19.07.2016

Миллионы граждан безвозмездно получат отечественные средства шифрования... и колпак от 8-го Центра

16 июля, в субботу, когда прогрессивное человечество отдыхало на своих дачных участках или общественных пляжах, наш Президент, работая в поте лица, выпустил очередное поручение "об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования". Правительству, а точнее лично премьер-министру, было поручено выполнить всего одну вещь - поэтапно перевести федеральные органы исполнительной власти, органы государственной власти субъектов Российской Федерации, государственные внебюджетные фонды, органы местного самоуправления на отечественную криптографию при взаимодействие между собой, с организациями и гражданами. При этом граждане должны получить средства шифрования бесплатно. Ни много ни мало.

В этой новости прекрасно все. И юридическая, и техническая продуманность. Согласно ФЗ-149, принятому уже много лет назад, госорганы и так должны использовать сертифицированные СКЗИ. А сертифицированные они могут быть только после реализации отечественных криптоалгоритмов. Согласно же ПКЗ-2005 (он же приказ ФСБ №66) взаимодействие организаций с госорганами должно осуществляться также с помощью отечественной криптографии. Поэтому достаточно странно видеть в поручении Президента то, что и так уже прописано на уровне федерального закона.

И зачем принимать отдельное поручение по этому вопросу? Закон не реализуется? Вот не скажу. Как раз госы почти всегда используют отечественные СКЗИ имени Инфотекса, С-Терры, Фактор-ТС, TSS и т.д. Случаи применения западной криптографии, конечно, бывают, но они не так уж и часты. Да и задействуется обычно встроенная функциональность в сетевое оборудование или МСЭ как резервная функция. Поэтому такое поручение выглядит очень странно. Хотя вспоминая про косяки закона Яровой...

Неохваченным было разве что взаимодействие граждан с госорганами. И вот тут авторы наступают на технические грабли, о которых на моей памяти сотрудникам 8-го Центра ФСБ говорили уже не раз и не два, а на протяжении многих и многих лет. Речь о применении российской криптографии для разных пользовательских платформ. На те же госуслуги я могу зайти с стационарного ПК под управлением Windows, а могу с ноутбука под управлением MacOS, а могу и с смартфона под управлением какого-нибудь Safari или специализированного приложения под Андроид. И если для Windows я могу загрузить бесплатный ViPNet CSP,  то что делать для других платформ? Еще есть вроде как TLS-клиент у Кода безопасности, плагин от Крипто-Про (для ФНС)

Безвозмездное предоставление средств шифрования - это классно. Но возникает закономерный вопрос, а кто их будет разрабатывать? А поддерживать? А отвечать на вопросы ничего не понимающих пользователей? Ведь не секрет, что пока любые отечественные СКЗИ далеки от того, чтобы быть прозрачными для обывателя. На портале госуслуг уже 17 миллионов пользователей (было в феврале). Кто из разработчиков обладает инфраструктурой поддержки такого количества пользователей? Даже если у 10% будут проблемы при установки или эксплуатации, то количество людей в поддержке должно быть велико. За чей счет, если продукт предоставляет безвозмездно?

А что делать, если для устройства пользователя не существует отечественного средства шифрования (а для той же платформы iOS это сделать очень непросто)? Отказать гражданину в предоставлении госуслуг? А что делать с вывозом средств шифрования за пределы РФ? Это ведь отдельное законодательство.

Кстати, обратите внимание, что в поручении нет ни слова про сертификацию используемых средств шифрования. Думаю, это сделано намеренно и специально для граждан, заставлять которых получать безвозмездно только сертифицированные средства шифрования было бы странно. Однако и без требования сертификации это поручение очень и очень непросто. Ведь по сути, каждая организация общается с госорганами. И каждый гражданин с ними общается. И получается, что их будут принуждать (гонения на криптографию продолжаются?..) использовать отечественные средства криптографической защиты. Не то, чтобы я против был их применения, просто их число и спектр применения далеки от идеала...

А если посмотреть на это поручение с точки зрения худшего сценария "а что если", то получится следующее. Сначала вводится требование применение отечественной криптографии при общении с госорганами. Потом вообще при любом общении (в поручении в этом контексте интересно второй пункт поручения про СОРМ). А потом, для острастки начнут применять новую статью КоАП 13.6 в части применения на сетях связи неразрешенных средств шифрования. И вуаля, профит. Все граждане и компании применяют только отечественные СКЗИ, прекрасно сдающие всю информацию в рамках СОРМ спецслужбам (а оно им надо?). И никаких у нас террористов и экстремистов. Вот заживем-то...


Будем ждать развития событий и того, что напишут в Правительстве.

11 коммент.:

Aleksei Goldbergs комментирует...

Лёш, если что КриптоПро CSP тоже можно использовать без лицензии, если не производится операций на закрытом ключе (читай «электронная подпись» во всех её проявлениях, включая двустороннюю аутентификацию). Т.е. одностороннюю аутентификацию и шифрование канала можно пользовать и без лицензии.
Ну и для iOS уже давно есть framework, на основе которого можно собрать веб-браузер с поддержкой ГОСТ (что уже благополучно делалось Digital Design и ГИС'ом). Так что не так страшно Prodigy как его танцуют ;)

Сергей Городилов комментирует...

Ну первым делом - отказаться от поэкземплярного учета и контроля экспорта. Американцы давно не боятся широкого распространения их средств. Вторым делом - заставить разработчиков ОС встроить ГОСТ в ОС. А техподдержку первой линии могут осуществлять те самые поставщики госуслуг - их итак немало. Я бы сказал - их достаточно. Я сторонник этого подхода. Я бы сказал: "Наконец-то!!!" Это как построить дороги, инфраструктуру. А разработчики сторонние пусть решениями занимаются. Если удастся что-то оптимизировать с режимом сертификации и завязанным исключительно на него спросом, то и за международной стандартизацией дело не встанет. За чем могут подтянуться и международные игроки рынка ИБ уже на рыночной основе.

Aleksei Goldbergs комментирует...

Ну и по поводу экспорта СКЗИ. Если «для себя», то можно ;)

Shchevelev Dmitry комментирует...

Браузер, поддерживающий TLS с ГОСТовой криптографией плюс доверенный список сертификатов аккредитованных УЦ в нем же, скоро будет.

http://www.kommersant.ru/doc/2997058

В этом случае все закономерно сходится :)

Aleksei Goldbergs комментирует...

«Не верю!» (c) К. С. Станиславский :)

Алексей Лукацкий комментирует...

Дмитрий, этот браузер на куче платформ не работает

МФЦ СИБ комментирует...

http://www.fsb.ru/fsb/science/single.htm!id=10437738@fsbResearchart.html
а что по поводу этого , а именно-
....Законом Российской Федерации «О государственной тайне» обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (ст. 28).

Порядок сертификации указанных средств и их перечень установлены приказом ФСБ России от 13 ноября 1999 г. № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия» (зарегистрирован в Минюсте России 27 декабря 1999 г. № 2028).

Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется.го

Алексей Лукацкий комментирует...

Отдельно про это напишу

Svyazist комментирует...

Редакция от 18.07.2016:
Пунктом 3 статьи 11 Федерального закона от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» (далее - Федеральный закон) установлена административная ответственность за использование несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законом предусмотрена их обязательная сертификация.

Законодательством Российской Федерации обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (статья 28 Закона Российской Федерации «О государственной тайне»).

Порядок сертификации указанных средств и их перечень установлены приказом ФСБ России от 13 ноября 1999 г. № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия».

Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется.


Редакция от 21.07.2016:
Статьёй 13.6 Кодекса Российской Федерации об административных правонарушениях в редакции Федерального закона от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» устанавливается административная ответственность за использование несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законом предусмотрена их обязательная сертификация.

Законом Российской Федерации «О государственной тайне» обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (ст. 28).

Порядок сертификации указанных средств и их перечень установлены приказом ФСБ России от 13 ноября 1999 г. № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия» (зарегистрирован в Минюсте России 27 декабря 1999 г. № 2028).

Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети «Интернет», на соответствие требованиям по безопасности информации не требуется.

Target комментирует...

Принятый Федеральный закон вносит изменения, в частности, в статью 13.6 Кодекса Российской Федерации об административных правонарушениях. Установлена административная ответственность за использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети "Интернет", если законодательством предусмотрена их обязательная сертификация (от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи либо без таковой).
В целях выполнения поручения Президента РФ ФСБ России разместило на официальном сайте Извещение, которое разъясняет положение Федерального закона № 374-ФЗ в части необходимости применения сертифицированных средств шифрования. Регулятор указал, что "Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется". Таким образом, регулятор указал, что любые сведения, не составляющие государственную тайну, могут защищаться при передаче в сети Интернет несертифицированными средствами криптографической защиты информации (СКЗИ), в том числе, персональные данные, тайна связи, коммерческая тайна и иные сведения, охраняемые законами РФ.
Вместе с тем пункт 3) части 2 статьи 19 Федерального закона от 27.07.2006 года № 152-ФЗ "О персональных данных", пункт 13 Постановления Правительства РФ от 01.11.2012 года № 1119, пункт 5 приказа ФСБ России от 10.07.2014 года № 378 устанавливают требование к операторам ПДн о необходимости использования для защиты персональных данных средств защиты информации прошедших в установленном порядке процедуру оценки соответствия. При этом приказ ФСБ России от 10.07.2014 года № 378 дополнительно устанавливает классы защиты СКЗИ, которые должны использоваться для соответствующих уровней защищенности ПДн. Класс защиты может быть присвоен СКЗИ только при прохождении обязательной сертификации этого средства по требованиям безопасности ФСБ России или наличия заключения ФСБ России. То есть подзаконный ведомственный акт ограничивает область действия положений Федерального закона и Постановления Правительства РФ только обязательной сертификацией средств защиты информации.
Таким образом, существует правовая коллизия, которая заключается в возможной противоположной по значению трактовке положений законодательства в части необходимости или отсутствия необходимости использования для защиты персональных данных при передаче их по каналам связи сети Интернет только сертифицированных по требованиям ФСБ России средств кодирования (шифрования).

Вопросы остаются: обязательно или нет негосударственные операторы ПДн должны использовать только сертифицированные СКЗИ для защиты ПДн при их передаче по каналам связи сети Интернет? Какие альтернативные формы подтверждения соответствия СКЗИ могут использовать негосударственные операторы ПДн в целях выполнения законодательства о ПДн?

Алексей Лукацкий комментирует...

Необязательно