Сложностирегулированиякриптографии в РоссииАлексей Лукацкий,бизнес-консультант по безопасности© 2011 Cisco and/or its affi...
Смена ожиданий бизнеса в отношенииинформационной безопасности© 2011 Cisco and/or its affiliates. All rights reserved.   2/42
СоциальныеАутсорсинг                             Виртуализация        Облака   Мобильность   Web 2.0                      ...
БИЗНЕС И ИТ                                              ТРЕБОВАНИЯ    ПРИОРИТЕТЫ                                         ...
• Первые публичные нормативные по       криптографии относятся к 1995 г.• Основная предпосылка при       создании НПА – вс...
Ввоз шифровальных средств                                                           на территорию Российской              ...
1           Нечеткость                                   терминологии                                                     ...
© 2011 Cisco and/or its affiliates. All rights reserved.   8
• Средства шифрования в любом исполнении• Средства имитозащиты в любом исполнении• Средства ЭЦП в любом исполнении        ...
• Системы, оборудование и компоненты, разработанные или       модифицированные для выполнения криптоаналитических       фу...
• Новый закон «О лицензировании отдельных видов       деятельности» заставил получать лицензии ФСБ на       разработку, пр...
• Необходимость применения      шифровальных (криптографических)                          Законы      средств, как правило...
• Получить согласие субъекта на передачу в открытом виде            Так делает Роскомнадзор у себя на сайте• Обеспечить ко...
• Подписан 3 апреля 1995 года (изменен 25 июля 2000 года)• Запрещено использование госорганами шифровальных       средств ...
• Часть его норм продолжает действовать            Например, требования по ввозу шифровальных средств и использованию     ...
• Все этапы жизненного цикла шифровального средства                                                              Ввоз     ...
© 2011 Cisco and/or its affiliates. All rights reserved.   17
• Положение о порядке ввоза на таможенную территорию       таможенного союза и вывоза с таможенной территории       таможе...
• Принтеры, копиры и факсы• Кассовые аппараты• Карманные компьютеры• Карманные машины для записи, воспроизведения и       ...
• Аппаратура для радио- и телевещания и приема• Радионавигационные приемники, устройства дистанционного       управления• ...
Упрощенная схема                           По лицензии                 • Ввоз по                                 • Разреше...
• Товары, содержащие шифровальные (криптографические)       средства, имеющие любую из следующих составляющих:            ...
• Шифровальные (криптографические) средства, являющиеся       компонентами программных операционных систем,       криптогр...
• Беспроводное радиоэлектронное оборудование,       осуществляющее шифрование информации только в       радиоканале с макс...
© 2011 Cisco and/or its affiliates. All rights reserved.   25
• Лицензия ФСБ на деятельность в области шифрования            Предоставление услуг в области шифрования информации       ...
• В явном виде нет, но такие мероприятия как            монтаж, установка, наладка шифровальных (криптографических) средст...
© 2011 Cisco and/or its affiliates. All rights reserved.   28/42
• Новый закон «О лицензировании отдельных видов       деятельности» от 4 мая 2011 года вновь вернул термин «для       собс...
• Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва       «О порядке осуществления иностранных инвестиций в      ...
• Хозяйственное общество, имеющее стратегическое значение       для обеспечения обороны страны и безопасности       госуда...
© 2011 Cisco and/or its affiliates. All rights reserved.   32
• Для обеспечения безопасности персональных данных при их       обработке в информационных системах должны       использов...
• Можно ли использовать сертифицированное криптоядро в       составе VPN-решений?            Можно• Будет ли такое использ...
Число нормативных актов с требованиями                                     сертификации по требованиям безопасности       ...
• По линии ФСБ существует две системы сертификации            система сертификации средств криптографической защиты информ...
• Оценка соответствия ≠       сертификация• Оценка соответствия - прямое       или косвенное определение       соблюдения ...
Госконтроль и                                                              надзор                                         ...
© 2011 Cisco and/or its affiliates. All rights reserved.   39
Закручивание             Останется все,                 Либерализация                                                     ...
Принять единое                                                           определение термина                              ...
Спасибоза внимание!        security-request@cisco.com
Upcoming SlideShare
Loading in …5
×

Positive Hack Days. Лукацкий. Сложности регулирования криптографии в России

3,628 views

Published on

Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,628
On SlideShare
0
From Embeds
0
Number of Embeds
1,971
Actions
Shares
0
Downloads
70
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Positive Hack Days. Лукацкий. Сложности регулирования криптографии в России

  1. 1. Сложностирегулированиякриптографии в РоссииАлексей Лукацкий,бизнес-консультант по безопасности© 2011 Cisco and/or its affiliates. All rights reserved. 1
  2. 2. Смена ожиданий бизнеса в отношенииинформационной безопасности© 2011 Cisco and/or its affiliates. All rights reserved. 2/42
  3. 3. СоциальныеАутсорсинг Виртуализация Облака Мобильность Web 2.0 сети © 2011 Cisco and/or its affiliates. All rights reserved. 3/42
  4. 4. БИЗНЕС И ИТ ТРЕБОВАНИЯ ПРИОРИТЕТЫ РЕГУЛЯТОРОВ Совместная работа Легальный ввоз Легальное Облака и аутсорсинг использование Легальное Холдинги распространение© 2011 Cisco and/or its affiliates. All rights reserved. 4/42
  5. 5. • Первые публичные нормативные по криптографии относятся к 1995 г.• Основная предпосылка при создании НПА – всецелый контроль СКЗИ на всех этапах их жизненного цикла• В качестве базы при создании НПА взят подход по защите государственной тайны• ФСБ продолжает придерживаться этой позиции и спустя 15 лет, несмотря на рост числа ее противников© 2011 Cisco and/or its affiliates. All rights reserved. 5/42
  6. 6. Ввоз шифровальных средств на территорию Российской Федерации Лицензирование деятельности, связанной с шифрованием Использование сертифицированных шифровальных средств© 2011 Cisco and/or its affiliates. All rights reserved. 6/42
  7. 7. 1 Нечеткость терминологии 4 Непонимание модели угроз современного бизнеса 3 Различные этапы жизненного цикла – различные Унаследованные требования 5 Отсутствие четкой позиции 2 правила регулятора© 2011 Cisco and/or its affiliates. All rights reserved. 7/42
  8. 8. © 2011 Cisco and/or its affiliates. All rights reserved. 8
  9. 9. • Средства шифрования в любом исполнении• Средства имитозащиты в любом исполнении• Средства ЭЦП в любом исполнении Но не средства ЭП• Средства кодирования• Средства изготовления ключевых документов• Ключевые документы• но это не все© 2011 Cisco and/or its affiliates. All rights reserved. 9/42
  10. 10. • Системы, оборудование и компоненты, разработанные или модифицированные для выполнения криптоаналитических функций• Системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов генерации расширяющегося кода для систем с расширяющимся спектром, включая скачкообразную перестройку кодов для систем со скачкообразной перестройкой частоты• Системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов формирования каналов или засекречивающих кодов для модулированных по времени сверхширокополосных систем• Криптография ≠ методы сжатия или кодирования© 2011 Cisco and/or its affiliates. All rights reserved. 10/42
  11. 11. • Новый закон «О лицензировании отдельных видов деятельности» заставил получать лицензии ФСБ на разработку, производство, распространение и техническое обслуживание Информационных систем, защищенных с использование шифровальных средств Телекоммуникационных систем, защищенных с использование шифровальных средств• Информационная система – совокупность содержащейся в БД информации и обеспечивающих ее обработку ИТ и технических средств© 2011 Cisco and/or its affiliates. All rights reserved. 11/42
  12. 12. • Необходимость применения шифровальных (криптографических) Законы средств, как правило, проявляется в случаях, когда безопасность хранения и обработки информации не может быть гарантированно обеспечена другими средствами Конфиденциальность В число таких случаев входит, например, случай передачи персональных данных по сетям общего ≠ пользования, в которых принципиально Шифрование невозможно исключить доступ нарушителя к передаваемой информации НПА регуляторов© 2011 Cisco and/or its affiliates. All rights reserved. 12/42
  13. 13. • Получить согласие субъекта на передачу в открытом виде Так делает Роскомнадзор у себя на сайте• Обеспечить контролируемую зону• Использовать оптические каналы связи И правильную модель угроз• Переложить задачу обеспечения конфиденциальности на оператора связи По договоре• Использовать шифровальные средства© 2011 Cisco and/or its affiliates. All rights reserved. 13/42
  14. 14. • Подписан 3 апреля 1995 года (изменен 25 июля 2000 года)• Запрещено использование госорганами шифровальных средств без сертификата ФСБ• Запрещено госорганам размещать госзаказ на предприятиях, использующих шифровальные средства без сертификата• Применять меры к банкам, не применяющим сертифицированные шифровальные средства при общении с Банком России• Запретить деятельность юрлиц и физлиц, связанную с …эксплуатацией шифровальных средств без лицензии ФСБ• Запретить ввоз шифровальных средств без лицензии Минпромторга и разрешения ФСБ• Наказывать виновных по всей строгости закона© 2011 Cisco and/or its affiliates. All rights reserved. 14/42
  15. 15. • Часть его норм продолжает действовать Например, требования по ввозу шифровальных средств и использованию госорганов только сертифицированных шифровальных средств• Часть статей фактически отменены новыми нормативно- правовыми актами Законом «О лицензировании отдельных видов деятельности» Законом «О техническом регулировании» Гражданским Кодексом• В явном виде Указ 334 до сих пор не отменен Несмотря на циркулирующие слухи© 2011 Cisco and/or its affiliates. All rights reserved. 15/42
  16. 16. • Все этапы жизненного цикла шифровального средства Ввоз Оказание услуг Эксплуатация Разработка ТО Вывоз Контроль и Производство Распространение надзор Оценка Реализация соответствия© 2011 Cisco and/or its affiliates. All rights reserved. 16/42
  17. 17. © 2011 Cisco and/or its affiliates. All rights reserved. 17
  18. 18. • Положение о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств• Шифровальные (криптографические) средства, ввоз которых на таможенную территорию таможенного союза и вывоз с таможенной территории таможенного союза ограничен• Если у средства функция шифрования не используется или неосновная, то средство все равно считается шифровальным© 2011 Cisco and/or its affiliates. All rights reserved. 18/42
  19. 19. • Принтеры, копиры и факсы• Кассовые аппараты• Карманные компьютеры• Карманные машины для записи, воспроизведения и визуального представления• Вычислительные машины и их комплектующие• Абонентские устройства связи• Базовые станции• Телекоммуникационное оборудование• Программное обеспечение© 2011 Cisco and/or its affiliates. All rights reserved. 19/42
  20. 20. • Аппаратура для радио- и телевещания и приема• Радионавигационные приемники, устройства дистанционного управления• Аппаратура доступа в Интернет• Схемы электронные, интегральные, запоминающие устройства• Прочее© 2011 Cisco and/or its affiliates. All rights reserved. 20/42
  21. 21. Упрощенная схема По лицензии • Ввоз по • Разрешение ФСБ нотификации • Ввоз по лицензии Минпромторга• Проверка легитимности ввоза по нотификации http://www.tsouz.ru/db/entr/notif/Pages/default.aspx• Проверка легитимности ввоза по лицензии Копия разрешения ФСБ© 2011 Cisco and/or its affiliates. All rights reserved. 21/42
  22. 22. • Товары, содержащие шифровальные (криптографические) средства, имеющие любую из следующих составляющих: симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит; или асимметричный криптографический алгоритм, основанный на любом из следующих методов: на разложении на множители целых чисел, размер которых не превышает 512 бит; на вычислении дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит; или o на дискретном логарифме в группе, отличного от поименованного в вышеприведенном подпункте “б” размера, не превышающего 112 бит• Товары, у которых криптографическая функция заблокирована производителем© 2011 Cisco and/or its affiliates. All rights reserved. 22/42
  23. 23. • Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной• Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций• Средства аутентификации и ЭЦП© 2011 Cisco and/or its affiliates. All rights reserved. 23/42
  24. 24. • Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя• Шифровальные (криптографические) средства, используемые для защиты технологических каналов информационно- телекоммуникационных систем и сетей связи• Портативные или мобильные радиоэлектронные средства гражданского применения без сквозного шифрования• Персональные смарт-карты• Приемная аппаратура для радиовещания, коммерческого телевидения и вещания на ограниченную аудиторию• Средства защиты от копирования© 2011 Cisco and/or its affiliates. All rights reserved. 24/42
  25. 25. © 2011 Cisco and/or its affiliates. All rights reserved. 25
  26. 26. • Лицензия ФСБ на деятельность в области шифрования Предоставление услуг в области шифрования информации Деятельность по техническому обслуживанию шифровальных средств Деятельность по распространению шифровальных средств Деятельность по разработке, производству шифровальных средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем• 4 мая 2011 года принята новая редакция закона «О лицензировании отдельных видов деятельности» (99-ФЗ) Единая лицензия на разработку, производство, распространение, выполнение работ, оказание услуг и техническое обслуживание шифровальных средств, информационных и телекоммуникационных систем, защищенных с помощью шифровальных средств© 2011 Cisco and/or its affiliates. All rights reserved. 26/42
  27. 27. • В явном виде нет, но такие мероприятия как монтаж, установка, наладка шифровальных (криптографических) средств ремонт, сервисное обслуживание шифровальных (криптографических) средств утилизация и уничтожение шифровальных (криптографических) средств работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства• относятся к техническому обслуживанию• Представители 8-го Центра ФСБ многократно заявляют, что для собственных нужд лицензия не нужна© 2011 Cisco and/or its affiliates. All rights reserved. 27/42
  28. 28. © 2011 Cisco and/or its affiliates. All rights reserved. 28/42
  29. 29. • Новый закон «О лицензировании отдельных видов деятельности» от 4 мая 2011 года вновь вернул термин «для собственных нужд» (только для технического обслуживания)• Однако данные термин не определен и вызывает множество вопросов Шифрование для защиты информации сотрудников и клиентов – это собственные нужды или нет?© 2011 Cisco and/or its affiliates. All rights reserved. 29/42
  30. 30. • Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства» В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами© 2011 Cisco and/or its affiliates. All rights reserved. 30/42
  31. 31. • Хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства, - предприятие созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона пп.11-14 – 4 вида лицензирования деятельности в области шифрования Наличие всего лишь одного маршрутизатора с IPSec требует от вас лицензии на ТО СКЗИ© 2011 Cisco and/or its affiliates. All rights reserved. 31/42
  32. 32. © 2011 Cisco and/or its affiliates. All rights reserved. 32
  33. 33. • Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства• Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России Методические рекомендации ФСБ по защите персданных© 2011 Cisco and/or its affiliates. All rights reserved. 33/42
  34. 34. • Можно ли использовать сертифицированное криптоядро в составе VPN-решений? Можно• Будет ли такое использование легитимным? Нет!!!© 2011 Cisco and/or its affiliates. All rights reserved. 34/42
  35. 35. Число нормативных актов с требованиями сертификации по требованиям безопасности 8 7 6 5 4 3 2 1 0 * - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.) 35© 2011 Cisco and/or its affiliates. All rights reserved. 35/42
  36. 36. • По линии ФСБ существует две системы сертификации система сертификации средств криптографической защиты информации (РОСС RU.0001.030001) система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (РОСС RU.0003.01БИ00)• СКЗИ оцениваются на соответствие «Требованиям к средствам криптографической защиты конфиденциальной информации»• Ответственность за использование несертифицированных СКЗИ несет пользователь• Невозможность обновления сертифицированной продукции© 2011 Cisco and/or its affiliates. All rights reserved. 36/42
  37. 37. • Оценка соответствия ≠ сертификация• Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту• Оценка соответствия регулируется ФЗ-184 «О техническом регулировании»© 2011 Cisco and/or its affiliates. All rights reserved. 37/42
  38. 38. Госконтроль и надзор Аккредитация Испытания Оценка Добровольная Регистрация соответствия сертификация Подтверждение Обязательная соответствия сертификация Приемка и ввод Декларирование в эксплуатацию соответствия В иной форме© 2011 Cisco and/or its affiliates. All rights reserved. 38/42
  39. 39. © 2011 Cisco and/or its affiliates. All rights reserved. 39
  40. 40. Закручивание Останется все, Либерализация гаек как есть • Вероятность - • Вероятность - • Вероятность - 20% (на 45% (на 30% (на данный данный данный момент) момент) момент) • Вероятность • Вероятность через 2 года - через 2 года - 35% и 10% (в 20% и 55% (в зависимости от зависимости от победителя победителя президентских президентских выборов) выборов) Экспертная оценка специалистов Cisco© 2011 Cisco and/or its affiliates. All rights reserved. 40/42
  41. 41. Принять единое определение термина «шифровальные средства» Определить понятие «для собственных нужд» Разрешить использование несертифицированных СКЗИ при отсутствии аналогов Сделать прозрачной процедуру принятия решения о разрешении ввоза СКЗИ Уточнить условия лицензирования© 2011 Cisco and/or its affiliates. All rights reserved. 41/42
  42. 42. Спасибоза внимание! security-request@cisco.com

×