28.12.15

О новых требованиях ФСБ к СКЗИ

Из нескольких источников довелось мне услышать о новых требованиях ФСБ к средствам криптографической защиты, выпущенных относительно недавно. Как обычно документы непубличные и в полном объеме их мало кто видел (как обычно - выписки из выписок). Сразу скажу, что я их тоже не видел и поэтому просто пересказываю появившиеся новации, о которых будут рассказывать на грядущей “РусКрипто”, и о которых стоит как минимум знать, входя вооруженным знанием в год гримасничающего животного.


Но для начала давайте вспомним, как СКЗИ сертифицировались раньше? Все было очень просто. Были самостоятельные средства криптографической защиты, были библиотеки, и были средства шифрования в конкретной среде функционирования, когда оценивался сразу целый комплекс факторов (нечто сродни аттестации). Большинство использовало либо криптопрошные библиотеки, встраивая их в свои решения, либо применяло уже готовые программные или программно-аппаратные средства шифрования.

Но в конце 2013-го года произошел некоторый сдвиг и в 8-м Центре решили поменять парвила игры, мотивируя это тем, что многие нарушают правила использования криптобиблиотек (++я про это писал++), не согласовывая их встраивание в свои продукты и продвига их при этом как вполне легальное средство защиты информации криптографическими методами. Поэтому 8-й Центр объявил о том, что он прекращает сертификацию криптобиблиотек. Сказано - сделано. Криптобиблиотеки больше не сертифицируются и больше нельзя встроив ее в какую-либо прикладную систему, считать решение соответствующим законодательству (там, где требуется именно оценка соответствия в форме обязательной сертификации).

И вот новый шаг, который делает 8-й Центр, видимо, под влиянием внешней геополитической ситуации, а также роста различных угроз. ФСБ будет теперь сертифицировать СКЗИ только в контексте среды функционирования. Вот хотите вы поставить криптошлюз на виртуальную платформу, будьте добры сертифицировать и ее тоже. Хотите вы в промышленный контроллер вставить плату шифрования, будьте добры подавать на сертификацию весь контроллер. По сути, речь идет о гораздо более сложной форме оценки корректности встраивания, которая раньше применялась к криптобиблиотекам, а сейчас сразу к целому продукту.

Это был краткий пересказ очередных изменений, вышедших из под пера 8-го Центра ФСБ. Можно было бы сказать, что речь идет о серьезном ужесточении процесса сертификации СКЗИ и еще большем сокращении и так небольшого числа сценариев, где возможно было применения сертифицированной криптографии. Но делается это, как очевидно, в интересах национальной безопасности и роста обороноспособности страны. Мы же не будем отрицать, что число террористов и экстремистов, да и просто недругов России, возрастает. Вот это асимметричный ответ на растущую угрозу.

Возможно я неправ и только сгущаю краски… Допускаю такой вариант. Все-таки документов, о которых идет речь, пока никто не видел и приходится довольствоваться слухами. Тем же, кого эта тема действительно интересует, я могу порекомендовать посетить РусКрипто 2016, на которой представители 8-го Центра планируют приоткрыть завесу тайны и рассказать, в каком же направлении будет двигаться перо (так и хочется добавить “гусиное”) одного из регуляторов рынка ИБ, роль которого нельзя недооценивать.

2 коммент.:

r1j1k комментирует...

Лучший анонс грядущей “РусКрипто” во всём Рунете, браво!

Алексей Лукацкий комментирует...

:-)