Криптографию — ФСТЭКу!
Пролог Добрый день, хабраюзер, Автор данного поста убежден, что движение к совершенству есть череда последовательных небольших шагов. Добиваясь изменения причин происходящих сегодня в отрасли ИБ событий, у нас есть возможность построить такую информационную безопасность с преферансом и барышнями с конкуренцией и инновациями, которую мы все хотим.Поэтому если вам лень читать дальше, то зайдите на РОИ и проголосуйте. Если не лень — добро пожаловать под кат! Сегодняшний рынок ИБ формируется, в основном, требованиями закона «О защите персональных данных» и необходимостью защиты целого ряда служебных тайн. Основную долю этого рынка формируют сертифицированные ФСТЭК и ФСБ средства защиты и услуги по их установке/настройке/аттестации. Для того, чтобы сертифицировать средство защиты информации, нужны миллионы рублей и месяцы бюрократических проволочек, что создаёт значительные трудности даже для крупных вендоров. Применять международные алгоритмы шифрования в нашей стране для защиты тайн (в том числе персональных данных) запрещено, поэтому вендоры вынуждены придумывать ещё и костыли для своих продуктов, чтобы те могли использовать православный ГОСТ.
В результате, с одной стороны, мы имеем серьезную протекцию отечественных вендоров (что вроде как хорошо), но с другой стороны — низкую конкурентноспособность наших продуктов на свободных рынках, связанную с включением в стоимость продукта затрат на двойную сертификацию (см.ниже), и высокий порог входа на рынок средств защиты для новых производителей.
На сегодняшний день создать собственное средство защиты, которое могло бы претендовать на сколь-нибудь существенную долю отечественного рынка, не пройдя 14 кругов ада (7 во ФСТЭК и 7 в ФСБ) имя которым «лицензирование» и «сертификация», невозможно.
ФСТЭК и ФСБ Чтобы создавать программные или аппаратные средства защиты информации нужна лицензия ФСТЭК на деятельность по разработке и (или) производству средств защиты конфиденциальной информации. Если продукт будет использовать шифрование, то нужна ещё одна похожая лицензия, но уже от ФСБ.Чтобы готовый продукт мог использоваться для защиты служебных тайн или персональных данных, необходимо чтобы он был сертифицирован ФСТЭК и, если в нём есть шифрование — то и ФСБ.Таким образом в нашей стране все что касается средств защиты информации (СЗИ) — вотчина ФСТЭК. Все что касается средств криптографической защиты информации (СКЗИ) — дело ФСБ.
Если открыть перечень сертификатов крупных отечественных вендоров, таких как Инфотекс или Код Безопасности, легко увидеть, что один и тот же продукт частенько сертифицируется дважды: по линии ФСТЭК и по линии ФСБ. Обе компании имеют так же «двойной» пакет лицензий от тех же самых ведомств.
Почему так происходит? Исторически так сложилось, что всем шифрованием в нашей стране заведовало КГБ/ФАПСИ/ФСБ. Было это, главным образом, потому, что понятия коммерческое/гражданское шифрование просто не существовало. Шифрование использовали разведчики и военные шифрорганы для того, чтобы спрятать государственные секреты от врагов. Сегодня шифрование есть в каждом телефоне и компьютере и уже вот вот доберется до холодильников, автомашин и зубных щёток. Поэтому старые подходы не работают и их нужно менять (упрощать).Криптографию — ФСТЭКу! СКЗИ — это, все-таки, не отдельный продукт, а разновидность СЗИ или его часть. Поэтому производители и пользователи только выиграют, если мы передадим полномочия по регулированию этой отрасли (точнее той её части, которая отвечает за защиту сведений, не относящихся к государственной тайне) от ФСБ ФСТЭКу.Нужно так же сказать, что ФСТЭК гораздо более адекватное ведомство, чем ФСБ. Реестры сертифицированных средств защиты информации общедоступны и постоянно обновляются, требования к получению лицензии ФСТЭК более мягкие, документы ФСТЭК намного доступнее и качественней. К тому же проекты руководящих документов ФСТЭК постоянно обсуждаются с сообществом, а сотрудники службы открыты для общения и комментариев, в отличие от коллег из ФСБ.
На сайте РОИ существует петиция за передачу полномочий по регулированию коммерческой криптографии от ФСБ ФСТЭКу. Если вы согласны с ней — то проголосуйте «ЗА». Своим решением вы сократите в два раза головную боль у производителей и пользователей отечественных СКЗИ!