И еще один документ на тему использования несертифицированных средств шифрования
На данный момент перед госструктурами, муниципальными органами (а теперь согласно Директивам 4972п-П13 еще и перед компаниями с госучастием (их список есть в Распоряжении Правительства РФ от 23 января 2003 г. №91-р)) проставлена задача импортозамещения. Также Думой и правительством были выдвинуты задачи по повышению общей безопасности российского сегмента сети Интернет, защищенности сетей передачи данных и тд. В частности с правками закона Яровой Статья 13.6 (Использование несертифицированных средств связи или несертифицированных средств кодирования (шифрования) либо предоставление несертифицированных услуг связи) кодекса об административных правонарушениях выглядит так:
Использование на сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет» либо предоставление несертифицированных услуг связи, если законом предусмотрена их обязательная сертификация, — влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц — от трех тысяч до четырех тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц — от тридцати тысяч до сорока тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.
Не касаясь того, что требуется достаточно много времени на разработку требуемого ПО — процесс сертификации весьма долгий. Если для антивирусных средств он составляет не менее 6–8 месяцев, то не меньше он должен быть и для средств шифрования. И это не касаясь выпуска обновлений безопасности — данная процедура в реальности сейчас полностью отсутствует.
Получается, что импортозамещение требуется вчера, но нужно отложить для многих вещей эту задачу на годик, так как нужно все засертифицировать. Что делать?
Первый звонок появился в Поручении об обеспечении «комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования»:
1) предоставление безвозмездного доступа гражданам Российской Федерации к использованию российских средств шифрования для электронного взаимодействия с органами государственной власти и органами местного самоуправления;2) законодательные меры с целью исключить применение оборудования, позволяющего третьим лицам вмешиваться в работу криптографических протоколов при передаче данных с использованием сети связи общего пользования, кроме случаев реализации органами, осуществляющими оперативно-разыскную деятельность, мероприятий по снятию информации с технических каналов связи в соответствии с требованиями законодательства Российской Федерации.
В обоих пунктах слово «сертифицированных» или «прошедших процедуру оценки соответствия» отсутствовало!
И вот теперь о Извещении ФСБ РФ:
Законом Российской Федерации «О государственной тайне» обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (ст. 28).Порядок сертификации указанных средств и их перечень установлены приказом ФСБ России от 13 ноября 1999 г. № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия» (зарегистрирован в Минюсте России 27 декабря 1999 г. № 2028).
Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется.
Ну, а для тех, кто хочет проснуться — рекомендуется понять, что имелось в виду в первом абзаце в следующей фразе: «устанавливается административная ответственность за использование несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законом предусмотрена их обязательная сертификация.»
Апдейт. Очень интересный комментарий с примерами решений ФСБ по поводу использования средств СКЗИ. Рекомендую
Комментарии (2)
VitaZheltyakov
21 июля 2016 в 10:16
0↑
↓
У меня большие сомнения в скором исполнении данного закона.Поручение о переходе на отечественные средства шифрования первый раз Путин давал еще в 2013 году. Тогда все закончилось тем, что абсолютное большинство госкомпаний сделало вид проделанной работы и ничего не поменяло. Причина такого отношения к поручению президента банальна — нет полноценного отечественно комплекса, который удолетворил все потребности
21 июля 2016 в 10:51
0↑
↓
На моей памяти Путин еще в 2003 году выпустил приказ об осуществлении информационного взаимодействия органов государственной власти посредством сетей общего пользования только с использованием сертифицированных СКЗИ с функциями межсетевого экранирования. И именно из-за этого в сертификатах ФСБ на УЦ компании «Крипто-Про» было примечание: «использовать без выхода в сети общего пользования». В результате чего отсутствовала возможность обновлять сертификаты открытых ключей через Интернет (вынуждены были использовать дискетки). Так что Вы правы насчет скорого исполнения обсуждаемого закона… что и огорчает и радует одновременно…
