Продолжу тему ликбеза по криптографии с точки зрения нормативного регулирования. Почти 4 года назад в рамках написания книги "Мифы и заблуждения информационной безопасности" я опубликовал миф №50 "В нашем шифраторе мы используем ГОСТ 28147-89 и поэтому чисты перед законом". Но до сих пор бытует мнение, что если взять и реализовать ГОСТ, то это решит все проблемы с легальностью применения шифровального средства. Ни фига! Важно учитывать, кто и где реализует этот ГОСТ по криптографии.
Вот почему, как вы думаете, западные разработчики средств защиты еще не сделали встроенную поддержку ГОСТа в своих продуктах? Это что сложно? Нет. Это требует офигенной квалификации? Нет. Алгоритм засекречен? Нет. Тогда почему? А зачем?! Что даст такая реализация? Она облегчит ввоз продукта? Нет! Она облегчит сертификацию? Нет. Она облегчит применение? Нет. Ведь ни в одном нормативном документе не сказано, что шифровальное средство должно реализовывать ГОСТ 28147-89. Говорится о сертифицированных и несертифицированных СКЗИ. А почему включение ГОСТа не облегчит сертификацию? А потому, что в соответствие с российским законодательством заниматься разработкой шифровальных средств у нас может только российская компания на территории Россиийской Федерации.
Но наличие российского юридического лица также не делает разработанную в России криптографию легитимной. Существует немало примеров, когда отечественный разработчик средств защиты реализует западные криптоалгоритмы. Или реализует ГОСТ, но не имеет лицензии ФСБ на разработку СКЗИ. Или имеет лицензию, но не имеет сертификата ФСБ на готовое изделие.
Чтобы разобраться в этих хитросплетениях я и начертил вот такой куб. Он позволяет быстро понять, что в России явно разрешено и хорошо описано только применение сертифированной криптографии на ГОСТе (а иначе ее не сертифицируют), разработанной российской компанией (а иначе ей не разрешат разрабатывать СКЗИ и в итоге его не сертифицируют).
Все остальное у нас находится не то, чтобы вне закона, просто приходится изыскивать юридические обоснования, почему применять можно не только сертифицированную криптографию. Или решать эти вопросы с 8-м Центром ФСБ "в частном порядке". Возьмем, к примеру, Положение Банка России 382-П. Там явного запрета на западную криптографию для защиты денежных переводов нет. И явного разрешения нет. Есть позиция юристов (например, позиция юристов НП НПС). Но это всегда риски. Одни юристы считают так, другие иначе. Примерно как с лицензированием деятельности в области шифрования или ТЗКИ. Большинство юристов считает, что типовой организации, не занимающейся защитой информации (в т.ч. и криптографической) как основным видом деятельности, лицензия не нужна. А вот ФСБ считает иначе. И прокуратура в отдельных случаях считает иначе. И по какому пути идти? Наименее затратному и более рискованному или менее рискованному, но более затратному? Универсального ответа не будет - каждый решает для себя. Аналогичная ситуация, кстати, и с оценкой соответствия средств защиты информации.
Собственно, в очередной раз хочу отметить, что я не против сертификации, как формы оценки соответствия, как таковой. Она важна и нужна, но... не так, как это сделано в России. ФСТЭК потихоньку начинает выруливать в правильном направлении, приводят свои систему сертификации в соответствие с реалиями жизни. И только 8-й Центр с ЦЛСЗ живут в прошлом веке ;-( 3 года назад я написал пост, кратко перечисляющий сценарии, когда сертифицированных СКЗИ нет. И что поменялось с того момента в позиции регулятора? Ничего. Все решается "в частном порядке". А вот технологии, в которых используется криптография, продвинулись вперед и некоторые даже дошли до России. Например, высокоскоростное шифрование. 3 года назад я писал про необходимость шифрования на скоростях в 40 Гбит/сек. А уже спустя два года (прошлым летом) Баранов Александр Павлович, работающий сейчас в ФНС, а до этого практически возглавлявший 8-й Центр ФСБ, заявил, что ФНС ищет решение на 100 Гбит/сек! А их нет ;-( А еще в России начинает активно развиваться направление M2M, для которого также отсутствует сертифицированная криптография. Если, конечно, не вспоминать ситуацию с тахографами ;-) А еще... Да таких "еще" может очень много.
Мне кажется давно пора признать, что регулятор в области шифрования (даже при Президенте с его прошлым) не справляется и уже не справится с сертификацией такого количества устройств и приложений, использующих шифрование. Давно пора четко разделить всю криптографию на гражданскую и стратегически важную для национальной безопасности и регулировать именно последнюю, как и делается во всем мире. Если уж так хочется держать руку на пульсе, то контролировать можно на уровне выдачи разрешений на ввоз (как изначально и задумывалось). И эти однократно выдаваемые разрешения надо приравнять к разрешению на применение и вывести из под лицензирования деятельности по ПП-313. И тогда уже сложившаяся практика примет юридически значимые очертания. И все наконец-то скажут, что регулятор действительно действует на принципах законности, уважения и соблюдения прав и свобод человека и гражданина, как это и записано в ст.5 ФЗ-40 от 3 апреля 1995 года "О федеральной службе безопасности"
ЗЫ. А еще мы на прошлой неделе замутили ролик про то, что современному миру не хватает современной криптографии ;-)
Вот почему, как вы думаете, западные разработчики средств защиты еще не сделали встроенную поддержку ГОСТа в своих продуктах? Это что сложно? Нет. Это требует офигенной квалификации? Нет. Алгоритм засекречен? Нет. Тогда почему? А зачем?! Что даст такая реализация? Она облегчит ввоз продукта? Нет! Она облегчит сертификацию? Нет. Она облегчит применение? Нет. Ведь ни в одном нормативном документе не сказано, что шифровальное средство должно реализовывать ГОСТ 28147-89. Говорится о сертифицированных и несертифицированных СКЗИ. А почему включение ГОСТа не облегчит сертификацию? А потому, что в соответствие с российским законодательством заниматься разработкой шифровальных средств у нас может только российская компания на территории Россиийской Федерации.
Но наличие российского юридического лица также не делает разработанную в России криптографию легитимной. Существует немало примеров, когда отечественный разработчик средств защиты реализует западные криптоалгоритмы. Или реализует ГОСТ, но не имеет лицензии ФСБ на разработку СКЗИ. Или имеет лицензию, но не имеет сертификата ФСБ на готовое изделие.
Чтобы разобраться в этих хитросплетениях я и начертил вот такой куб. Он позволяет быстро понять, что в России явно разрешено и хорошо описано только применение сертифированной криптографии на ГОСТе (а иначе ее не сертифицируют), разработанной российской компанией (а иначе ей не разрешат разрабатывать СКЗИ и в итоге его не сертифицируют).
Все остальное у нас находится не то, чтобы вне закона, просто приходится изыскивать юридические обоснования, почему применять можно не только сертифицированную криптографию. Или решать эти вопросы с 8-м Центром ФСБ "в частном порядке". Возьмем, к примеру, Положение Банка России 382-П. Там явного запрета на западную криптографию для защиты денежных переводов нет. И явного разрешения нет. Есть позиция юристов (например, позиция юристов НП НПС). Но это всегда риски. Одни юристы считают так, другие иначе. Примерно как с лицензированием деятельности в области шифрования или ТЗКИ. Большинство юристов считает, что типовой организации, не занимающейся защитой информации (в т.ч. и криптографической) как основным видом деятельности, лицензия не нужна. А вот ФСБ считает иначе. И прокуратура в отдельных случаях считает иначе. И по какому пути идти? Наименее затратному и более рискованному или менее рискованному, но более затратному? Универсального ответа не будет - каждый решает для себя. Аналогичная ситуация, кстати, и с оценкой соответствия средств защиты информации.
Собственно, в очередной раз хочу отметить, что я не против сертификации, как формы оценки соответствия, как таковой. Она важна и нужна, но... не так, как это сделано в России. ФСТЭК потихоньку начинает выруливать в правильном направлении, приводят свои систему сертификации в соответствие с реалиями жизни. И только 8-й Центр с ЦЛСЗ живут в прошлом веке ;-( 3 года назад я написал пост, кратко перечисляющий сценарии, когда сертифицированных СКЗИ нет. И что поменялось с того момента в позиции регулятора? Ничего. Все решается "в частном порядке". А вот технологии, в которых используется криптография, продвинулись вперед и некоторые даже дошли до России. Например, высокоскоростное шифрование. 3 года назад я писал про необходимость шифрования на скоростях в 40 Гбит/сек. А уже спустя два года (прошлым летом) Баранов Александр Павлович, работающий сейчас в ФНС, а до этого практически возглавлявший 8-й Центр ФСБ, заявил, что ФНС ищет решение на 100 Гбит/сек! А их нет ;-( А еще в России начинает активно развиваться направление M2M, для которого также отсутствует сертифицированная криптография. Если, конечно, не вспоминать ситуацию с тахографами ;-) А еще... Да таких "еще" может очень много.
Мне кажется давно пора признать, что регулятор в области шифрования (даже при Президенте с его прошлым) не справляется и уже не справится с сертификацией такого количества устройств и приложений, использующих шифрование. Давно пора четко разделить всю криптографию на гражданскую и стратегически важную для национальной безопасности и регулировать именно последнюю, как и делается во всем мире. Если уж так хочется держать руку на пульсе, то контролировать можно на уровне выдачи разрешений на ввоз (как изначально и задумывалось). И эти однократно выдаваемые разрешения надо приравнять к разрешению на применение и вывести из под лицензирования деятельности по ПП-313. И тогда уже сложившаяся практика примет юридически значимые очертания. И все наконец-то скажут, что регулятор действительно действует на принципах законности, уважения и соблюдения прав и свобод человека и гражданина, как это и записано в ст.5 ФЗ-40 от 3 апреля 1995 года "О федеральной службе безопасности"
ЗЫ. А еще мы на прошлой неделе замутили ролик про то, что современному миру не хватает современной криптографии ;-)
Согласен ! Даешь дифференцированный подход к гражданской и государственной (ведомственной) криптографии !
ОтветитьУдалить