Из нескольких источников довелось мне услышать о новых требованиях ФСБ к средствам криптографической защиты, выпущенных относительно недавно. Как обычно документы непубличные и в полном объеме их мало кто видел (как обычно - выписки из выписок). Сразу скажу, что я их тоже не видел и поэтому просто пересказываю появившиеся новации, о которых будут рассказывать на грядущей “РусКрипто”, и о которых стоит как минимум знать, входя вооруженным знанием в год гримасничающего животного.
Но для начала давайте вспомним, как СКЗИ сертифицировались раньше? Все было очень просто. Были самостоятельные средства криптографической защиты, были библиотеки, и были средства шифрования в конкретной среде функционирования, когда оценивался сразу целый комплекс факторов (нечто сродни аттестации). Большинство использовало либо криптопрошные библиотеки, встраивая их в свои решения, либо применяло уже готовые программные или программно-аппаратные средства шифрования.
Но в конце 2013-го года произошел некоторый сдвиг и в 8-м Центре решили поменять парвила игры, мотивируя это тем, что многие нарушают правила использования криптобиблиотек (++я про это писал++), не согласовывая их встраивание в свои продукты и продвига их при этом как вполне легальное средство защиты информации криптографическими методами. Поэтому 8-й Центр объявил о том, что он прекращает сертификацию криптобиблиотек. Сказано - сделано. Криптобиблиотеки больше не сертифицируются и больше нельзя встроив ее в какую-либо прикладную систему, считать решение соответствующим законодательству (там, где требуется именно оценка соответствия в форме обязательной сертификации).
И вот новый шаг, который делает 8-й Центр, видимо, под влиянием внешней геополитической ситуации, а также роста различных угроз. ФСБ будет теперь сертифицировать СКЗИ только в контексте среды функционирования. Вот хотите вы поставить криптошлюз на виртуальную платформу, будьте добры сертифицировать и ее тоже. Хотите вы в промышленный контроллер вставить плату шифрования, будьте добры подавать на сертификацию весь контроллер. По сути, речь идет о гораздо более сложной форме оценки корректности встраивания, которая раньше применялась к криптобиблиотекам, а сейчас сразу к целому продукту.
Это был краткий пересказ очередных изменений, вышедших из под пера 8-го Центра ФСБ. Можно было бы сказать, что речь идет о серьезном ужесточении процесса сертификации СКЗИ и еще большем сокращении и так небольшого числа сценариев, где возможно было применения сертифицированной криптографии. Но делается это, как очевидно, в интересах национальной безопасности и роста обороноспособности страны. Мы же не будем отрицать, что число террористов и экстремистов, да и просто недругов России, возрастает. Вот это асимметричный ответ на растущую угрозу.
Возможно я неправ и только сгущаю краски… Допускаю такой вариант. Все-таки документов, о которых идет речь, пока никто не видел и приходится довольствоваться слухами. Тем же, кого эта тема действительно интересует, я могу порекомендовать посетить РусКрипто 2016, на которой представители 8-го Центра планируют приоткрыть завесу тайны и рассказать, в каком же направлении будет двигаться перо (так и хочется добавить “гусиное”) одного из регуляторов рынка ИБ, роль которого нельзя недооценивать.
Но для начала давайте вспомним, как СКЗИ сертифицировались раньше? Все было очень просто. Были самостоятельные средства криптографической защиты, были библиотеки, и были средства шифрования в конкретной среде функционирования, когда оценивался сразу целый комплекс факторов (нечто сродни аттестации). Большинство использовало либо криптопрошные библиотеки, встраивая их в свои решения, либо применяло уже готовые программные или программно-аппаратные средства шифрования.
Но в конце 2013-го года произошел некоторый сдвиг и в 8-м Центре решили поменять парвила игры, мотивируя это тем, что многие нарушают правила использования криптобиблиотек (++я про это писал++), не согласовывая их встраивание в свои продукты и продвига их при этом как вполне легальное средство защиты информации криптографическими методами. Поэтому 8-й Центр объявил о том, что он прекращает сертификацию криптобиблиотек. Сказано - сделано. Криптобиблиотеки больше не сертифицируются и больше нельзя встроив ее в какую-либо прикладную систему, считать решение соответствующим законодательству (там, где требуется именно оценка соответствия в форме обязательной сертификации).
И вот новый шаг, который делает 8-й Центр, видимо, под влиянием внешней геополитической ситуации, а также роста различных угроз. ФСБ будет теперь сертифицировать СКЗИ только в контексте среды функционирования. Вот хотите вы поставить криптошлюз на виртуальную платформу, будьте добры сертифицировать и ее тоже. Хотите вы в промышленный контроллер вставить плату шифрования, будьте добры подавать на сертификацию весь контроллер. По сути, речь идет о гораздо более сложной форме оценки корректности встраивания, которая раньше применялась к криптобиблиотекам, а сейчас сразу к целому продукту.
Это был краткий пересказ очередных изменений, вышедших из под пера 8-го Центра ФСБ. Можно было бы сказать, что речь идет о серьезном ужесточении процесса сертификации СКЗИ и еще большем сокращении и так небольшого числа сценариев, где возможно было применения сертифицированной криптографии. Но делается это, как очевидно, в интересах национальной безопасности и роста обороноспособности страны. Мы же не будем отрицать, что число террористов и экстремистов, да и просто недругов России, возрастает. Вот это асимметричный ответ на растущую угрозу.
Возможно я неправ и только сгущаю краски… Допускаю такой вариант. Все-таки документов, о которых идет речь, пока никто не видел и приходится довольствоваться слухами. Тем же, кого эта тема действительно интересует, я могу порекомендовать посетить РусКрипто 2016, на которой представители 8-го Центра планируют приоткрыть завесу тайны и рассказать, в каком же направлении будет двигаться перо (так и хочется добавить “гусиное”) одного из регуляторов рынка ИБ, роль которого нельзя недооценивать.
Лучший анонс грядущей “РусКрипто” во всём Рунете, браво!
ОтветитьУдалить:-)
ОтветитьУдалить