20.7.11

Новая утечка из WikiLeaks - грядет новый 334-й Указ?

Прислали мне вчера коллеги из Штатов любопытный документ и задали ряд вопросов по нему. Вопросы я опущу, а вот документ приведу полностью.

THE DECREE
OF THE PRESIDENT OF THE RUSSIAN FEDERATION

About perfection of measures on providing of information security of the Russian Federation decide:

1. To establish:

a. For all encryption (cryptographic) means on the Russian Federation territory presence of the certificate of conformity to information security requirements of Federal security bureau (FSB) of the Russian Federation or documentary acknowledgement by their manufacturer technical and cryptographic characteristics in the form established by Federal security bureau of the Russian Federation;

b. For security of the state information resources, confidential information (information of the limited access), protected according to the legislation of the Russian Federation, information, telecommunication and security systems must comply with security requirements confirmed by certificates of Federal security bureau of the Russian Federation or by the Federal service for technical and export control (FSTEC) in the their area of responsibility;

c. For specified under the subitem “b” item 1 of the present decree systems, networks and means application of the encryption (cryptographic) means having the certificate of compliance to information security requirements, established by Federal security bureau of the Russian Federation is mandatory;

d. The responsibility for compliance with requirements under subitems “b” and “c” item 1 of the present decree is born by heads of the organizations in whom is stored, processed and transferred the information protected according to the legislation of the Russian Federation.


2. Enable import to the Russian Federation and usage on the Russian Federation territory of encryption (cryptographic) means, which is not a subject to licensing, on the basis of documentary acknowledgement according to the subitem “a” item 1 of the present decree.

3. The government of the Russian Federation should develop and approve in three-monthly term the following:

- the order of import encryption (cryptographic) means on customs territory of the Russian Federation;
- the order of acknowledgement of technical and cryptographic characteristics of encryption (cryptographic) means;

4. The Federal security bureau of the Russian Federation, the Ministry of Internal Affairs of the Russian Federation, Federal tax service of the Russian Federation, and Federal customs service of the Russian Federation will carry out revealing infringements of requirements of the present decree.

5. To recognize become invalid:
- the decree of the President of the Russian Federation 3 of April 1995 #334 “About measures on observance of legality in the field of development, manufacture, realization and operation coded means, and also granting of services in the field of enciphering the information” (Assembly of the legislation of the Russian Federation, 1995, #15, item 1285; Assembly of the legislation of the Russian Federation, 2000, #31, item 3252);

- Item 7 of the appendix to the decree of the president of the Russian Federation 25th July 2000 #1358 “About modification in acts of the President of the Russian Federation” (Assembly of the legislation of the Russian Federation, 2000, #31, item 3252).

6. The present decree inures from the date of its official publication.

Фигасе, подумал я. Это же новый вариант пресловутого 334-го Указа, который закручивает гайки на рынке ИБ посильнее 19-й статьи законопроекта о внесении изменений в ФЗ-152.

На закономерный вопрос коллегам, откуда у них столь интересный документ, они ответили, что это из очередной порции откровений WikiLeaks. Скажу честно, я ни разу не смог найти в WikiLeaks что-то касающееся России (хотя и писал о таких примерах). Все потому, что сайт WikiLeaks постоянно загружен и получить к нему доступ проблематично. Поэтому проверить истинность данного документа я не могу. Но учитывая мой уровень доверия приславшим это письмо, и сложившуюся сейчас на российском рынке ИБ ситуацию, могу предположить, что документ очень сильно похож на реальный Указ Президента, переведенный на английский язык.

Наиболее интересны фразы "должны применяться", "является обязательным", "ответственность несут руководители организаций", "осуществлять выявление нарушений", "по установленной ФСБ форме"... А уж ФСБ в данном документе упоминается 4 раза в 6-ти пунктах.

Что-то в последнее время имя ФСБ у всех на устах и не сходит со страниц прессы. Ретроспектива событий достаточно интересна (только по событиям за последний год):
  • ФСБ не смогла запретить деятельность Visa и MasterCard в России.
  • ФСБ вынуждена разрешить ввоз продукции Intel в обход своих же требований (проигрыш).
  • ФСБ хочет запретить Skype (проигрыш).
  • ФСБ пытается навязатьтут) в УЭК свою криптографию (проигрыш).
  • ФСБ запрещает применение облачных сервисов в госорганах в некоторых регионах (засчитаю как проигрыш, т.к. многие по-прежнему используют).
  • ФСБ активно критикуют за нормативную базу по теме персональных данных.
 Что будет делать нормальный человек, когда его критикуют? Если критика обоснована (хотя тут важно толкование термина "обоснованность"), то критику примут к сведению и постараются исправиться. Что будет делать "силовик"? Уйдет в глухую оборону и попробует отомстить ;-) Что мы видим?
  • Бывший руководитель НТС ФСБ Николай Климашин (переведенный на службу в Совет Безопасности)  договаривается с американским правительством о сотрудничестве в области кибербезопасности.
  • ФСБ продавливает свой вариант законопроекта по персданным.
  • ФСБ накладывает лапу на разработку информационных и телекоммуникационных систем. 
  • А есть еще ряд не столь очевидных и не столь публичных вещей. Один из примеров вскользь упомянут тут.

ЗЫ. А ведь про все это я уже писал год назад.

8 коммент.:

Albert комментирует...

Как рефери в боксе, четко всех разогнали по углам. И все же: >ФСБ запрещает применение облачных сервисов в госорганах в некоторых регионах (засчитаю как проигрыш, т.к. многие по-прежнему используют). - а в каких госорганах уже применяют облачные вычисления?
>ФСБ активно критикуют за нормативную базу по теме персональных данных. - а ФСТЭК к этому отношение не имеет?

Алексей Лукацкий комментирует...

А в ссылке есть упоминания региона, где используется.

ФСТЭК руку к этому не прикладывал.

Alexey Volkov комментирует...

Мне кажется это фейк. Само название "мер информационной безопасности" на эту мысль наталкивает. Спецушники такой терминологией не оперируют. это Либо довольно старый документ. Когда он в ВЛ появился? Дата какая?

Алексей Лукацкий комментирует...

А фиг знает. Уточню. Даже если он старый, то важна не дата, а время проявления этого документа. Да и канцеляризмы никто не отменял ;-)

Alexey Volkov комментирует...

Гденить кроме здесь и ВЛ он проявился?

Алексей Лукацкий комментирует...

Не знаю, не искал. Это важно?

Alexey Volkov комментирует...

Хотя, в свете всего происходящего, картинка складывается. и приказ в нее очень вписывается: http://anvolkov.blogspot.com/2011/07/blog-post_3969.html

Ilya комментирует...

Авто перевод?