Раз уж я вчера упомянул в Твиттере про новый законопроект Минфина "О цифровых финансовых активах", который посвящен регулирования криптовалют в России, то не могу не посвятить ему отдельную заметку. Я не буду погружаться в суть самого законопроекта (только упомяну, что никакой анонимности и возможности майнить обычным гражданам закон не предусматривает); хочу только коснуться одного момента, связанного с этим новым проектом НПА. Речь идет об основе основ - об определении цифрового финансового актива. Звучит оно так: "Цифровой финансовый актив - имущество в электронной форме, созданное с использованием шифровальных (криптографических) средств. Права собственности на данное имущество удостоверяются путем внесения цифровых записей в реестр цифровых транзакций. К цифровым финансовым активам относятся криптовалюта, токен. Цифровые финансовые активы не являются законным средством платежа на территории Российской Федерации" (выделение мое).
Я уж не знаю, целенаправленно или случайно была использована такая формулировка, но именно она ставит крест на всей идее замены биткойнов, которые с легкой руки Н.И.Касперской теперь считаются происками американских спецслужб. Ведь любая деятельность с шифровальными средствами у нас подпадает под жесткое регулирование со стороны ФСБ, а точнее 8-го Центра и ЦЛСЗ.
Согласно действующему законодательству (небезспорному):
Поживем увидим. Может быть в законопроект будут внесены поправки и правильные формулировки?..
 |
| Что в толпе делает баран/овца? |
Я уж не знаю, целенаправленно или случайно была использована такая формулировка, но именно она ставит крест на всей идее замены биткойнов, которые с легкой руки Н.И.Касперской теперь считаются происками американских спецслужб. Ведь любая деятельность с шифровальными средствами у нас подпадает под жесткое регулирование со стороны ФСБ, а точнее 8-го Центра и ЦЛСЗ.
Согласно действующему законодательству (небезспорному):
- создание шифровальных средств для создания русской криптовалюты возможно только при наличии лицензии ФСБ на разработку СКЗИ
- раздача средств создания русской криптовалюты возможно только при наличии лицензии ФСБ на распространение СКЗИ
- работа майнинговых ферм (и сдача их в аренду), а также криптобирж возможна только при наличии лицензии ФСБ на оказание услуг в области СКЗИ
- шифровальное средство для создания русской криптовалюты должно иметь сертификат ФСБ на СКЗИ
- по планам Цифровой экономики вся криптография в Национальной платежной системе и в Рунете должна быть отечественной. Кроме того, получение сертификата ФСБ на СКЗИ означает обязанность реализации отчественных криптографических алгоритмов, описанных в соответствующих ГОСТах.
- наличие сертификата ФСБ на средство создания русской криптовалюты означает сложности с его вывозом за пределы РФ, так как на вывоз СКЗИ надо получить не только экспертное решение ФСБ, но и экспортное разрешение ФСТЭК.
Поживем увидим. Может быть в законопроект будут внесены поправки и правильные формулировки?..
10 коммент.:
Это несколько однобоко, хотя и ясно почему! )))
В проекте закона использован термин шифровальное (криптографическое) средство, а не СКЗИ. Всё-таки термины средство криптографической защиты информации и шифровальное (криптографическое) средство в общем случае имеют несколько иную смысловую нагрузку, если говорить о том же ПКЗ 2005. Там СКЗИ — это криптографические средства, предназначенные для защиты информации конфиденциального характера. Это даёт надежду, что параллельно с законом (или значительно позже, если это кому-то окажется выгодным) могут быть внесены необходимые исключения в соответствующее Постановление Правительства.
Более того, вывод об обязательном наличии сертификата не очевиден. Есть масса криптографических средств, не попадающих под исключения ПП313, без сертификата ФСБ. Как-то ведь их разрабатывают и распространяют?
Вот возьмите, к примеру, браузеры — их сейчас делает и Яндекс, Mail.ru и кто только не делает. В них используются криптографические алгоритмы (прямо в коде, а не через API операционной системы) и ничего, никто не запрещает. И возят компьютеры с таким браузером через границу и ничего.
Даже без всякого закона эта область попадает под "колпак" ФСБ. Перефразируя поэта: Мы говорим "криптография", подразумеваем "ФСБ".
Примеров достаточно: ЭЦП, тахографы...
Zuz: немного не так :-)
1. Никого не волнует, что там написано в ПКЗ-2005 - это подзаконный акт. Важнее, что написано в ПП-313, а оно говорит о шифровальных средствах.
2. Изменять ПП-313 никто не будет.
3. Криптовалюты не попадают под исключения, указанные в законе.
4. Разработка браузеров без лицензии и сертификата ФСБ - это всего лишь недосмотр регулятора, который закрывает глаза на мелкие нарушения (число инсталляций отечественных браузеров - на уровне погрешности). Другие дело финансовые потоки. Банки вот что-то все получают лицензию ФСБ и своих СКЗИ не разрабатаывают - ибо знают, чем это может закончиться. Уголовные дела против них уже были.
Алексей я разделяю ваши опасения, но комментарий был о том, что может быть и по другому...
1. Это спорно, что значит не волнует? При проверках реализации лицензионных требований его используют, в судах тоже, при разработке СКЗИ и прочих моментах жизненного цикла тоже. Поэтому можно апеллировать к тому, что тут нет же явной защиты конфиденциальной информации.
Я с трудом представляю как будет вестись разработка СКЗИ являющихся компонентами пиринговой платёжной системы в текущих реалиях. Но меня больше в определении удивило, что криптовалюта может существовать вне экосистемы, где она является платёжным средством. Это же бессмысленно, а в рамках текущего определения криптовалюта отдельно, платёжные системы отдельно. :) И удивило слово "цифровых" вместо классического в нашем законодательстве "электронных". Введено понятие цифрового реестра, вместо использования понятия электронного документа.
2. А почему уверенность, что изменять ПП-313 не будут? Я понимаю, что это может быть выгодно некоторым игрокам, но в общем, если подумать и сделать правильно, может кто-то может обратить внимание людей проводящих экспертизу проекта, и сделать исключение или хотя бы упрощение порядка лицензирования для этого случая, то потенциальных, описанных вами в статье проблем формулировка закона в целом не доставит.
3. Сейчас безусловно да.
4. Есть множество таких проблем, браузеры только самое очевидное и никому до них нет дела, поэтому почему будет дело до криптовалют? Кстати российские браузеры достаточно распространены, тот же Яндекс.Браузер это порядка 20% на компьютерах и 15% от всего объёма устройств в рунете. Или считаете проблема в том, что нет закона, где браузеры были бы явно описаны как криптосредсва? Наверное, да, если бы было явно написано, что барузеры суть криптографические средства, была бы такая же статья и про них. )))
Zuz, вы как будто из другого мира :) где "пони к... радугой"
1. Интересная позиция, что в криптовалютах "шифровальное (криптографическое) средство" используется не для "криптографической защиты информации". А что же тогда обеспечивает конфиденциальность и целостность транзакций, святой дух?
2."...может быть... если .... может кто-то... сделать исключение или хотя бы..." )))
4. Вы реально не понимаете, почему регулятор почти не занимается криптографией в браузерах и очень плотно занимается этим в банках и банковских системах?
ЗЫ. Причем браузерами уже тоже занимаются, вполне уже сделана разработка встраивания по ГОСТовой криптографии браузеры яндекса, спутник. Мне кажется, уже недалеко то светлое будущее с обязательным использованием только ГОСТовой криптографии для доступа к порталу госуслуг и иже с ним.
Евгений, обожаю такие переходы на личности. Если есть что сказать по существу, с этого и нужно начинать. )
1. Вы играете словами и приписываете мне то, что я не говорил. Я говорил о защите именно конфиденциальной информации с использованием криптографических средств (то о чём говорит ПКЗ-2005 в части определения понятия СКЗИ). Вы же перевернули так, будто я говорил в целом о криптографической защите информации. Транзакции в реестре - это не "конфиденциальная информация" (она публично доступная и есть у всех). И более того, принято считать, что в указе президента 188 дан соответствующий перечень конфиденциальной информации, о которой говорит ПКЗ-2005, и там нет ничего похожего на блокчейн пиринговой платёжной системы (цифровой реестр транзакций).
С другой стороны, если бы вы проследили всю цепочку рассуждений, то поняли бы, что комментарии был о том, Алексей указал, на "ахтунг" в части искусственного зарегулирования технологии, а я высказал мысль, что могут быть введены исключения как и для других криптографических средств в ПП-313.
2. Вот пока вы будите иронично относиться к реальности и считать, что ничего в этом мире и системе изменить невозможно, то только смайлики и будут появляться. Повторюсь, суть моего комментария сводилась к тому, что Алексей показал только самый негативный сценарий. А он мог ещё подсказать сразу и решение проблемы допустим указав, что вот если бы в ПП-313 будет внесено исключение, то всё не так уж и плохо.
4. А вы понимаете? Просветите, с интересом выслушаю вашу точку зрения. Я же могу только догадываться. Для понимания всей картины в целом у меня недостаточно информации.
Интересно как занимаются банками, если за последние 5 лет подавляющее число банков перешло на шифрование информации на базе TLS с использованием не ГОСТ криптографии и не сертифицированных?
Интересно как банки обслуживают государственные и муниципальные предприятия, где применение сертифицированных СКЗИ является обязательным. А я вам скажу: выдали токен с ГОСТ на борту, а для работы шифрования (конфиденциальности) используется TLS из браузера и типа всё ок.
Помимо браузеров есть куча прикладных приложений и прочих компонентов, где применяются криптографические алгоритмы, что фактически делает их криптографическими средствами и для которых нет исключений в ПП-313 и тишина, годами тишина.
Браузерами занимается бизнес, т.к. это потенциальный госконтракт, т.к. есть распоряжение перевести все госуслуги на полноценный стек технологий, основанный на ГОСТ в части криптографической защиты информации и сделать его доступным каждому гражданину. Как это будет монетизировано не знаю. Но думаю, тому же Яндексу или Маил.ру будет важно, если каждый гражданин будет использовать их браузер.
Zuz:
1. НПА читают сверху вниз, а не наоборот. Поэтому гораздо важнее, что написано в ФЗ и ПП, а не приказе. Он важен для тех, кто уже лицензиат и занимается разработкой с последующей сертификацией.
2. Ну по ряду источников следует, что менять ПП-313 не будут. Я бы рад указать решения проблемы, но в этом вопросе экспертов по ИБ вообще мало кто слушает.
3. И не попадут в обозримом будущем. Практика показывает, что исключений больше не будет.
4. Яндекс.Браузер на 15% Интернета? Чур меня. Откуда такие цифры? Это, как мне кажется, цифра завышена на порядки.
Алексей:
1. Да никто не спорит же, всё так. Акцент был на том, что в проекте закона про шифровальные (криптографические) средства, а не про СКЗИ (хотя, конечно, это, вполне себе, равнозначные термины, в рамках ПП-313), что даёт потенциальную возможность для соответствующего исключения, без негативных эффектов (посмотрите как в ПП-313 построен раздел с исключениями, есть шифровальные (криптографические) средства, на которые требования ПП-313 не распространяются).
2-3. Жаль, подумалось, что у вас есть возможность донести позицию и обсудить с людьми, которые могут повлиять на ситуацию.
4. В среднем чуть ниже, порядка 10%, на десктопах выше честные 20%: https://roem.ru/03-07-2017/253747/yandex-brouser-vs-chrome/
И в каждом таком браузере есть куча криптографии. )))
1. В контексте ФСБ я всегда исхожу из worst case. Термины равнозначные и для исключений я не вижу оснований :-) Как минимум в части разработки и распространения
2. До ФСБ, увы, нет. Они не любят критику ни в какой форме и давно уже закуклились в себе
4. Использование браузеров может попасть под исключения (как и ОС). Но именно использование.
Отправить комментарий