25.07.2016

Об извещении ФСБ

Не хотел я комментировать извещение ФСБ, так как не вижу в нем ничего нового и интересного. Могу только снять шляпу перед его авторами за оперативность. Все-таки за 13 дней с момента поручения Президента выпустить документ для 8-го Центра - это сверхоперативно. Но так как вопросов по нему мне задавали много, решил написать эту заметку.

Данное извещение является ответом на третье поручение Президента, которое должно было ответить на вопрос, какие средства шифрования (кодирования) из закона Яровой подлежат обязательной сертификации? Правда, это поручение также обязывало ФСБ до 20 июля утвердить порядок сертификации средств кодирования, а также порядок передачи ключей шифрования в адрес ФСБ. Вот про ключи шифрования, хотя в самом законе про них ни слова, пока никакого извещения или разъяснения нет, что я и предполагал, когда писал про косяки закона Яровой.

И вот тут надо посмотреть на последний абзац ответа ФСБ, из которого вытекает, что сертификация средств, о которых пишет антитеррористический закон, не нужна. А раз она не нужна, то и порядок сертификации тоже не нужен. Получается, что из трех частей поручения на два ответ у нас есть. Про то, что сертификация не нужна я тоже писал раньше - все-таки перечень ситуаций, когда законодательство оговаривает обязательность сертификации средств защиты, известен и пока в нем отсутствуют мессенджеры и другие средства коммуникаций, на которых, по идее, Яровая с Озеровым (депутат и сенатор, чьи имена стояли под законопроектом) и нацеливали свой закон.

Обратите внимание на "пока", которое я упомянул. Потому что я вижу два сценария развития событий. Первый исходит из того, что авторы закона ничего не понимают в сфере регулирования своего "детища" (а зачем тогда было расширять ст.13.6 при наличии аналогичной ст.13.12?). Тогда ничего не произойдет и у нас просто будет еще одна неработающая статья, устанавливающая ответственность за нарушение несуществующего требования. В пользу этой версии говорит тот факт, что в извещении ФСБ 8-му Центру пришлось разъяснять очевидные вещи насчет закона о гостайне и уже существующей системы сертификации СКЗИ для гостайны. Второй сценарий конспирологичнее ;-) Он подразумевает, что в будущем (а я уверен, что депутат Яровая за свои заслуги точно перейдет из Думы №6 в следующий состав) появится закон, устанавливающий требования по сертификации мессенджеров или по рассмотрению мессенджеров в качестве средств шифрования (а это можно и сейчас сделать).

Таинственное ночное изменение текста извещения на мой взгляд ничего таинственного в себе не несет. Первый вариант отличается от второго только началом третьего абзаца. Вместо "Законодательством Российской Федерации" стало "Законом Российской Федерации "О государственной тайне". При и до и после текст остался неизменным. На мой взгляд авторы просто утрясли с юристами то, что и так было понятно. Обязательная сертификация установлена не только для гостайны, а еще, например, для государственных информационных систем, а также для ряда других ситуаций. Вдаваться в эти разъяснения в ФСБ, на мой взгляд, не посчитали нужным, так как сразу бы возник вопрос с персданными, с банковской тайной и т.п., на который они отвечать публично не готовы - только в частном порядке. Поэтому общее "законодательство" поменяли на конкретное упоминание закона о гостайне.

Самым главным в извещении ФСБ остается последний абзац, который говорит о том, что сертификация того, о чем говорит закон Яровой, не требуется. Однако в нем тоже есть одна загвоздка, а точнее слово "массово", которое вроде как нигде не описано и отсутствуют критерии "массовости". На самом деле, как мне кажется, термин "массово" имеет вполне четкую связь с Вассенаарскими соглашениями, в котором есть термин "mass market", то есть массовый рынок, поставки средств шифрования на который идут по облегченной схеме. В России этот термин не прижился - когда в 2009-м году ФСБ согласовывало новую процедуру ввоза средств шифрования в Россию, а позже и документы по ВТО, его исключили из списка и средства шифрования для массового рынка исчезли из списка исключений. Кстати, именно поэтому наши лицензиаты не могут выложить свои бесплатные криптопровайдеры в AppStore или Google Play (а во всем мире это означает причисление решения к mass market) и вынуждены раздавать их только со своих сайтов после регистрации - по другому регулятор не разрешает.

Резюмируя - ничего нового в извещении ФСБ нет - просто констатация известных фактов, которую 8-й Центр был вынужден опубликовать по причине наличия поручения Президента России.

3 коммент.:

Svyazist комментирует...

Приказ ФСБ России от 19.07.2016 N 432 "ОБ УТВЕРЖДЕНИИ ПОРЯДКА ПРЕДСТАВЛЕНИЯ ОРГАНИЗАТОРАМИ РАСПРОСТРАНЕНИЯ ИНФОРМАЦИИ В ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ "ИНТЕРНЕТ" В ФЕДЕРАЛЬНУЮ СЛУЖБУ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ ИНФОРМАЦИИ, НЕОБХОДИМОЙ ДЛЯ ДЕКОДИРОВАНИЯ ПРИНИМАЕМЫХ, ПЕРЕДАВАЕМЫХ, ДОСТАВЛЯЕМЫХ И (ИЛИ) ОБРАБАТЫВАЕМЫХ ЭЛЕКТРОННЫХ СООБЩЕНИЙ ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ "ИНТЕРНЕТ" представлен на государственную регистрацию в Минюст России.
http://www.consultant.ru/law/review/fed/ld2016-08-02.html

Алексей Лукацкий комментирует...

Да, ждем

Svyazist комментирует...

Дождались: Приказ Федеральной службы безопасности Российской Федерации от 19.07.2016 № 432 "Об утверждении Порядка представления организаторами распространения информации в информационно-телекоммуникационной сети "Интернет" в Федеральную службу безопасности Российской Федерации информации, необходимой для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет" (Зарегистрирован в Минюсте России 12.08.2016 № 43217)
http://publication.pravo.gov.ru/Document/View/0001201608120037