По просьбе организаторов, проводил я в четверг в рамках РусКрипто деловую игру "А что, если". Идея ее родилась после моего
поста в январе этого года и получила свое развитие именно на РусКрипто. Но чтобы не повторять то, что замечательно проводил Олег Кузьмин на прошлогоднем форуме директоров по ИБ, я выбрал в качестве темы следующие вопросы:
- 28 октября 2011 года прошло заседание Международного консультативного совета по созданию и развитию международного финансового центра в Российской Федерации. 9 декабря Президент Медведев подписал перечень поручений, согласно которому Правительству было предложено рассмотреть вопрос о целесообразности смягчения требований к вывозу отечественных шифровальных (криптографических) средств за рубеж и о признании международных стандартов в области защиты информации. А что если смягчат и признают?
- Когда Президентом стал Дмитрий Медведев, в структуре Правительства случайно не оказалось ФСТЭК. Потом она появилась, но слухи о том, что ФСТЭК будет расформирована, а ее функции в области защиты информации перейдут в ФСБ, циркулируют постоянно. А что если это действительно произойдет, и функции ФСТЭК перейдут в ФСБ?
- С 01.01.2010 Россия и Таможенный союз перешли на новые правила ввоза шифровальных средств, которые предусматривают контроль всего ввозимого оборудования. И раньше и теперь ввоз шифровальных средств затруднен. А что если импорт шифровальных средств будет закрыт полностью?
- 24 января 2011 года Президент Медведев подписал Указ №86 «О единой национальной системе аккредитации». Была создана Росаккредитация, которой поручено аккредитовывать все органы по сертификации, устанавливать единые правила, исключая тему ст.5 ФЗ «О техрегулировании», т.е. и тему ИБ. Потом появились слухи о создании единой системы сертификации в области ИБ, объединяющей требования ФСТЭК, ФСБ, МинОбороны и СВР на базе требований ФСБ. А что если такая система сертификации будет создана?
- 31 августа 2010 года был принят совместный приказ ФСБ и ФСТЭК № 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования". Данный приказ содержит требование обязательного использования антивирусов, межсетевых экранов и средств предотвращения вторжений, прошедших сертификацию в ФСБ. А что если такие требования будут применяться и для коммерческих организаций?
- В 2009 году Президенту Медведеву на стол лег проект Указа (на замену 334-го Указа), в которым был такой фрагмент: «Для защиты информации ограниченного доступа, охраняемой в соответствии с законодательством РФ, должны применяться средства информатизации, телекоммуникаций и средства защиты информации, соответствие которых требованиям безопасности информации подтверждено сертификатами ФСБ». А что если такой Указ будет принят?
В качестве экспертов, которым эти вопросы задавались (заранее они не знали об этом), были приглашены:
- Дмитрий Горелов, коммерческий директор "Актив"
- Алексей Домрачев, советник директора Департамента электронного правительства Минкомсвязи
- Юрий Маслов, коммерческий директор "КриптоПро"
- Владимир Скиба, первый заместитель директора ГНИВЦ ФТС России
- Алексей Смирнов, CISO Parallels
В итоге, полуторачасовая беседа свелась к обсуждению двух тем, объединивших все 6 вопросов: противостояние России и Запада на арене криптографии и зачем нужна ФСТЭК. Чем закончилось эта дискуссия? Тезисы следующие (авторов приводить не буду, т.к. не все из них, наверное, готовы будут подтвердить свои слова официально).
Либерализация экспорта российских СКЗИ на Запад запоздала. Нас (российские СКЗИ) там не ждут. Кто-то считает, что мы просто неконкурентоспособны. Кто-то считает, что нас боятся. Итог один - российская криптография, продвигаемая на Запад встречает серьезное сопротивление со стороны разных сторон. Это и ФСБ, которая не горит желанием разрешать вывоз отечественных инноваций на Запад. Это и западные страны, которые не разрешают ввоз наших СКЗИ к себе (даже если ФСБ разрешила вывоз). При этом даже если все запреты на вывоз снимут, никакого всплеска экспорта не будет и ситуация останется практически такой же, что и сейчас.
Второй тезис заключался в том, что полное открытие импорта иностранной криптографии в Россию приведет к тому, что российским вендорам настанут "кранты" (по словам одного из выступающих). "Кранты" приведут к тому, что у нас умрет коммерческая криптография. Это приведет к смерти отечественной криптографической школы. А это, в свою очередь, приведет к потере независимости и тому, что россияне перестанут гордиться своей страной. При этом прозвучал интересный тезис о том, что "плевать на потребителя" - национальная безопасность важнее, а потому западную криптографию давили и будут давить.
При этом мы плавно коснулись и темы США, которые имеют такое же законодательство, что и Россия, и почему мы возвущаемся тем, что Россия поступает также как и наш заокеанский враг. Коснулись и того, что разрешенная к вывозу зарубежная (в частности американская) криптография дырявая и может быть в любой момент взломана спецслужбами. Аналогичный вывод был сделан и в отношении российской криптографии, которую ФСБ разрешает вывозить за пределы Российской Федерации. Правда, эту тему развивать не стали. А то договорились бы еще, до черт знает чего. И так по грани ходили. Вывод ряда выступающих о том, что наша криптография нужна тем странам, которые не любят США, я не разделяю, т.к. нелюбовь к США не означает пламенной любви России. Какая разница, кто будет читать чужую переписку? Внешняя политика есть внешняя политика, не взирая на то, кто является противником - Россия или США.
К сожалению, каких-то серьезных рецептов решения озвученных проблем (отставание в развитии СКЗИ, отсутствие отечественных СКЗИ для ряда задач, длинный срок сертификации СКЗИ и т.д.) так и не прозвучало. По сути были высказаны разные точки зрения и есть надежда, что те, кому надо, услышат то, что им надо.
Второй блок вопрос касался ФСТЭК. Алексей Домрачев правильно поставил задачу, сказав, что неважно, будет ли после 7-го мая ФСТЭК или нет. Важнее другое - останутся ли ее функции или нет. Т.к. от сертификации, надзора, экспортного контроля и т.п. никуда не уйти, то отсутствие ФСТЭК в новой структуре Правительства никак не повлияет на рынок. Важнее, как функции ФСТЭК будут реализованы в новой структуре. Что касается экспортного контроля, то его уход в Минэкономразвития никак не изменит расклад сил - экспортный контроль раньше и так был в МЭР. А вот на вопрос ухода темы сертификации СЗИ от ФСТЭК в ФСБ позиции разделились. Кто-то считал, что станет легче, т.к. в условиях дублирований требований по МСЭ, антивирусам, IPS и т.п. вендорам проще будет иметь дело с одной ФСБ, чем с ФСБ и ФСТЭК одновременно. На мой взгляд, российским вендорам может и проще будет, но для западных это рынок России почти полностью закроет, что связано с разницой в требованиях ФСТЭК и ФСБ при оценке соответствия. Критика в сторону системы сертификации ФСТЭК была высказана в том плане, что слишком уж она коммерциализована и проблем получить любой сертификат сейчас нет. В отличие от системы сертификации ФСБ. Да и сами подходы в оценке соответствия разные - ФСТЭК проверяет наличие защитных свойств у продукта, а ФСБ его устойчивость к взлому. Правда, тут есть и другая озвученная проблема. Требования ФСТЭК абсолютно прозрачны и доступны всем, в то время как требования ФСБ засекречены и доступны немногим. Даже многие лицензиаты имеют не требования и даже не выписки из них, а выписки из выписок, что не делает процесс разработки средств защиты проще. Правда, "прозрачность" ФСТЭК в последнее время дает сбой. И на требования к СЗИ они стали вешать гриф (например, на новый
РД по IPS), и при сертификации стали требовать проверки отсутствия НДВ, что раньше было только для гостайны.
Будем надеяться, что оба регуляторы услушат существующую критику и пересмотрят свои подходы или, по крайней мере, дифференцируют свои требования в зависимости от потребителя оцениваемой продукции.
На этом мое участие в РусКрипто закончилось, о чем я жалею. Судя по комментариям в
Твиттере мероприятие более чем интересное по своим докладам. От себя добавлю, что и аудитория и выбранное место были на высоте. С каждым годом РусКрипто все больше отходит от имиджа этакого криптографического междусобойчика и старается освещать и смежные вопросы - угрозы, уязвимости, законодательство и т.д. Нынешняя РусКрипто пополнила список тех мероприятий, которые "must visit".
