Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.

1. Сложности
регулирования
криптографии в России
Алексей Лукацкий,
бизнес-консультант по безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 1

2. Смена ожиданий бизнеса в отношении
информационной безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 2/42

3. Социальные
Аутсорсинг Виртуализация Облака Мобильность Web 2.0
сети
© 2011 Cisco and/or its affiliates. All rights reserved. 3/42

4. БИЗНЕС И ИТ ТРЕБОВАНИЯ
ПРИОРИТЕТЫ РЕГУЛЯТОРОВ
Совместная работа Легальный ввоз
Легальное
Облака и аутсорсинг
использование
Легальное
Холдинги
распространение
© 2011 Cisco and/or its affiliates. All rights reserved. 4/42

5. • Первые публичные нормативные по
криптографии относятся к 1995 г.
• Основная предпосылка при
создании НПА – всецелый контроль
СКЗИ на всех этапах их жизненного
цикла
• В качестве базы при создании НПА
взят подход по защите
государственной тайны
• ФСБ продолжает придерживаться
этой позиции и спустя 15 лет,
несмотря на рост числа ее
противников
© 2011 Cisco and/or its affiliates. All rights reserved. 5/42

6. Ввоз шифровальных средств
на территорию Российской
Федерации
Лицензирование
деятельности, связанной с
шифрованием
Использование
сертифицированных
шифровальных средств
© 2011 Cisco and/or its affiliates. All rights reserved. 6/42

7. 1 Нечеткость
терминологии
4 Непонимание модели угроз
современного бизнеса
3 Различные этапы
жизненного цикла
– различные
Унаследованные требования 5 Отсутствие четкой позиции
2 правила регулятора
© 2011 Cisco and/or its affiliates. All rights reserved. 7/42

8. © 2011 Cisco and/or its affiliates. All rights reserved. 8

9. • Средства шифрования в любом исполнении
• Средства имитозащиты в любом исполнении
• Средства ЭЦП в любом исполнении
Но не средства ЭП
• Средства кодирования
• Средства изготовления ключевых документов
• Ключевые документы
• но это не все
© 2011 Cisco and/or its affiliates. All rights reserved. 9/42

10. • Системы, оборудование и компоненты, разработанные или
модифицированные для выполнения криптоаналитических
функций
• Системы, оборудование и компоненты, разработанные или
модифицированные для применения криптографических
методов генерации расширяющегося кода для систем с
расширяющимся спектром, включая скачкообразную
перестройку кодов для систем со скачкообразной
перестройкой частоты
• Системы, оборудование и компоненты, разработанные или
модифицированные для применения криптографических
методов формирования каналов или засекречивающих
кодов для модулированных по времени
сверхширокополосных систем
• Криптография ≠ методы сжатия или кодирования
© 2011 Cisco and/or its affiliates. All rights reserved. 10/42

11. • Новый закон «О лицензировании отдельных видов
деятельности» заставил получать лицензии ФСБ на
разработку, производство, распространение и техническое
обслуживание
Информационных систем, защищенных с использование шифровальных
средств
Телекоммуникационных систем, защищенных с использование
шифровальных средств
• Информационная система – совокупность содержащейся в
БД информации и обеспечивающих ее обработку ИТ и
технических средств
© 2011 Cisco and/or its affiliates. All rights reserved. 11/42

12. • Необходимость применения
шифровальных (криптографических) Законы
средств, как правило, проявляется в
случаях, когда безопасность
хранения и обработки информации
не может быть гарантированно
обеспечена другими средствами Конфиденциальность
В число таких случаев входит,
например, случай передачи
персональных данных по сетям общего
≠
пользования, в которых принципиально Шифрование
невозможно исключить доступ
нарушителя к передаваемой
информации
НПА регуляторов
© 2011 Cisco and/or its affiliates. All rights reserved. 12/42

13. • Получить согласие субъекта на передачу в открытом виде
Так делает Роскомнадзор у себя на сайте
• Обеспечить контролируемую зону
• Использовать оптические каналы связи
И правильную модель угроз
• Переложить задачу обеспечения конфиденциальности на
оператора связи
По договоре
• Использовать шифровальные средства
© 2011 Cisco and/or its affiliates. All rights reserved. 13/42

14. • Подписан 3 апреля 1995 года (изменен 25 июля 2000 года)
• Запрещено использование госорганами шифровальных
средств без сертификата ФСБ
• Запрещено госорганам размещать госзаказ на предприятиях,
использующих шифровальные средства без сертификата
• Применять меры к банкам, не применяющим
сертифицированные шифровальные средства при общении с
Банком России
• Запретить деятельность юрлиц и физлиц, связанную с
…эксплуатацией шифровальных средств без лицензии ФСБ
• Запретить ввоз шифровальных средств без лицензии
Минпромторга и разрешения ФСБ
• Наказывать виновных по всей строгости закона
© 2011 Cisco and/or its affiliates. All rights reserved. 14/42

15. • Часть его норм продолжает действовать
Например, требования по ввозу шифровальных средств и использованию
госорганов только сертифицированных шифровальных средств
• Часть статей фактически отменены новыми нормативно-
правовыми актами
Законом «О лицензировании отдельных видов деятельности»
Законом «О техническом регулировании»
Гражданским Кодексом
• В явном виде Указ 334 до сих пор не отменен
Несмотря на циркулирующие слухи
© 2011 Cisco and/or its affiliates. All rights reserved. 15/42

16. • Все этапы жизненного цикла шифровального средства
Ввоз Оказание услуг Эксплуатация
Разработка ТО Вывоз
Контроль и
Производство Распространение
надзор
Оценка
Реализация
соответствия
© 2011 Cisco and/or its affiliates. All rights reserved. 16/42

17. © 2011 Cisco and/or its affiliates. All rights reserved. 17

18. • Положение о порядке ввоза на таможенную территорию
таможенного союза и вывоза с таможенной территории
таможенного союза шифровальных (криптографических)
средств
• Шифровальные (криптографические) средства, ввоз которых
на таможенную территорию таможенного союза и вывоз с
таможенной территории таможенного союза ограничен
• Если у средства функция шифрования не используется или
неосновная, то средство все равно считается шифровальным
© 2011 Cisco and/or its affiliates. All rights reserved. 18/42

19. • Принтеры, копиры и факсы
• Кассовые аппараты
• Карманные компьютеры
• Карманные машины для записи, воспроизведения и
визуального представления
• Вычислительные машины и их комплектующие
• Абонентские устройства связи
• Базовые станции
• Телекоммуникационное оборудование
• Программное обеспечение
© 2011 Cisco and/or its affiliates. All rights reserved. 19/42

20. • Аппаратура для радио- и телевещания и приема
• Радионавигационные приемники, устройства дистанционного
управления
• Аппаратура доступа в Интернет
• Схемы электронные, интегральные, запоминающие
устройства
• Прочее
© 2011 Cisco and/or its affiliates. All rights reserved. 20/42

21. Упрощенная схема По лицензии
• Ввоз по • Разрешение ФСБ
нотификации • Ввоз по лицензии
Минпромторга
• Проверка легитимности ввоза по нотификации
http://www.tsouz.ru/db/entr/notif/Pages/default.aspx
• Проверка легитимности ввоза по лицензии
Копия разрешения ФСБ
© 2011 Cisco and/or its affiliates. All rights reserved. 21/42

22. • Товары, содержащие шифровальные (криптографические)
средства, имеющие любую из следующих составляющих:
симметричный криптографический алгоритм, использующий
криптографический ключ длиной, не превышающей 56 бит; или
асимметричный криптографический алгоритм, основанный на любом из
следующих методов:
на разложении на множители целых чисел, размер которых не
превышает 512 бит;
на вычислении дискретных логарифмов в мультипликативной группе
конечного поля размера, не превышающего 512 бит; или
o на дискретном логарифме в группе, отличного от поименованного в
вышеприведенном подпункте “б” размера, не превышающего 112 бит
• Товары, у которых криптографическая функция
заблокирована производителем
© 2011 Cisco and/or its affiliates. All rights reserved. 22/42

23. • Шифровальные (криптографические) средства, являющиеся
компонентами программных операционных систем,
криптографические возможности которых не могут быть
изменены пользователями, которые разработаны для
установки пользователем самостоятельно без дальнейшей
существенной поддержки поставщиком и техническая
документация (описание алгоритмов криптографических
преобразований, протоколы взаимодействия, описание
интерфейсов и т.д.) на которые является доступной
• Шифровальное (криптографическое) оборудование,
специально разработанное и ограниченное применением для
банковских или финансовых операций
• Средства аутентификации и ЭЦП
© 2011 Cisco and/or its affiliates. All rights reserved. 23/42

24. • Беспроводное радиоэлектронное оборудование,
осуществляющее шифрование информации только в
радиоканале с максимальной дальностью беспроводного
действия без усиления и ретрансляции менее 400 м в
соответствии с техническими условиями производителя
• Шифровальные (криптографические) средства, используемые
для защиты технологических каналов информационно-
телекоммуникационных систем и сетей связи
• Портативные или мобильные радиоэлектронные средства
гражданского применения без сквозного шифрования
• Персональные смарт-карты
• Приемная аппаратура для радиовещания, коммерческого
телевидения и вещания на ограниченную аудиторию
• Средства защиты от копирования
© 2011 Cisco and/or its affiliates. All rights reserved. 24/42

25. © 2011 Cisco and/or its affiliates. All rights reserved. 25

26. • Лицензия ФСБ на деятельность в области шифрования
Предоставление услуг в области шифрования информации
Деятельность по техническому обслуживанию шифровальных средств
Деятельность по распространению шифровальных средств
Деятельность по разработке, производству шифровальных средств,
защищенных использованием шифровальных (криптографических)
средств информационных и телекоммуникационных систем
• 4 мая 2011 года принята новая редакция закона «О
лицензировании отдельных видов деятельности» (99-ФЗ)
Единая лицензия на разработку, производство, распространение,
выполнение работ, оказание услуг и техническое обслуживание
шифровальных средств, информационных и телекоммуникационных
систем, защищенных с помощью шифровальных средств
© 2011 Cisco and/or its affiliates. All rights reserved. 26/42

27. • В явном виде нет, но такие мероприятия как
монтаж, установка, наладка шифровальных (криптографических) средств
ремонт, сервисное обслуживание шифровальных (криптографических)
средств
утилизация и уничтожение шифровальных (криптографических) средств
работы по обслуживанию шифровальных (криптографических) средств,
предусмотренные технической и эксплуатационной документацией на эти
средства
• относятся к техническому обслуживанию
• Представители 8-го Центра ФСБ многократно заявляют, что
для собственных нужд лицензия не нужна
© 2011 Cisco and/or its affiliates. All rights reserved. 27/42

28. © 2011 Cisco and/or its affiliates. All rights reserved. 28/42

29. • Новый закон «О лицензировании отдельных видов
деятельности» от 4 мая 2011 года вновь вернул термин «для
собственных нужд» (только для технического обслуживания)
• Однако данные термин не определен и вызывает множество
вопросов
Шифрование для защиты информации сотрудников и клиентов – это
собственные нужды или нет?
© 2011 Cisco and/or its affiliates. All rights reserved. 29/42

30. • Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва
«О порядке осуществления иностранных инвестиций в
хозяйственные общества, имеющие стратегическое значение
для обеспечения обороны страны и безопасности
государства»
В целях обеспечения обороны страны и безопасности государства
настоящим Федеральным законом устанавливаются изъятия
ограничительного характера для иностранных инвесторов и для группы
лиц, в которую входит иностранный инвестор, при их участии в уставных
капиталах хозяйственных обществ, имеющих стратегическое значение
для обеспечения обороны страны и без опасности государства, и (или)
совершении ими сделок, влекущих за собой установление контроля над
указанными хозяйственными обществами
© 2011 Cisco and/or its affiliates. All rights reserved. 30/42

31. • Хозяйственное общество, имеющее стратегическое значение
для обеспечения обороны страны и безопасности
государства, - предприятие созданное на территории
Российской Федерации и осуществляющее хотя бы один из
видов деятельности, имеющих стратегическое значение для
обеспечения обороны страны и безопасности государства и
указанных в статье 6 настоящего Федерального закона
пп.11-14 – 4 вида лицензирования деятельности в области шифрования
Наличие всего лишь одного маршрутизатора с IPSec требует от вас
лицензии на ТО СКЗИ
© 2011 Cisco and/or its affiliates. All rights reserved. 31/42

32. © 2011 Cisco and/or its affiliates. All rights reserved. 32

33. • Для обеспечения безопасности персональных данных при их
обработке в информационных системах должны
использоваться сертифицированные в системе сертификации
ФСБ России (имеющие положительное заключение
экспертной организации о соответствии требованиям
нормативных документов по безопасности информации)
криптосредства
• Встраивание криптосредств класса КС1 и КС2
осуществляется без контроля со стороны ФСБ России
Методические рекомендации ФСБ по защите персданных
© 2011 Cisco and/or its affiliates. All rights reserved. 33/42

34. • Можно ли использовать сертифицированное криптоядро в
составе VPN-решений?
Можно
• Будет ли такое использование легитимным?
Нет!!!
© 2011 Cisco and/or its affiliates. All rights reserved. 34/42

35. Число нормативных актов с требованиями
сертификации по требованиям безопасности
8
7
6
5
4
3
2
1
0
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
35
© 2011 Cisco and/or its affiliates. All rights reserved. 35/42

36. • По линии ФСБ существует две системы сертификации
система сертификации средств криптографической защиты информации
(РОСС RU.0001.030001)
система сертификации средств защиты информации по требованиям
безопасности для сведений, составляющих государственную тайну (РОСС
RU.0003.01БИ00)
• СКЗИ оцениваются на соответствие «Требованиям к
средствам криптографической защиты конфиденциальной
информации»
• Ответственность за использование несертифицированных
СКЗИ несет пользователь
• Невозможность обновления сертифицированной продукции
© 2011 Cisco and/or its affiliates. All rights reserved. 36/42

37. • Оценка соответствия ≠
сертификация
• Оценка соответствия - прямое
или косвенное определение
соблюдения требований,
предъявляемых к объекту
• Оценка соответствия
регулируется ФЗ-184 «О
техническом регулировании»
© 2011 Cisco and/or its affiliates. All rights reserved. 37/42

38. Госконтроль и
надзор
Аккредитация
Испытания
Оценка Добровольная
Регистрация
соответствия сертификация
Подтверждение Обязательная
соответствия сертификация
Приемка и ввод Декларирование
в эксплуатацию соответствия
В иной форме
© 2011 Cisco and/or its affiliates. All rights reserved. 38/42

39. © 2011 Cisco and/or its affiliates. All rights reserved. 39

40. Закручивание Останется все,
Либерализация
гаек как есть
• Вероятность - • Вероятность - • Вероятность -
20% (на 45% (на 30% (на
данный данный данный
момент) момент) момент)
• Вероятность • Вероятность
через 2 года - через 2 года -
35% и 10% (в 20% и 55% (в
зависимости от зависимости от
победителя победителя
президентских президентских
выборов) выборов)
Экспертная оценка специалистов Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. 40/42

41. Принять единое
определение термина
«шифровальные средства»
Определить понятие «для
собственных нужд»
Разрешить использование
несертифицированных СКЗИ
при отсутствии аналогов
Сделать прозрачной
процедуру принятия
решения о разрешении
ввоза СКЗИ
Уточнить условия
лицензирования
© 2011 Cisco and/or its affiliates. All rights reserved. 41/42

42. Спасибо
за внимание!
security-request@cisco.com