Регулирование криптографии в России
DESCRIPTION
TRANSCRIPT
1 © 2011 Cisco and/or its affiliates. All rights reserved.
Регулирование криптографии в России Алексей Лукацкий, бизнес-консультант по безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 2/75
Роль криптографии возрастает
© 2011 Cisco and/or its affiliates. All rights reserved. 3/75
Аутсорсинг Виртуализация Мобильность Web 2.0 Облака Социальные
сети
© 2011 Cisco and/or its affiliates. All rights reserved. 4/75
БИЗНЕС И ИТ
ПРИОРИТЕТЫ
ТРЕБОВАНИЯ
РЕГУЛЯТОРОВ
Легальное
использование
Легальное
распространение
Совместная работа
Облака и аутсорсинг
Холдинги
Легальный ввоз
© 2011 Cisco and/or its affiliates. All rights reserved. 5/75
• Первые публичные нормативные по криптографии относятся к 1995 г.
• Основная предпосылка при создании НПА – всецелый контроль СКЗИ на всех этапах их жизненного цикла
• В качестве базы при создании НПА взят подход по защите государственной тайны
• ФСБ продолжает придерживаться этой позиции и спустя 15 лет, несмотря на рост числа ее противников
© 2011 Cisco and/or its affiliates. All rights reserved. 6/75
Ввоз шифровальных средств на территорию Российской Федерации
Лицензирование деятельности, связанной с шифрованием
Использование сертифицированных шифровальных средств
© 2011 Cisco and/or its affiliates. All rights reserved. 7/75
1 Нечеткость терминологии
2 Унаследованные правила
4 Непонимание модели угроз современного бизнеса
3 Различные этапы жизненного цикла – различные требования 5 Отсутствие четкой позиции
регулятора
8 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 9/75
• Средства шифрования в любом исполнении
• Средства имитозащиты в любом исполнении
• Средства ЭЦП в любом исполнении
Но не средства ЭП
• Средства кодирования
• Средства изготовления ключевых документов
• Ключевые документы
• но это не все
© 2011 Cisco and/or its affiliates. All rights reserved. 10/75
• Системы, оборудование и компоненты, разработанные или модифицированные для выполнения криптоаналитических функций
• Системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов генерации расширяющегося кода для систем с расширяющимся спектром, включая скачкообразную перестройку кодов для систем со скачкообразной перестройкой частоты
• Системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов формирования каналов или засекречивающих кодов для модулированных по времени сверхширокополосных систем
• Криптография ≠ методы сжатия или кодирования
© 2011 Cisco and/or its affiliates. All rights reserved. 11/75
• Новый закон «О лицензировании отдельных видов деятельности» заставил получать лицензии ФСБ на разработку, производство, распространение и техническое обслуживание
Информационных систем, защищенных с использование шифровальных средств
Телекоммуникационных систем, защищенных с использование шифровальных средств
• Информационная система – совокупность содержащейся в БД информации и обеспечивающих ее обработку ИТ и технических средств
© 2011 Cisco and/or its affiliates. All rights reserved. 12/75
• Необходимость применения шифровальных (криптографических) средств, как правило, проявляется в случаях, когда безопасность хранения и обработки информации не может быть гарантированно обеспечена другими средствами
В число таких случаев входит, например, случай передачи персональных данных по сетям общего пользования, в которых принципиально невозможно исключить доступ нарушителя к передаваемой информации
Законы
Конфиденциальность
Шифрование
НПА регуляторов
≠
© 2011 Cisco and/or its affiliates. All rights reserved. 13/75
• Получить согласие субъекта на передачу в открытом виде
Так делает Роскомнадзор у себя на сайте
• Обеспечить контролируемую зону
• Использовать оптические каналы связи
И правильную модель угроз
• Переложить задачу обеспечения конфиденциальности на оператора связи
По договоре
• Использовать шифровальные средства
© 2011 Cisco and/or its affiliates. All rights reserved. 14/75
• Большинство нормативных актов ФСБ говорит о «конфиденциальной информации» или «информации конфиденциального характера»
• Трехглавый ФЗ-149 «Об информации, информационных технологиях и защите информации» (в редакции 2006-го года) говорит о конфиденциальности, как о требовании, а не о свойстве или характеристике
• Указ 188 («Об утверждении перечня сведений конфиденциального характера») также не говорит о конфиденциальности
© 2011 Cisco and/or its affiliates. All rights reserved. 15/75
• Все этапы жизненного цикла шифровального средства
Ввоз
Разработка
Производство
Оценка соответствия
Реализация
Распространение
ТО
Оказание услуг Эксплуатация
Вывоз
Контроль и надзор
16 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 17/75
• Положение о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств
• Шифровальные (криптографические) средства, ввоз которых на таможенную территорию таможенного союза и вывоз с таможенной территории таможенного союза ограничен
• Данные положения применяются к ЛЮБЫМ производителям
• Если у средства функция шифрования не используется или неосновная, то средство все равно считается шифровальным
© 2011 Cisco and/or its affiliates. All rights reserved. 18/75
• Принтеры, копиры и факсы
• Кассовые аппараты
• Карманные компьютеры
• Карманные машины для записи, воспроизведения и визуального представления
• Вычислительные машины и их комплектующие
• Абонентские устройства связи
• Базовые станции
• Телекоммуникационное оборудование
• Программное обеспечение
© 2011 Cisco and/or its affiliates. All rights reserved. 19/75
• Аппаратура для радио- и телевещания и приема
• Радионавигационные приемники, устройства дистанционного управления
• Аппаратура доступа в Интернет
• Схемы электронные, интегральные, запоминающие устройства
• Прочее
• Большое количество позиций групп 84 и 85 Единого Таможенного Тарифа таможенного союза Республики Беларусь, Республики Казахстан и Российской Федерации
© 2011 Cisco and/or its affiliates. All rights reserved. 20/75
Упрощенная схема
• Ввоз по нотификации
По лицензии
• Разрешение ФСБ
• Ввоз по лицензии Минпромторга
• Проверка легитимности ввоза по нотификации
http://www.tsouz.ru/db/entr/notif/Pages/default.aspx
• Проверка легитимности ввоза по лицензии
Копия положительного заключения ФСБ на ввоз
© 2011 Cisco and/or its affiliates. All rights reserved. 21/75
• Товары, содержащие шифровальные (криптографические) средства, имеющие любую из следующих составляющих:
симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит; или
асимметричный криптографический алгоритм, основанный на любом из следующих методов:
на разложении на множители целых чисел, размер которых не превышает 512 бит;
на вычислении дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит; или
o на дискретном логарифме в группе, отличного от поименованного в вышеприведенном подпункте “б” размера, не превышающего 112 бит
• Товары, у которых криптографическая функция заблокирована производителем
© 2011 Cisco and/or its affiliates. All rights reserved. 22/75
• Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной
• Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций
• Средства аутентификации и ЭЦП
© 2011 Cisco and/or its affiliates. All rights reserved. 23/75
• Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400м в соответствии с техническими условиями производителя
• Шифровальные (криптографические) средства, используемые для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи
• Портативные или мобильные радиоэлектронные средства гражданского применения без сквозного шифрования
• Персональные смарт-карты
• Приемная аппаратура для радиовещания, коммерческого телевидения и вещания на ограниченную аудиторию
• Средства защиты от копирования
24 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 25/75
• Лицензия ФСБ на деятельность в области шифрования
Предоставление услуг в области шифрования информации
Деятельность по техническому обслуживанию шифровальных средств
Деятельность по распространению шифровальных средств
Деятельность по разработке, производству шифровальных средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем
• 4 мая 2011 года принята новая редакция закона «О лицензировании отдельных видов деятельности» (99-ФЗ)
Единая лицензия на разработку, производство, распространение, выполнение работ, оказание услуг и техническое обслуживание шифровальных средств, информационных и телекоммуникационных систем, защищенных с помощью шифровальных средств
© 2011 Cisco and/or its affiliates. All rights reserved. 26/75
• В явном виде нет, но такие мероприятия как монтаж, установка, наладка шифровальных (криптографических) средств
ремонт, сервисное обслуживание шифровальных (криптографических) средств
утилизация и уничтожение шифровальных (криптографических) средств
работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства
• относятся по мнению ФСБ к лицензируемому виду деятельности – техническому обслуживанию
• Техническое обслуживание - комплекс операций или операция по поддержанию работоспособности или исправности изделия при использовании по назначению, ожидании, хранении и транспортировании
ГОСТ 18322-78 «Система технического обслуживания и ремонта техники. Термины и определения»
© 2011 Cisco and/or its affiliates. All rights reserved. 27/75
• Представители 8-го Центра ФСБ многократно заявляли, что для собственных нужд лицензия не нужна
© 2011 Cisco and/or its affiliates. All rights reserved. 28/75
• Новый закон «О лицензировании отдельных видов деятельности» от 4 мая 2011 года вновь вернул термин «для собственных нужд» (но только для технического обслуживания шифровальных средств)
• Однако данные термин «собственные нужды» не определен и вызывает множество вопросов
Шифрование для защиты информации сотрудников и клиентов – это собственные нужды или нет?
Шифрование персональных данных – это защита собственных интересов или прав субъектов ПДн?
© 2011 Cisco and/or its affiliates. All rights reserved. 29/75
• Что такое ТО?
К деятельности по техническому обслуживанию шифровальных (криптографических) средств не относится эксплуатация СКЗИ в соответствии с требованиями эксплуатационной и технической документации, входящей в комплект поставки СКЗИ
• Не относится к лицензируемой деятельности
Передача СКЗИ клиентам и «дочкам»
Генерация и передача сгенерированных ключей
© 2011 Cisco and/or its affiliates. All rights reserved. 30/75
• Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства»
В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами
© 2011 Cisco and/or its affiliates. All rights reserved. 31/75
• Хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства, - предприятие созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона
пп.11-14 – 4 вида лицензирования деятельности в области шифрования
Наличие всего лишь одного маршрутизатора с IPSec требует от вас лицензии на ТО СКЗИ
• 23 марта приняты поправки в первом чтении, исключающие банки (и только их) из перечня «стратегических» предприятий
32 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 33/75
• Подписан 3 апреля 1995 года (изменен 25 июля 2000 года)
• Запрещено использование госорганами шифровальных средств без сертификата ФСБ
• Запрещено госорганам размещать госзаказ на предприятиях, использующих шифровальные средства без сертификата
• Применять меры к банкам, не применяющим сертифицированные шифровальные средства при общении с Банком России
• Запретить деятельность юрлиц и физлиц, связанную с …эксплуатацией шифровальных средств без лицензии ФСБ
• Запретить ввоз шифровальных средств без лицензии Минпромторга и разрешения ФСБ
• Наказывать виновных по всей строгости закона
© 2011 Cisco and/or its affiliates. All rights reserved. 34/75
• Часть его норм продолжает действовать
Например, требования по ввозу шифровальных средств и использованию госорганов только сертифицированных шифровальных средств
• Часть статей фактически отменены новыми нормативно-правовыми актами
Законом «О лицензировании отдельных видов деятельности»
Законом «О техническом регулировании»
Гражданским Кодексом
• В явном виде Указ 334 до сих пор не отменен
Несмотря на циркулирующие слухи
© 2011 Cisco and/or its affiliates. All rights reserved. 35/75
• Да! Основополагающий документ – ПКЗ-2005
• ПКЗ-2005 регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (далее - информация конфиденциального характера)
Приказ от 9.02.2005 № 66 (подписан директоров ФСБ, регистрация в МинЮсте)
• ПКЗ-2005 не распространяется на иностранные СКЗИ
© 2011 Cisco and/or its affiliates. All rights reserved. 36/75
• ПКЗ-2005 применяется для
защиты информации конфиденциального характера, подлежащей защите в соответствие с законодательством РФ
защиты информации в федеральных органах исполнительной власти, органах исполнительной власти субъектов РФ
защиты информации в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд (далее - организации, выполняющие государственные заказы)
защиты информации, которая возлагается законодательством РФ на лиц, имеющих доступ к этой информации или наделенных полномочиями по распоряжению сведениями, содержащимися в данной информации
защиты информации, обладателем которой являются государственные органы или организации, выполняющие государственные заказы
© 2011 Cisco and/or its affiliates. All rights reserved. 37/75
• Режим защиты информации путем использования СКЗИ устанавливается
обладателем информации конфиденциального характера
собственником (владельцем) информационных ресурсов (информационных систем)
уполномоченными ими лицами на основании законодательства Российской Федерации
© 2011 Cisco and/or its affiliates. All rights reserved. 38/75
• Обладатель информации
• Собственник (владелец) системы
Обмен собственной
информацией
• Госорган Обмен с
госорганами
• Организация госзаказа Обмен с
организациями госзаказа
• Обладатель информации
• Пользователь (потребитель)
Обработка и хранение без
передачи
39 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 40/75
• СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом 184-ФЗ «О техническом регулировании»
ПКЗ-2005
• Качество криптографической защиты информации конфиденциального характера, осуществляемой СКЗИ, обеспечивается реализацией требований по безопасности информации, предъявляемых к СКЗИ
© 2011 Cisco and/or its affiliates. All rights reserved. 41/75
• В отдельных случаях уровень защиты (сертификации СКЗИ) устанавливается в нормативных документах
Преимущественно в ТЗ для федеральных информационных систем
• В Комплексе стандартов по ИБ Банка России (СТО БР ИББС) предусмотрено применение средств шифрования, сертифицированных по классу защиты не ниже КС2
• В остальных случаях уровень защиты определяется потребителем СКЗИ на основании модели нарушителя
© 2011 Cisco and/or its affiliates. All rights reserved. 42/75
• 3 уровня защиты – А (КА1), В (КВ1, КВ2) и С (КС1, КС2, КС3)
Уровень сертификации СКЗИ зависит от количества и жесткости требований
• 6 моделей нарушителя
Н1 – внешний нарушитель, действующий без помощи изнутри
Н2 – внутренний нарушитель, не являющийся пользователем СКЗИ
Н3 – внутренний нарушитель, являющийся пользователем СКЗИ
Н4 – нарушитель, привлекающий специалистов в области разработки СКЗИ и их анализа
Н5 – нарушитель, привлекающий НИИ в области разработки СКЗИ и их анализа
Н6 – спецслужбы иностранных государств
© 2011 Cisco and/or its affiliates. All rights reserved. 43/75
• Для криптографической защиты информации конфиденциального характера должны использоваться СКЗИ, удовлетворяющие требованиям по безопасности информации, устанавливаемым в соответствии с законодательством Российской Федерации
ПКЗ-2005
© 2011 Cisco and/or its affiliates. All rights reserved. 44/75
• Указ №351 и ФЗ-85 (об участии в международном информационном обмене)
• ПП-424 (о подключении федеральных государственных ИС к Интернет)
• Приказ ФСО №487 (о российском сегменте Интернет)
• Приказ Минкомсвязи №104 (о государственных ИС общего пользования)
• Приказ ФСТЭК/ФСБ №489/416 (о требованиях по защите ИС общего пользования)
• ПП-330 (об особенностях оценки соответствия средств защиты государственных ИС и ИСПДн)
• Приказ МЭР №54 (об электронных торговых площадках)
• Методические рекомендации ФСБ по персданным
• ПП-781 (о защите персональных данных)
• А также ФЗ-149, СТР-К, ПП-608, Указ №334, РД ФСТЭК по КСИИ
© 2011 Cisco and/or its affiliates. All rights reserved. 45/75 45
0
1
2
3
4
5
6
7
8
Число нормативных актов с требованиями сертификации по требованиям безопасности
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
© 2011 Cisco and/or its affiliates. All rights reserved. 46/75
• По линии ФСБ существует две системы сертификации Система сертификации средств криптографической защиты информации (РОСС RU.0001.030001)
Система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (РОСС RU.0003.01БИ00)
• СКЗИ оцениваются на соответствие «Требованиям к средствам криптографической защиты конфиденциальной информации»
• Ответственность за использование несертифицированных СКЗИ несет пользователь
• Практическая невозможность обновления сертифицированной продукции
© 2011 Cisco and/or its affiliates. All rights reserved. 47/75
• Старые НПА «говорят» преимущественно о сертификации, а новые – об оценке соответствия
• Оценка соответствия ≠ сертификация
• Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту
• Оценка соответствия регулируется ФЗ-184 «О техническом регулировании»
© 2011 Cisco and/or its affiliates. All rights reserved. 48/75
Оценка соответствия
Госконтроль и надзор
Аккредитация
Испытания
Регистрация
Подтверждение соответствия
Добровольная сертификация
Обязательная сертификация
Декларирование соответствия
Приемка и ввод в эксплуатацию
В иной форме
© 2011 Cisco and/or its affiliates. All rights reserved. 49/75
• Работа представительств иностранных компаний в России
Импорт западной криптографии или экспорт отечественной
• Коммерческое IP-телевидение и IP-видеонаблюдение
Устройства не поддерживают и не будут ГОСТы, т.к. они производятся за пределами России и поставляются в сотни стран мира
• Шифрование на скоростях свыше 10 Гбит/секи выше
Магистральные каналы связи или синхронизация ЦОДов
• Стандарты беспроводной связи 802.11i, мобильной связи 2.5G, 3G, а также LTE и Wi-Max
© 2011 Cisco and/or its affiliates. All rights reserved. 50/75
• Шифрование в смартфонах, iPhone и т.п.
• Доступ к российским Интернет-банкам с компьютера в Интернет-кафе на заграничном отдыхе
На нем нет никакого российского криптопровайдера
• Доступ из-за границы к любой российской платежной системе (Assist, ChronoPay, Яндекс.Деньги, Рапида и т.д.), а также к любой иной системе электронной коммерции (заказ билетов, заказ книг в Интернет-магазинах и т.п.)
• Защищенная электронная Web-почта по протоколу HTTPS
© 2011 Cisco and/or its affiliates. All rights reserved. 51/75
• Шифрование в протоколе FibreChannel при записе на ленточку в центре обработке данных
• Шифрование в протоколе FibreChannel при передаче данных внутри центра обработки данных или между разными центрами
• Аутсорсинг и XaaS (Cloud Computing)
Вся обработка осуществляется через Интернет и, возможно, где-то за границей
• Поддержка АСУ ТП
• И т.п.
© 2011 Cisco and/or its affiliates. All rights reserved. 52/75
© 2011 Cisco and/or its affiliates. All rights reserved. 53/75
• Шифрование на скоростях 40 Гбит/сек
• Предложение регулятора / отечественных разработчиков – поставить кластер из VPN-шлюзов
Шлюз поддерживает скорость до 1 Гбит/сек
• Итоговое решение – 40+n шлюзов на одном конце и столько же на другом конце
Сколько стоят 80+2n отечественных VPN-шлюзов?
n нужно для резервирования
© 2011 Cisco and/or its affiliates. All rights reserved. 54/75
• Вы устанавливаете сертифицированные СКЗИ, то
• Вы не можете
Эффективно работать с мультимедиа-трафиком (Telepresence и т.п.) на том же уровне, что и западные СКЗИ
Работать на мультигигабитных скоростях (особенно выше 3.5 Гбит/сек)
Работать из-за границы с арендованных компьютеров/устройств
Использовать аутсорсинг или облачные вычисления (в т.ч. и в России)
Использовать большинство мобильных платформ в бизнесе
• И стоить это будет колоссальных денег ;-(
© 2011 Cisco and/or its affiliates. All rights reserved. 55/75
• Западные VPN-продукты не могут быть использованы для шифрования большинства видов защищаемой информации
Если это не разрешено ФСБ
Де-факто, получение разрешения на ввоз дает право на использование
Вопрос о терминах «конфиденциальная информация», «конфиденциальность», «сведения конфиденциального характера» остается открытым
• Сертифицировать зарубежные СКЗИ невозможно
Сертификации подлежат СКЗИ, реализующие ГОСТы
Отсутствуют требования по сертификации СКЗИ иностранного производства
• Коллизия: использовать в ряде случаев можно только сертифицированные СКЗИ. Отечественные СКЗИ не отвечают техническим требованиям, а СКЗИ иностранного производства сертифицировать невозможно
© 2011 Cisco and/or its affiliates. All rights reserved. 56/75
• Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства
• Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России
Методические рекомендации ФСБ по защите персданных
• Встраивание не снимает задачи легального ввоза иностранного VPN-продукта
© 2011 Cisco and/or its affiliates. All rights reserved. 57/75
• Можно ли использовать сертифицированное криптоядро в составе VPN-решений?
Можно
• Будет ли такое использование легитимным?
Нет!!!
58 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 59/75
• Ст.13.12. Нарушение правил защиты информации (КоАП)
п.1 – нарушение лицензионных условий (до 10К рублей)
п.2. – использование несертифицированных СЗИ, если они подлежат обязательной сертификации (до 20К рублей + конфискация)
п.3 – нарушение лицензионных условий по гостайне (до 20К рублей)
п.4. – использование несертифицированных СЗИ для гостайны (до 30К рублей + конфискация)
п.5 – грубое нарушение лицензионных условий (до 15К рублей + приостановление деятельности до 90 суток)
© 2011 Cisco and/or its affiliates. All rights reserved. 60/75
• Ст.13.13. Незаконная деятельность в области защиты информации (КоАП)
п.1 – занятие защитой информации без лицензии, если она обязательна (до 20К рублей + конфискация)
п.2. – занятие защитой гостайны и разработкой средств ее защиты без лицензии (до 40К рублей + конфискация)
© 2011 Cisco and/or its affiliates. All rights reserved. 61/75
• Ст.171. Незаконное предпринимательство (УК РФ)
п.1 – осуществление деятельности без регистрации (если лицензия обязательна), с нарушением правил регистрации, предоставление в лицензирующий орган заведомо ложных сведений, если это причинило ущерб гражданам, организацияс или государству или сопряжено с извлечением крупного дохода (до 300К рублей или обязательные работы до 240 часов либо арест до 6 месяцев)
п.2 – то же, но группой лиц или извлечение особо крупного дохода (до 500К рублей или лишение свободы до 5 лет)
• Около 20-ти уголовных дел, инициированных ФСБ против российских организаций
© 2011 Cisco and/or its affiliates. All rights reserved. 62/75
• Отзыв лицензии ФСБ (только для лицензии на оказание услуг)
и) использование лицензиатом шифровальных (криптографических) средств иностранного производства при условии, что эти средства были ввезены на территорию Российской Федерации и распространялись в порядке, установленном нормативными правовыми актами Российской Федерации
• Ст.188. Контрабанда (УК РФ)
п.1 – перемещение в крупном размере через таможенную границу товаров в обход таможни, недекларирование или недостоверное декларирование (до 300К рублей или лишение свободы до 5 лет)
© 2011 Cisco and/or its affiliates. All rights reserved. 63/75
• Ст.16.2. Недекларирование или недостоверное декларирование (КоАП)
п.1 – недекларирование (до 20К рублей или конфискация или двукратная стоимость контрабанды)
п.2 – недостоверное декларирование с целью занижения суммы пошлин (до 20К рублей или двукратная сумма неуплаченных налогов или конфискация)
п.3 – недостоверное декларирование с целью обхода ограничений на ввоз (до 300К рублей или конфискация)
• Ст.16.3. Несоблюдение ограничений на ввоз товаров (КоАП) п.1 – несоблюдение ограничений на ввоз, носящих экономический характер (до 300К рублей)
п.2 – несоблюдение ограничений на ввоз (до 100К рублей + конфискация)
• Ст.16.7. Представление недействительных документов при таможенном декларировании (КоАП)
п.1 – недостоверное декларирование (до 300К рублей + конфискация)
© 2011 Cisco and/or its affiliates. All rights reserved. 64/75
• Ст.14.1. Осуществление предпринимательской деятельности без государственной регистрации или лицензии (КоАП)
п.3 – осуществление деятельности с нарушением лицензионных условий (до 40К рублей)
п.4 – осуществление деятельности с грубым нарушением лицензионных условий (до 50К рублей + приостановление деятельности до 90 суток)
65 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 66/75
• Весной 2011-го года ФСБ выразила обеспокоенность по поводу использования в сетях связи общего пользования РФ шифровальных средств иностранного производства
Skype, Gmail, Hotmail и т.д.
• Комиссия приняла решение создать межведомственную рабочую группу по выработке предложений Правительства РФ по использованию криптографических средств
• Данные предложения должны быть представлены Правительству в срок до 1 октября 2011 года
Экскурс в историю: в августе 2007 года министр образования Фурсенко предложил завоевать весь мир путем внедрения российской криптографии. До 1-го декабря 2007 года должны были быть представлены в Правительство предложения по завоеванию мира
Правда, после этого наши ГОСТы приняли в качестве RFC, а также в качестве основы для DNSSEC… а потом объявили о взломе ГОСТ 28147
© 2011 Cisco and/or its affiliates. All rights reserved. 67/75
Либерализация
• Вероятность - 20% (на данный момент)
• Вероятность через 2 года - 35% и 10% (в зависимости от победителя президентских выборов)
Закручивание гаек
• Вероятность - 45% (на данный момент)
• Вероятность через 2 года - 20% и 55% (в зависимости от победителя президентских выборов)
Останется все, как есть
• Вероятность - 30% (на данный момент)
Экспертная оценка специалистов Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. 68/75
Принять единое определение термина «шифровальные средства»
Определить понятие «для собственных нужд»
Разрешить использование несертифицированных СКЗИ при отсутствии аналогов
Сделать прозрачной процедуру принятия решения о разрешении ввоза СКЗИ
Уточнить условия лицензирования
69 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 70/75
• Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-решения, поддерживающие российские криптоалгоритмы на базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625, 124-1626 от 28 февраля 2011 года
Сертификат по классу КС2 на оба решения
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2 (2800/2900/3800/3900)
Решение для ЦОД и штаб-квартир
• На базе UCS C-200
© 2011 Cisco and/or its affiliates. All rights reserved. 71/75
Свыше 5300 нотификаций на оборудование
Cisco
Отработанная процедура
оформления запроса на ввоз
«строгой» криптографии
Запущено локальное
производство модуля
шифрования NME-RVPN
Весной 2011 года Cisco получила лицензии ФСБ на деятельность в
области шифрования
© 2011 Cisco and/or its affiliates. All rights reserved. 72/75
ПК127 ПК3 ТК362 КЦ
АРБ
РГ
ЦБ
«Безопасность
ИТ»
(представитель
ISO SC27 в
России)
«Защита
информации в
кредитно-
финансовых
учреждениях»
«Защита
информации»
при ФСТЭК
Консультации
банков по
вопросам ПДн
Разработка
рекомендаций по
ПДн и СТО БР
ИББС v4
© 2011 Cisco and/or its affiliates. All rights reserved. 73/75
500+ ФСБ НДВ 28 96
Сертификатов
ФСТЭК на
продукцию Cisco
Сертифицировала
решения Cisco
(совместно с С-
Терра СиЭсПи)
Отсутствуют в
ряде
продуктовых
линеек Cisco
Линеек
продукции
Cisco прошли
сертификацию
по схеме
«серийное
производство»
Продуктовых
линеек Cisco
сертифицированы
во ФСТЭК
© 2011 Cisco and/or its affiliates. All rights reserved. 74/75
http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco