На сайте ФСБ РФ 18 июля было размещено Извещение «по вопросу использования сертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет»». Документ достаточно интересный. Но прежде чем его рассматривать нужно немного поговорить о текущей политике и возникших проблемах.
На данный момент перед госструктурами, муниципальными органами (а теперь согласно Директивам 4972п-П13 еще и перед компаниями с госучастием (их список есть в Распоряжении Правительства РФ от 23 января 2003 г. №91-р)) проставлена задача импортозамещения. Также Думой и правительством были выдвинуты задачи по повышению общей безопасности российского сегмента сети Интернет, защищенности сетей передачи данных и тд. В частности с правками закона Яровой Статья 13.6 (Использование несертифицированных средств связи или несертифицированных средств кодирования (шифрования) либо предоставление несертифицированных услуг связи) кодекса об административных правонарушениях выглядит так:
Не касаясь того, что требуется достаточно много времени на разработку требуемого ПО — процесс сертификации весьма долгий. Если для антивирусных средств он составляет не менее 6-8 месяцев, то не меньше он должен быть и для средств шифрования. И это не касаясь выпуска обновлений безопасности — данная процедура в реальности сейчас полностью отсутствует.
Получается, что импортозамещение требуется вчера, но нужно отложить для многих вещей эту задачу на годик, так как нужно все засертифицировать. Что делать?
Первый звонок появился в Поручении об обеспечении «комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования»:
В обоих пунктах слово «сертифицированных» или «прошедших процедуру оценки соответствия» отсутствовало!
И вот теперь о Извещении ФСБ РФ:
Ну а для тех, кто хочет проснуться — рекомендуется понять, что имелось в виду в первом абзаце в следующей фразе: «устанавливается административная ответственность за использование несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законом предусмотрена их обязательная сертификация.»
Апдейт. Очень интересный комментарий с примерами решений ФСБ по поводу использования СКЗИ. Рекомендую
Еще апдейт или тайные метаморфозы. 21го числа было обнаружено, что извещение таинственно изменилось.
Был абзац:
Стал абзац:
Таким образом в новой редакции сняты вопросы о противоречиях с приказами по защите персданных, закону Яровой, методическими рекомендациями и тд. Но некрасиво же…
Кстати говоря нас еще ждут интересные открытия, так каксогласно Перечня поручений утвержденных президентом:
Отметим тут нюанс — требуется предоставить информацию в случае дополнительного кодирования, но в отличие от закона Яровой не сказано, что эти средства были предоставлены оператором. Ну и опять же внимание направлено на контроль за темп, кто действительно пользуется некими сервисами
На данный момент перед госструктурами, муниципальными органами (а теперь согласно Директивам 4972п-П13 еще и перед компаниями с госучастием (их список есть в Распоряжении Правительства РФ от 23 января 2003 г. №91-р)) проставлена задача импортозамещения. Также Думой и правительством были выдвинуты задачи по повышению общей безопасности российского сегмента сети Интернет, защищенности сетей передачи данных и тд. В частности с правками закона Яровой Статья 13.6 (Использование несертифицированных средств связи или несертифицированных средств кодирования (шифрования) либо предоставление несертифицированных услуг связи) кодекса об административных правонарушениях выглядит так:
Использование на сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет» либо предоставление несертифицированных услуг связи, если законом предусмотрена их обязательная сертификация, — влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц — от трех тысяч до четырех тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц — от тридцати тысяч до сорока тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.
Не касаясь того, что требуется достаточно много времени на разработку требуемого ПО — процесс сертификации весьма долгий. Если для антивирусных средств он составляет не менее 6-8 месяцев, то не меньше он должен быть и для средств шифрования. И это не касаясь выпуска обновлений безопасности — данная процедура в реальности сейчас полностью отсутствует.
Получается, что импортозамещение требуется вчера, но нужно отложить для многих вещей эту задачу на годик, так как нужно все засертифицировать. Что делать?
Первый звонок появился в Поручении об обеспечении «комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования»:
1) предоставление безвозмездного доступа гражданам Российской Федерации к использованию российских средств шифрования для электронного взаимодействия с органами государственной власти и органами местного самоуправления;
2) законодательные меры с целью исключить применение оборудования, позволяющего третьим лицам вмешиваться в работу криптографических протоколов при передаче данных с использованием сети связи общего пользования, кроме случаев реализации органами, осуществляющими оперативно-разыскную деятельность, мероприятий по снятию информации с технических каналов связи в соответствии с требованиями законодательства Российской Федерации.
В обоих пунктах слово «сертифицированных» или «прошедших процедуру оценки соответствия» отсутствовало!
И вот теперь о Извещении ФСБ РФ:
Законом Российской Федерации «О государственной тайне» обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (ст. 28).
Порядок сертификации указанных средств и их перечень установлены приказом ФСБ России от 13 ноября 1999 г. № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия» (зарегистрирован в Минюсте России 27 декабря 1999 г. № 2028).
Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется.
Ну а для тех, кто хочет проснуться — рекомендуется понять, что имелось в виду в первом абзаце в следующей фразе: «устанавливается административная ответственность за использование несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законом предусмотрена их обязательная сертификация.»
Апдейт. Очень интересный комментарий с примерами решений ФСБ по поводу использования СКЗИ. Рекомендую
Еще апдейт или тайные метаморфозы. 21го числа было обнаружено, что извещение таинственно изменилось.
Был абзац:
Законодательством Российской Федерации обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (статья 28 Закона Российской Федерации «О государственной тайне»).
Стал абзац:
Законом Российской Федерации «О государственной тайне» обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (ст. 28).
Таким образом в новой редакции сняты вопросы о противоречиях с приказами по защите персданных, закону Яровой, методическими рекомендациями и тд. Но некрасиво же…
Кстати говоря нас еще ждут интересные открытия, так каксогласно Перечня поручений утвержденных президентом:
1. Правительству Российской Федерации с участием ФСБ России подготовить проекты необходимых нормативных правовых актов… обратив особое внимание на:
применение норм Федерального закона об ответственности за использование на сетях связи и (или) при передаче сообщений в информационно-телекоммуникационной сети Интернет несертифицированных средств кодирования (шифрования);
разработку и ведение уполномоченным органом в области обеспечения безопасности Российской Федерации реестра организаторов распространения информации в сети Интернет, предоставляющих по запросу уполномоченных ведомств информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений в случае их дополнительного кодирования;
применение норм Федерального закона о прекращении оказания услуг связи в случае неподтверждения соответствия персональных данных фактических пользователей услуг связи сведениям, указанным в абонентских договорах.
Срок – до 1 ноября 2016 года.
Ответственные: Медведев Д.А., Бортников А.В.
3. ФСБ России утвердить порядок сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, определив перечень средств, подлежащих сертификации, а также порядок передачи ключей шифрования в адрес уполномоченного органа в области обеспечения безопасности Российской Федерации.
Срок – 20 июля 2016 года.
Ответственный: Бортников А.В.
Отметим тут нюанс — требуется предоставить информацию в случае дополнительного кодирования, но в отличие от закона Яровой не сказано, что эти средства были предоставлены оператором. Ну и опять же внимание направлено на контроль за темп, кто действительно пользуется некими сервисами
Поделиться с друзьями
Комментарии (15)
SkyHunter
21.07.2016 12:48+3Ну то есть, смартфоны с Телеграмом конфисковывать не будут. И на том спасибо.
nikitastaf1996
21.07.2016 13:15Фу.И на этом спасибо.Теперь поясните по закону Яровой.Если б сделали как в США и то нормально.А вообще сам факт этого закона это звонок.
teecat
21.07.2016 13:23Было у меня желание по цитатам разобрать данный закон. Весьма отмечу завлекательное чтиво, скажем запрещающее теще агитировать в квартире. Там все очень интересно и чем все кончится — совершенно неясно.
nikitastaf1996
21.07.2016 13:52Вы видимо это на свой счет приняли.Это скорее риторический вопрос.
teecat
21.07.2016 14:06Я планирую статью по некоторым моментам анализа новостей. Там думаю все цитаты будут из этого закона.
Если четко смотреть именно на текст закона, то для пользователей сервиса там ничего не предполагается. Они могут пользоваться любыми средствами и оператор не обязан делиться ключами для дешифровки этих средств, если эти средства не предоставлены оператором
Организатор распространения информации в сети «Интернет» обязан при использовании для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет» дополнительного кодирования электронных сообщений и (или) при предоставлении пользователям сети «Интернет» возможности дополнительного кодирования электронных сообщений представлять в федеральный орган исполнительной власти в области обеспечения безопасности информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений
Тоесть оператор должен предоставлять если сам использует СКЗИ или предоставляет их в качестве услуги
Страшнее потенциально другое
Операторы связи обязаны предоставлять… информацию о пользователях услугами связи… и иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами
это очень сильно напоминает движение к обязательной идентификации при пользовании сервисами
navion
21.07.2016 20:14А можно TL;DR для ленивых?
Кто и в каких сдучаях теперь должен страдать оплачивая гешефт производителям сертифицированной криптографии?
VitaZheltyakov
У меня большие сомнения в скором исполнении данного закона.
Поручение о переходе на отечественные средства шифрования первый раз Путин давал еще в 2013 году. Тогда все закончилось тем, что абсолютное большинство госкомпаний сделало вид проделанной работы и ничего не поменяло. Причина такого отношения к поручению президента банальна — нет полноценного отечественно комплекса, который удолетворил все потребности
Kolyuchkin
На моей памяти Путин еще в 2003 году выпустил приказ об осуществлении информационного взаимодействия органов государственной власти посредством сетей общего пользования только с использованием сертифицированных СКЗИ с функциями межсетевого экранирования. И именно из-за этого в сертификатах ФСБ на УЦ компании «Крипто-Про» было примечание: «использовать без выхода в сети общего пользования». В результате чего отсутствовала возможность обновлять сертификаты открытых ключей через Интернет (вынуждены были использовать дискетки). Так что Вы правы насчет скорого исполнения обсуждаемого закона… что и огорчает и радует одновременно…
Ivan_83
Есть конторы которые производят сертифицированную крипту на разные применения.
Я как минимум одну знаю и припоминаю с трудом ещё одну (помимо криптопро), и это при том что меня сертификация вообще не интересует.
Вот в начале 200х, когда только тема началась действительно было всё уныло.
Kolyuchkin
Вот ссылка на документ с официального сайта ФСБ, в котором содержится актуальный перечень сертифицированных СЗИ — 176 страниц, впечатляет.
http://clsz.fsb.ru/files/download/svedenia_po_sertifikatam_(010716).doc
navion
Их дофига, внутри банков давно всё на сертифицированной криптографии.