вас и 5 миллионов), на 140 миллионов субъектов ПДн, на рынок этой гражданской криптографии и защиту персональных данных. Мы напишем такой приказ, что пользоваться им будет невозможно и все забьют на защиту законных прав субъектов персональных данных. Зато мы, 8-й Центр сможем наконец-то сосредоточиться на высокой науке, на легковесной криптографии, на разработке новых алгоритмов шифрования и новых режимов работы старых алгоритмов! Ура! Все довольны!

ЗЫ. А тем временем, на сайте Российской общественной инициативы (РОИ) открыто голосование по интересной инициативе - "Передать полномочия по регулированию использования шифровальных (криптографических) средств защиты информации в Российской Федерации Федеральной службе по техническому и экспортному контролю (ФСТЭК России)". 

13 коммент.:

tomato комментирует...

Инициатива-то хорошая, но отсутствие в ней оговорки про гостану - это плохо. Завернут, ФСБ гостайну не отдаст.

Oleg Boyko комментирует...

Алексей, на месте лицензиатов я бы сказал: "Наш продукт настолько уникальный, и мы переработали код настолько сильно, что ничего общего с open source кодами в нём не осталось. И задокументировли это в конструкторской документации на ПО. А вам документацию не дадим, это ноу-хау."

pushkinist комментирует...

конечно, проблема какая-то надуманная. через документацию можно все решить.

Алексей Лукацкий комментирует...

Причем тут разработчики вообще? В приказе говорится о доступе к исходникам среды функционирования. А он у всех Linux. Обычный. Доступный в исходниках.

Сергей Борисов комментирует...

не к исходникам, а к конструкторской документации.

В модели нарушителя будем ещё учитывать средства атак и каналы атак.
+
Если linux не тивопой (Своих Фениксов, АстраЛинуксов, Янусов, МСВСов, РОСАЛинуксов, Виндуксов, Трастлинуксов) то сразу не отпадает так как исходники другие
+
Даже если линукс типовой всё равно можно аргументировать частным набором модулей, частными настройками, которые есть только в закрытой конструкторской (проектной ) документации

и всё будет ок






Алексей Лукацкий комментирует...

Сергей, ты читаешь проект приказа? Доступ к программным компонентам среды функционирования!

Сергей Борисов комментирует...

У меня этой 43-ей редакции нет.

Располагаю опубликованной ранее версией http://regulation.gov.ru/get.php?view_id=3&doc_id=17798

и приведенной тобой цитатой
"СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 – 13 настоящего документа и не менее одной из следующих дополнительных возможностей... возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования"

Алексей Лукацкий комментирует...

Так и смотри на абзац про программные компоненты :-)

Roman Sorokin комментирует...

Если linux не тивопой (Своих Фениксов, АстраЛинуксов, Янусов, МСВСов, РОСАЛинуксов, Виндуксов, Трастлинуксов) то сразу не отпадает так как исходники другие

Да... и на heartdleed патчить не надо, все свое, все родное.
Нарушители H6 с позором разбегаются. :-)

Oleg Boyko комментирует...

Алексей, как причем?
Да, среда функционирования - Linux.
Да, между конструкторской документации на программные компоненты среды функционирования и исходным кодом можно поставить равенство. Но.
Оператор, выбирая СКЗИ на базе Linux будет, конечно, сомневаться, что это же open source, все исходники доступны. Тогда на сцену выходить производитель НаташаЛинукс и говорит, что у него всё секурно и уникально, что даже ядро пересобрали полностью или ещё что-нибудь. Даже бумажку какую-нибудь подготовит. Тогда оператор спокойно исключает наличие этой возможности и нарушителя и обходится продуктами более низкого класса. Формальности соблюдены, и все довольны: оператор покупает, вендор продаёт.
Да, момент скользкий: проверяющему это всё надо будет доказать. Но, благодаря акцентированному вами моменту, вендоры задумаются о таких бумажках-подтверждениях.
Хотя реальной безопасности здесь нет, как не печально, только игры с формулировками.

pushkinist комментирует...

ну вендоры задумаются не благодаря акцентированному здесь моменту, а при подаче очередного своего скзи на сертификацию. акцентированный здесь момент это отнюдь не первое и не последнее "невыполнимое" требование хоть ведомственных доков фсб, хоть законодательства рф.

SK комментирует...

Занятно. Где мы, а где ФСБ, но IT директор порадуется :)

Алексей Лукацкий комментирует...

pushkinist: Если кто-нибудь из вендоров хотя бы донесет до регулятора потенциальный риск отказа от применения СКЗИ со стороны заказчиков, то уже будет неплохо. Хотя регулятор смотрит блог и думаю уже сам все прочитал :-)