More Related Content
Similar to Crypto regulations in Russia (medium version) (20)
More from Aleksey Lukatskiy (20)
Crypto regulations in Russia (medium version)
- 3. Социальные
Аутсорсинг Виртуализация Облака Мобильность Web 2.0
сети
© 2011 Cisco and/or its affiliates. All rights reserved. 3/75
- 4. БИЗНЕС И ИТ ТРЕБОВАНИЯ
ПРИОРИТЕТЫ РЕГУЛЯТОРОВ
Совместная работа Легальный ввоз
Легальное
Облака и аутсорсинг
использование
Легальное
Холдинги
распространение
© 2011 Cisco and/or its affiliates. All rights reserved. 4/75
- 5. • Первые публичные нормативные по
криптографии относятся к 1995 г.
• Основная предпосылка при
создании НПА – всецелый контроль
СКЗИ на всех этапах их жизненного
цикла
• В качестве базы при создании НПА
взят подход по защите
государственной тайны
• ФСБ продолжает придерживаться
этой позиции и спустя 15 лет,
несмотря на рост числа ее
противников
© 2011 Cisco and/or its affiliates. All rights reserved. 5/75
- 6. Ввоз шифровальных средств
на территорию Российской
Федерации
Лицензирование
деятельности, связанной с
шифрованием
Использование
сертифицированных
шифровальных средств
© 2011 Cisco and/or its affiliates. All rights reserved. 6/75
- 7. 1 Нечеткость
терминологии
4 Непонимание модели угроз
современного бизнеса
3 Различные этапы
жизненного цикла
– различные
Унаследованные требования 5 Отсутствие четкой позиции
2 правила регулятора
© 2011 Cisco and/or its affiliates. All rights reserved. 7/75
- 8. © 2011 Cisco and/or its affiliates. All rights reserved. 8
- 9. • Средства шифрования в любом исполнении
• Средства имитозащиты в любом исполнении
• Средства ЭЦП в любом исполнении
Но не средства ЭП
• Средства кодирования
• Средства изготовления ключевых документов
• Ключевые документы
• но это не все
© 2011 Cisco and/or its affiliates. All rights reserved. 9/75
- 10. • Системы, оборудование и компоненты, разработанные или
модифицированные для выполнения криптоаналитических
функций
• Системы, оборудование и компоненты, разработанные или
модифицированные для применения криптографических
методов генерации расширяющегося кода для систем с
расширяющимся спектром, включая скачкообразную
перестройку кодов для систем со скачкообразной
перестройкой частоты
• Системы, оборудование и компоненты, разработанные или
модифицированные для применения криптографических
методов формирования каналов или засекречивающих
кодов для модулированных по времени
сверхширокополосных систем
• Криптография ≠ методы сжатия или кодирования
© 2011 Cisco and/or its affiliates. All rights reserved. 10/75
- 11. • Новый закон «О лицензировании отдельных видов
деятельности» заставил получать лицензии ФСБ на
разработку, производство, распространение и техническое
обслуживание
Информационных систем, защищенных с использование шифровальных
средств
Телекоммуникационных систем, защищенных с использование
шифровальных средств
• Информационная система – совокупность содержащейся в
БД информации и обеспечивающих ее обработку ИТ и
технических средств
© 2011 Cisco and/or its affiliates. All rights reserved. 11/75
- 12. • Необходимость применения
шифровальных (криптографических) Законы
средств, как правило, проявляется в
случаях, когда безопасность
хранения и обработки информации
не может быть гарантированно
обеспечена другими средствами Конфиденциальность
В число таких случаев входит,
например, случай передачи
персональных данных по сетям общего
≠
пользования, в которых принципиально Шифрование
невозможно исключить доступ
нарушителя к передаваемой
информации
НПА регуляторов
© 2011 Cisco and/or its affiliates. All rights reserved. 12/75
- 13. • Получить согласие субъекта на передачу в открытом виде
Так делает Роскомнадзор у себя на сайте
• Обеспечить контролируемую зону
• Использовать оптические каналы связи
И правильную модель угроз
• Переложить задачу обеспечения конфиденциальности на
оператора связи
По договоре
• Использовать шифровальные средства
© 2011 Cisco and/or its affiliates. All rights reserved. 13/75
- 14. • Большинство нормативных актов ФСБ говорит о
«конфиденциальной информации» или «информации
конфиденциального характера»
• Трехглавый ФЗ-149 «Об информации, информационных
технологиях и защите информации» (в редакции 2006-го года)
говорит о конфиденциальности, как о требовании, а не о
свойстве или характеристике
• Указ 188 («Об утверждении перечня сведений
конфиденциального характера») также не говорит о
конфиденциальности
© 2011 Cisco and/or its affiliates. All rights reserved. 14/75
- 15. • Все этапы жизненного цикла шифровального средства
Ввоз Оказание услуг Эксплуатация
Разработка ТО Вывоз
Контроль и
Производство Распространение
надзор
Оценка
Реализация
соответствия
© 2011 Cisco and/or its affiliates. All rights reserved. 15/75
- 16. © 2011 Cisco and/or its affiliates. All rights reserved. 16
- 17. • Положение о порядке ввоза на таможенную территорию
таможенного союза и вывоза с таможенной территории
таможенного союза шифровальных (криптографических)
средств
• Шифровальные (криптографические) средства, ввоз которых
на таможенную территорию таможенного союза и вывоз с
таможенной территории таможенного союза ограничен
• Данные положения применяются к ЛЮБЫМ производителям
• Если у средства функция шифрования не используется или
неосновная, то средство все равно считается шифровальным
© 2011 Cisco and/or its affiliates. All rights reserved. 17/75
- 18. • Принтеры, копиры и факсы
• Кассовые аппараты
• Карманные компьютеры
• Карманные машины для записи, воспроизведения и
визуального представления
• Вычислительные машины и их комплектующие
• Абонентские устройства связи
• Базовые станции
• Телекоммуникационное оборудование
• Программное обеспечение
© 2011 Cisco and/or its affiliates. All rights reserved. 18/75
- 19. • Аппаратура для радио- и телевещания и приема
• Радионавигационные приемники, устройства дистанционного
управления
• Аппаратура доступа в Интернет
• Схемы электронные, интегральные, запоминающие
устройства
• Прочее
• Большое количество позиций групп 84 и 85 Единого
Таможенного Тарифа таможенного союза Республики
Беларусь, Республики Казахстан и Российской Федерации
© 2011 Cisco and/or its affiliates. All rights reserved. 19/75
- 20. Упрощенная схема По лицензии
• Ввоз по • Разрешение ФСБ
нотификации • Ввоз по лицензии
Минпромторга
• Проверка легитимности ввоза по нотификации
http://www.tsouz.ru/db/entr/notif/Pages/default.aspx
• Проверка легитимности ввоза по лицензии
Копия положительного заключения ФСБ на ввоз
© 2011 Cisco and/or its affiliates. All rights reserved. 20/75
- 21. • Товары, содержащие шифровальные (криптографические)
средства, имеющие любую из следующих составляющих:
симметричный криптографический алгоритм, использующий
криптографический ключ длиной, не превышающей 56 бит; или
асимметричный криптографический алгоритм, основанный на любом из
следующих методов:
на разложении на множители целых чисел, размер которых не
превышает 512 бит;
на вычислении дискретных логарифмов в мультипликативной группе
конечного поля размера, не превышающего 512 бит; или
o на дискретном логарифме в группе, отличного от поименованного в
вышеприведенном подпункте “б” размера, не превышающего 112 бит
• Товары, у которых криптографическая функция
заблокирована производителем
© 2011 Cisco and/or its affiliates. All rights reserved. 21/75
- 22. • Шифровальные (криптографические) средства, являющиеся
компонентами программных операционных систем,
криптографические возможности которых не могут быть
изменены пользователями, которые разработаны для
установки пользователем самостоятельно без дальнейшей
существенной поддержки поставщиком и техническая
документация (описание алгоритмов криптографических
преобразований, протоколы взаимодействия, описание
интерфейсов и т.д.) на которые является доступной
• Шифровальное (криптографическое) оборудование,
специально разработанное и ограниченное применением для
банковских или финансовых операций
• Средства аутентификации и ЭЦП
© 2011 Cisco and/or its affiliates. All rights reserved. 22/75
- 23. • Беспроводное радиоэлектронное оборудование,
осуществляющее шифрование информации только в
радиоканале с максимальной дальностью беспроводного
действия без усиления и ретрансляции менее 400м в
соответствии с техническими условиями производителя
• Шифровальные (криптографические) средства, используемые
для защиты технологических каналов информационно-
телекоммуникационных систем и сетей связи
• Портативные или мобильные радиоэлектронные средства
гражданского применения без сквозного шифрования
• Персональные смарт-карты
• Приемная аппаратура для радиовещания, коммерческого
телевидения и вещания на ограниченную аудиторию
• Средства защиты от копирования
© 2011 Cisco and/or its affiliates. All rights reserved. 23/75
- 24. © 2011 Cisco and/or its affiliates. All rights reserved. 24
- 25. • Лицензия ФСБ на деятельность в области шифрования
Предоставление услуг в области шифрования информации
Деятельность по техническому обслуживанию шифровальных средств
Деятельность по распространению шифровальных средств
Деятельность по разработке, производству шифровальных средств,
защищенных использованием шифровальных (криптографических)
средств информационных и телекоммуникационных систем
• 4 мая 2011 года принята новая редакция закона «О
лицензировании отдельных видов деятельности» (99-ФЗ)
Единая лицензия на разработку, производство, распространение,
выполнение работ, оказание услуг и техническое обслуживание
шифровальных средств, информационных и телекоммуникационных
систем, защищенных с помощью шифровальных средств
© 2011 Cisco and/or its affiliates. All rights reserved. 25/75
- 26. • В явном виде нет, но такие мероприятия как
монтаж, установка, наладка шифровальных (криптографических) средств
ремонт, сервисное обслуживание шифровальных (криптографических)
средств
утилизация и уничтожение шифровальных (криптографических) средств
работы по обслуживанию шифровальных (криптографических) средств,
предусмотренные технической и эксплуатационной документацией на эти
средства
• относятся по мнению ФСБ к лицензируемому виду
деятельности – техническому обслуживанию
• Техническое обслуживание - комплекс операций или
операция по поддержанию работоспособности или
исправности изделия при использовании по назначению,
ожидании, хранении и транспортировании
ГОСТ 18322-78 «Система технического обслуживания и ремонта техники.
Термины и определения»
© 2011 Cisco and/or its affiliates. All rights reserved. 26/75
- 27. • Представители 8-го Центра ФСБ многократно заявляли, что
для собственных нужд лицензия не нужна
© 2011 Cisco and/or its affiliates. All rights reserved. 27/75
- 28. • Новый закон «О лицензировании отдельных видов
деятельности» от 4 мая 2011 года вновь вернул термин «для
собственных нужд» (но только для технического
обслуживания шифровальных средств)
• Однако данные термин «собственные нужды» не определен и
вызывает множество вопросов
Шифрование для защиты информации сотрудников и клиентов – это
собственные нужды или нет?
Шифрование персональных данных – это защита собственных интересов
или прав субъектов ПДн?
© 2011 Cisco and/or its affiliates. All rights reserved. 28/75
- 29. • Что такое ТО?
К деятельности по техническому
обслуживанию шифровальных
(криптографических) средств не
относится эксплуатация СКЗИ в
соответствии с требованиями
эксплуатационной и технической
документации, входящей в комплект
поставки СКЗИ
• Не относится к лицензируемой
деятельности
Передача СКЗИ клиентам и «дочкам»
Генерация и передача сгенерированных
ключей
© 2011 Cisco and/or its affiliates. All rights reserved. 29/75
- 30. • Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва
«О порядке осуществления иностранных инвестиций в
хозяйственные общества, имеющие стратегическое значение
для обеспечения обороны страны и безопасности
государства»
В целях обеспечения обороны страны и безопасности государства
настоящим Федеральным законом устанавливаются изъятия
ограничительного характера для иностранных инвесторов и для группы
лиц, в которую входит иностранный инвестор, при их участии в уставных
капиталах хозяйственных обществ, имеющих стратегическое значение
для обеспечения обороны страны и без опасности государства, и (или)
совершении ими сделок, влекущих за собой установление контроля над
указанными хозяйственными обществами
© 2011 Cisco and/or its affiliates. All rights reserved. 30/75
- 31. • Хозяйственное общество, имеющее стратегическое значение
для обеспечения обороны страны и безопасности
государства, - предприятие созданное на территории
Российской Федерации и осуществляющее хотя бы один из
видов деятельности, имеющих стратегическое значение для
обеспечения обороны страны и безопасности государства и
указанных в статье 6 настоящего Федерального закона
пп.11-14 – 4 вида лицензирования деятельности в области шифрования
Наличие всего лишь одного маршрутизатора с IPSec требует от вас
лицензии на ТО СКЗИ
• 23 марта приняты поправки в первом чтении, исключающие
банки (и только их) из перечня «стратегических» предприятий
© 2011 Cisco and/or its affiliates. All rights reserved. 31/75
- 32. © 2011 Cisco and/or its affiliates. All rights reserved. 32
- 33. • Подписан 3 апреля 1995 года (изменен 25 июля 2000 года)
• Запрещено использование госорганами шифровальных
средств без сертификата ФСБ
• Запрещено госорганам размещать госзаказ на предприятиях,
использующих шифровальные средства без сертификата
• Применять меры к банкам, не применяющим
сертифицированные шифровальные средства при общении с
Банком России
• Запретить деятельность юрлиц и физлиц, связанную с
…эксплуатацией шифровальных средств без лицензии ФСБ
• Запретить ввоз шифровальных средств без лицензии
Минпромторга и разрешения ФСБ
• Наказывать виновных по всей строгости закона
© 2011 Cisco and/or its affiliates. All rights reserved. 33/75
- 34. • Часть его норм продолжает действовать
Например, требования по ввозу шифровальных средств и использованию
госорганов только сертифицированных шифровальных средств
• Часть статей фактически отменены новыми нормативно-
правовыми актами
Законом «О лицензировании отдельных видов деятельности»
Законом «О техническом регулировании»
Гражданским Кодексом
• В явном виде Указ 334 до сих пор не отменен
Несмотря на циркулирующие слухи
© 2011 Cisco and/or its affiliates. All rights reserved. 34/75
- 35. • Да! Основополагающий документ – ПКЗ-2005
• ПКЗ-2005 регулирует отношения, возникающие при
разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты
информации с ограниченным доступом, не содержащей
сведений, составляющих государственную тайну (далее -
информация конфиденциального характера)
Приказ от 9.02.2005 № 66 (подписан директоров ФСБ, регистрация в
МинЮсте)
• ПКЗ-2005 не распространяется на иностранные СКЗИ
© 2011 Cisco and/or its affiliates. All rights reserved. 35/75
- 36. • ПКЗ-2005 применяется для
защиты информации конфиденциального характера, подлежащей защите
в соответствие с законодательством РФ
защиты информации в федеральных органах исполнительной власти,
органах исполнительной власти субъектов РФ
защиты информации в организациях независимо от их организационно-
правовой формы и формы собственности при выполнении ими заказов на
поставку товаров, выполнение работ или оказание услуг для
государственных нужд (далее - организации, выполняющие
государственные заказы)
защиты информации, которая возлагается законодательством РФ на лиц,
имеющих доступ к этой информации или наделенных полномочиями по
распоряжению сведениями, содержащимися в данной информации
защиты информации, обладателем которой являются государственные
органы или организации, выполняющие государственные заказы
© 2011 Cisco and/or its affiliates. All rights reserved. 36/75
- 37. • Режим защиты информации путем использования СКЗИ
устанавливается
обладателем информации конфиденциального характера
собственником (владельцем) информационных ресурсов
(информационных систем)
уполномоченными ими лицами на основании законодательства
Российской Федерации
© 2011 Cisco and/or its affiliates. All rights reserved. 37/75
- 38. Обмен • Обладатель информации
собственной • Собственник (владелец) системы
информацией
Обмен с • Госорган
госорганами
Обмен с
организациями • Организация госзаказа
госзаказа
Обработка и • Обладатель информации
хранение без • Пользователь (потребитель)
передачи
© 2011 Cisco and/or its affiliates. All rights reserved. 38/75
- 39. © 2011 Cisco and/or its affiliates. All rights reserved. 39
- 40. • СКЗИ должны удовлетворять требованиям технических
регламентов, оценка выполнения которых осуществляется в
порядке, определяемом 184-ФЗ «О техническом
регулировании»
ПКЗ-2005
• Качество криптографической защиты информации
конфиденциального характера, осуществляемой СКЗИ,
обеспечивается реализацией требований по безопасности
информации, предъявляемых к СКЗИ
© 2011 Cisco and/or its affiliates. All rights reserved. 40/75
- 41. • В отдельных случаях уровень защиты (сертификации СКЗИ)
устанавливается в нормативных документах
Преимущественно в ТЗ для федеральных информационных систем
• В Комплексе стандартов по ИБ Банка России (СТО БР ИББС)
предусмотрено применение средств шифрования,
сертифицированных по классу защиты не ниже КС2
• В остальных случаях уровень защиты определяется
потребителем СКЗИ на основании модели нарушителя
© 2011 Cisco and/or its affiliates. All rights reserved. 41/75
- 42. • 3 уровня защиты – А (КА1), В (КВ1, КВ2) и С (КС1, КС2, КС3)
Уровень сертификации СКЗИ зависит от количества и жесткости
требований
• 6 моделей нарушителя
Н1 – внешний нарушитель, действующий без помощи изнутри
Н2 – внутренний нарушитель, не являющийся пользователем СКЗИ
Н3 – внутренний нарушитель, являющийся пользователем СКЗИ
Н4 – нарушитель, привлекающий специалистов в области разработки
СКЗИ и их анализа
Н5 – нарушитель, привлекающий НИИ в области разработки СКЗИ и их
анализа
Н6 – спецслужбы иностранных государств
© 2011 Cisco and/or its affiliates. All rights reserved. 42/75
- 43. • Для криптографической защиты информации
конфиденциального характера должны использоваться СКЗИ,
удовлетворяющие требованиям по безопасности
информации, устанавливаемым в соответствии с
законодательством Российской Федерации
ПКЗ-2005
© 2011 Cisco and/or its affiliates. All rights reserved. 43/75
- 44. • Указ №351 и ФЗ-85 (об участии в международном информационном
обмене)
• ПП-424 (о подключении федеральных государственных ИС к Интернет)
• Приказ ФСО №487 (о российском сегменте Интернет)
• Приказ Минкомсвязи №104 (о государственных ИС общего
пользования)
• Приказ ФСТЭК/ФСБ №489/416 (о требованиях по защите ИС общего
пользования)
• ПП-330 (об особенностях оценки соответствия средств защиты
государственных ИС и ИСПДн)
• Приказ МЭР №54 (об электронных торговых площадках)
• Методические рекомендации ФСБ по персданным
• ПП-781 (о защите персональных данных)
• А также ФЗ-149, СТР-К, ПП-608, Указ №334, РД ФСТЭК по КСИИ
© 2011 Cisco and/or its affiliates. All rights reserved. 44/75
- 45. Число нормативных актов с требованиями
сертификации по требованиям безопасности
8
7
6
5
4
3
2
1
0
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
45
© 2011 Cisco and/or its affiliates. All rights reserved. 45/75
- 46. • По линии ФСБ существует две системы сертификации
Система сертификации средств криптографической защиты информации
(РОСС RU.0001.030001)
Система сертификации средств защиты информации по требованиям
безопасности для сведений, составляющих государственную тайну (РОСС
RU.0003.01БИ00)
• СКЗИ оцениваются на соответствие «Требованиям к
средствам криптографической защиты конфиденциальной
информации»
• Ответственность за использование несертифицированных
СКЗИ несет пользователь
• Практическая невозможность обновления
сертифицированной продукции
© 2011 Cisco and/or its affiliates. All rights reserved. 46/75
- 47. • Старые НПА «говорят»
преимущественно о
сертификации, а новые – об
оценке соответствия
• Оценка соответствия ≠
сертификация
• Оценка соответствия - прямое
или косвенное определение
соблюдения требований,
предъявляемых к объекту
• Оценка соответствия
регулируется ФЗ-184 «О
техническом регулировании»
© 2011 Cisco and/or its affiliates. All rights reserved. 47/75
- 48. Госконтроль и
надзор
Аккредитация
Испытания
Оценка Добровольная
Регистрация
соответствия сертификация
Подтверждение Обязательная
соответствия сертификация
Приемка и ввод Декларирование
в эксплуатацию соответствия
В иной форме
© 2011 Cisco and/or its affiliates. All rights reserved. 48/75
- 49. • Работа представительств иностранных компаний в России
Импорт западной криптографии или экспорт отечественной
• Коммерческое IP-телевидение и IP-видеонаблюдение
Устройства не поддерживают и не будут ГОСТы, т.к. они производятся за
пределами России и поставляются в сотни стран мира
• Шифрование на скоростях свыше 10 Гбит/секи выше
Магистральные каналы связи или синхронизация ЦОДов
• Стандарты беспроводной связи 802.11i, мобильной связи
2.5G, 3G, а также LTE и Wi-Max
© 2011 Cisco and/or its affiliates. All rights reserved. 49/75
- 50. • Шифрование в смартфонах, iPhone и т.п.
• Доступ к российским Интернет-банкам с компьютера в
Интернет-кафе на заграничном отдыхе
На нем нет никакого российского криптопровайдера
• Доступ из-за границы к любой российской платежной системе
(Assist, ChronoPay, Яндекс.Деньги, Рапида и т.д.), а также к
любой иной системе электронной коммерции (заказ билетов,
заказ книг в Интернет-магазинах и т.п.)
• Защищенная электронная Web-почта по протоколу HTTPS
© 2011 Cisco and/or its affiliates. All rights reserved. 50/75
- 51. • Шифрование в протоколе FibreChannel при записе на
ленточку в центре обработке данных
• Шифрование в протоколе FibreChannel при передаче данных
внутри центра обработки данных или между разными
центрами
• Аутсорсинг и XaaS (Cloud Computing)
Вся обработка осуществляется через Интернет и, возможно, где-то за
границей
• Поддержка АСУ ТП
• И т.п.
© 2011 Cisco and/or its affiliates. All rights reserved. 51/75
- 52. © 2011 Cisco and/or its affiliates. All rights reserved. 52/75
- 53. • Шифрование на скоростях 40 Гбит/сек
• Предложение регулятора / отечественных разработчиков –
поставить кластер из VPN-шлюзов
Шлюз поддерживает скорость до 1 Гбит/сек
• Итоговое решение – 40+n шлюзов на одном конце и столько
же на другом конце
Сколько стоят 80+2n отечественных VPN-шлюзов?
n нужно для резервирования
© 2011 Cisco and/or its affiliates. All rights reserved. 53/75
- 54. • Вы устанавливаете сертифицированные СКЗИ, то
• Вы не можете
Эффективно работать с мультимедиа-трафиком (Telepresence и т.п.) на
том же уровне, что и западные СКЗИ
Работать на мультигигабитных скоростях (особенно выше 3.5 Гбит/сек)
Работать из-за границы с арендованных компьютеров/устройств
Использовать аутсорсинг или облачные вычисления (в т.ч. и в России)
Использовать большинство мобильных платформ в бизнесе
• И стоить это будет колоссальных денег ;-(
© 2011 Cisco and/or its affiliates. All rights reserved. 54/75
- 55. • Западные VPN-продукты не могут быть использованы для
шифрования большинства видов защищаемой информации
Если это не разрешено ФСБ
Де-факто, получение разрешения на ввоз дает право на использование
Вопрос о терминах «конфиденциальная информация»,
«конфиденциальность», «сведения конфиденциального характера»
остается открытым
• Сертифицировать зарубежные СКЗИ невозможно
Сертификации подлежат СКЗИ, реализующие ГОСТы
Отсутствуют требования по сертификации СКЗИ иностранного
производства
• Коллизия: использовать в ряде случаев можно только
сертифицированные СКЗИ. Отечественные СКЗИ не
отвечают техническим требованиям, а СКЗИ иностранного
производства сертифицировать невозможно
© 2011 Cisco and/or its affiliates. All rights reserved. 55/75
- 56. • Для обеспечения безопасности персональных данных при их
обработке в информационных системах должны
использоваться сертифицированные в системе сертификации
ФСБ России (имеющие положительное заключение
экспертной организации о соответствии требованиям
нормативных документов по безопасности информации)
криптосредства
• Встраивание криптосредств класса КС1 и КС2
осуществляется без контроля со стороны ФСБ России
Методические рекомендации ФСБ по защите персданных
• Встраивание не снимает задачи легального ввоза
иностранного VPN-продукта
© 2011 Cisco and/or its affiliates. All rights reserved. 56/75
- 57. • Можно ли использовать сертифицированное криптоядро в
составе VPN-решений?
Можно
• Будет ли такое использование легитимным?
Нет!!!
© 2011 Cisco and/or its affiliates. All rights reserved. 57/75
- 58. © 2011 Cisco and/or its affiliates. All rights reserved. 58
- 59. • Ст.13.12. Нарушение правил защиты информации (КоАП)
п.1 – нарушение лицензионных условий (до 10К рублей)
п.2. – использование несертифицированных СЗИ, если они подлежат
обязательной сертификации (до 20К рублей + конфискация)
п.3 – нарушение лицензионных условий по гостайне (до 20К рублей)
п.4. – использование несертифицированных СЗИ для гостайны (до 30К
рублей + конфискация)
п.5 – грубое нарушение лицензионных условий (до 15К рублей +
приостановление деятельности до 90 суток)
© 2011 Cisco and/or its affiliates. All rights reserved. 59/75
- 60. • Ст.13.13. Незаконная деятельность в области защиты
информации (КоАП)
п.1 – занятие защитой информации без лицензии, если она обязательна
(до 20К рублей + конфискация)
п.2. – занятие защитой гостайны и разработкой средств ее защиты без
лицензии (до 40К рублей + конфискация)
© 2011 Cisco and/or its affiliates. All rights reserved. 60/75
- 61. • Ст.171. Незаконное предпринимательство (УК РФ)
п.1 – осуществление деятельности без регистрации (если лицензия
обязательна), с нарушением правил регистрации, предоставление в
лицензирующий орган заведомо ложных сведений, если это причинило
ущерб гражданам, организацияс или государству или сопряжено с
извлечением крупного дохода (до 300К рублей или обязательные работы
до 240 часов либо арест до 6 месяцев)
п.2 – то же, но группой лиц или извлечение особо крупного дохода (до
500К рублей или лишение свободы до 5 лет)
• Около 20-ти уголовных дел, инициированных ФСБ против
российских организаций
© 2011 Cisco and/or its affiliates. All rights reserved. 61/75
- 62. • Отзыв лицензии ФСБ (только для лицензии на оказание
услуг)
и) использование лицензиатом шифровальных (криптографических)
средств иностранного производства при условии, что эти средства были
ввезены на территорию Российской Федерации и распространялись в
порядке, установленном нормативными правовыми актами Российской
Федерации
• Ст.188. Контрабанда (УК РФ)
п.1 – перемещение в крупном размере через таможенную границу
товаров в обход таможни, недекларирование или недостоверное
декларирование (до 300К рублей или лишение свободы до 5 лет)
© 2011 Cisco and/or its affiliates. All rights reserved. 62/75
- 63. • Ст.16.2. Недекларирование или недостоверное
декларирование (КоАП)
п.1 – недекларирование (до 20К рублей или конфискация или двукратная
стоимость контрабанды)
п.2 – недостоверное декларирование с целью занижения суммы пошлин
(до 20К рублей или двукратная сумма неуплаченных налогов или
конфискация)
п.3 – недостоверное декларирование с целью обхода ограничений на ввоз
(до 300К рублей или конфискация)
• Ст.16.3. Несоблюдение ограничений на ввоз товаров (КоАП)
п.1 – несоблюдение ограничений на ввоз, носящих экономический
характер (до 300К рублей)
п.2 – несоблюдение ограничений на ввоз (до 100К рублей + конфискация)
• Ст.16.7. Представление недействительных документов при
таможенном декларировании (КоАП)
п.1 – недостоверное декларирование (до 300К рублей + конфискация)
© 2011 Cisco and/or its affiliates. All rights reserved. 63/75
- 64. • Ст.14.1. Осуществление предпринимательской деятельности
без государственной регистрации или лицензии (КоАП)
п.3 – осуществление деятельности с нарушением лицензионных условий
(до 40К рублей)
п.4 – осуществление деятельности с грубым нарушением лицензионных
условий (до 50К рублей + приостановление деятельности до 90 суток)
© 2011 Cisco and/or its affiliates. All rights reserved. 64/75
- 65. © 2011 Cisco and/or its affiliates. All rights reserved. 65
- 66. • Весной 2011-го года ФСБ выразила обеспокоенность по
поводу использования в сетях связи общего пользования РФ
шифровальных средств иностранного производства
Skype, Gmail, Hotmail и т.д.
• Комиссия приняла решение создать межведомственную
рабочую группу по выработке предложений Правительства
РФ по использованию криптографических средств
• Данные предложения должны быть представлены
Правительству в срок до 1 октября 2011 года
Экскурс в историю: в августе 2007 года министр образования Фурсенко
предложил завоевать весь мир путем внедрения российской
криптографии. До 1-го декабря 2007 года должны были быть
представлены в Правительство предложения по завоеванию мира
Правда, после этого наши ГОСТы приняли в качестве RFC, а также в
качестве основы для DNSSEC… а потом объявили о взломе ГОСТ 28147
© 2011 Cisco and/or its affiliates. All rights reserved. 66/75
- 67. Закручивание Останется все,
Либерализация
гаек как есть
• Вероятность - • Вероятность - • Вероятность -
20% (на 45% (на 30% (на
данный данный данный
момент) момент) момент)
• Вероятность • Вероятность
через 2 года - через 2 года -
35% и 10% (в 20% и 55% (в
зависимости от зависимости от
победителя победителя
президентских президентских
выборов) выборов)
Экспертная оценка специалистов Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. 67/75
- 68. Принять единое
определение термина
«шифровальные средства»
Определить понятие «для
собственных нужд»
Разрешить использование
несертифицированных СКЗИ
при отсутствии аналогов
Сделать прозрачной
процедуру принятия
решения о разрешении
ввоза СКЗИ
Уточнить условия
лицензирования
© 2011 Cisco and/or its affiliates. All rights reserved. 68/75
- 69. © 2011 Cisco and/or its affiliates. All rights reserved. 69
- 70. • Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-
решения, поддерживающие российские криптоалгоритмы на
базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625,
124-1626 от 28 февраля 2011 года
Сертификат по классу КС2 на оба решения
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)
Решение для ЦОД и штаб-квартир
• На базе UCS C-200
© 2011 Cisco and/or its affiliates. All rights reserved. 70/75
- 71. Отработанная Запущено
Свыше 5300 процедура локальное
нотификаций на оформления производство
оборудование запроса на ввоз модуля
Cisco «строгой» шифрования NME-
криптографии RVPN
Весной 2011 года Cisco получила
лицензии ФСБ на деятельность в
области шифрования
© 2011 Cisco and/or its affiliates. All rights reserved. 71/75
- 72. КЦ РГ
ПК127 ПК3 ТК362
АРБ ЦБ
«Безопасность «Защита «Защита Консультации Разработка
ИТ» информации в информации» банков по рекомендаций по
(представитель кредитно- при ФСТЭК вопросам ПДн ПДн и СТО БР
ISO SC27 в финансовых ИББС v4
России) учреждениях»
© 2011 Cisco and/or its affiliates. All rights reserved. 72/75
- 73. 500+ ФСБ НДВ 28 96
Сертификатов Сертифицировала Отсутствуют в Линеек Продуктовых
ФСТЭК на решения Cisco ряде продукции линеек Cisco
продукцию Cisco (совместно с С- продуктовых Cisco прошли сертифицированы
Терра СиЭсПи) линеек Cisco сертификацию во ФСТЭК
по схеме
«серийное
производство»
© 2011 Cisco and/or its affiliates. All rights reserved. 73/75
- 74. http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. 74/75