More Related Content Similar to Crypto regulations in Russia (medium version)
Similar to Crypto regulations in Russia (medium version) (20) More from Aleksey Lukatskiy
More from Aleksey Lukatskiy (20) Crypto regulations in Russia (medium version)3. Социальные
Аутсорсинг Виртуализация Облака Мобильность Web 2.0
сети
© 2011 Cisco and/or its affiliates. All rights reserved. 3/75
4. БИЗНЕС И ИТ ТРЕБОВАНИЯ
ПРИОРИТЕТЫ РЕГУЛЯТОРОВ
Совместная работа Легальный ввоз
Легальное
Облака и аутсорсинг
использование
Легальное
Холдинги
распространение
© 2011 Cisco and/or its affiliates. All rights reserved. 4/75
5. • Первые публичные нормативные по
криптографии относятся к 1995 г.
• Основная предпосылка при
создании НПА – всецелый контроль
СКЗИ на всех этапах их жизненного
цикла
• В качестве базы при создании НПА
взят подход по защите
государственной тайны
• ФСБ продолжает придерживаться
этой позиции и спустя 15 лет,
несмотря на рост числа ее
противников
© 2011 Cisco and/or its affiliates. All rights reserved. 5/75
6. Ввоз шифровальных средств
на территорию Российской
Федерации
Лицензирование
деятельности, связанной с
шифрованием
Использование
сертифицированных
шифровальных средств
© 2011 Cisco and/or its affiliates. All rights reserved. 6/75
7. 1 Нечеткость
терминологии
4 Непонимание модели угроз
современного бизнеса
3 Различные этапы
жизненного цикла
– различные
Унаследованные требования 5 Отсутствие четкой позиции
2 правила регулятора
© 2011 Cisco and/or its affiliates. All rights reserved. 7/75
8. © 2011 Cisco and/or its affiliates. All rights reserved. 8
9. • Средства шифрования в любом исполнении
• Средства имитозащиты в любом исполнении
• Средства ЭЦП в любом исполнении
Но не средства ЭП
• Средства кодирования
• Средства изготовления ключевых документов
• Ключевые документы
• но это не все
© 2011 Cisco and/or its affiliates. All rights reserved. 9/75
10. • Системы, оборудование и компоненты, разработанные или
модифицированные для выполнения криптоаналитических
функций
• Системы, оборудование и компоненты, разработанные или
модифицированные для применения криптографических
методов генерации расширяющегося кода для систем с
расширяющимся спектром, включая скачкообразную
перестройку кодов для систем со скачкообразной
перестройкой частоты
• Системы, оборудование и компоненты, разработанные или
модифицированные для применения криптографических
методов формирования каналов или засекречивающих
кодов для модулированных по времени
сверхширокополосных систем
• Криптография ≠ методы сжатия или кодирования
© 2011 Cisco and/or its affiliates. All rights reserved. 10/75
11. • Новый закон «О лицензировании отдельных видов
деятельности» заставил получать лицензии ФСБ на
разработку, производство, распространение и техническое
обслуживание
Информационных систем, защищенных с использование шифровальных
средств
Телекоммуникационных систем, защищенных с использование
шифровальных средств
• Информационная система – совокупность содержащейся в
БД информации и обеспечивающих ее обработку ИТ и
технических средств
© 2011 Cisco and/or its affiliates. All rights reserved. 11/75
12. • Необходимость применения
шифровальных (криптографических) Законы
средств, как правило, проявляется в
случаях, когда безопасность
хранения и обработки информации
не может быть гарантированно
обеспечена другими средствами Конфиденциальность
В число таких случаев входит,
например, случай передачи
персональных данных по сетям общего
≠
пользования, в которых принципиально Шифрование
невозможно исключить доступ
нарушителя к передаваемой
информации
НПА регуляторов
© 2011 Cisco and/or its affiliates. All rights reserved. 12/75
13. • Получить согласие субъекта на передачу в открытом виде
Так делает Роскомнадзор у себя на сайте
• Обеспечить контролируемую зону
• Использовать оптические каналы связи
И правильную модель угроз
• Переложить задачу обеспечения конфиденциальности на
оператора связи
По договоре
• Использовать шифровальные средства
© 2011 Cisco and/or its affiliates. All rights reserved. 13/75
14. • Большинство нормативных актов ФСБ говорит о
«конфиденциальной информации» или «информации
конфиденциального характера»
• Трехглавый ФЗ-149 «Об информации, информационных
технологиях и защите информации» (в редакции 2006-го года)
говорит о конфиденциальности, как о требовании, а не о
свойстве или характеристике
• Указ 188 («Об утверждении перечня сведений
конфиденциального характера») также не говорит о
конфиденциальности
© 2011 Cisco and/or its affiliates. All rights reserved. 14/75
15. • Все этапы жизненного цикла шифровального средства
Ввоз Оказание услуг Эксплуатация
Разработка ТО Вывоз
Контроль и
Производство Распространение
надзор
Оценка
Реализация
соответствия
© 2011 Cisco and/or its affiliates. All rights reserved. 15/75
16. © 2011 Cisco and/or its affiliates. All rights reserved. 16
17. • Положение о порядке ввоза на таможенную территорию
таможенного союза и вывоза с таможенной территории
таможенного союза шифровальных (криптографических)
средств
• Шифровальные (криптографические) средства, ввоз которых
на таможенную территорию таможенного союза и вывоз с
таможенной территории таможенного союза ограничен
• Данные положения применяются к ЛЮБЫМ производителям
• Если у средства функция шифрования не используется или
неосновная, то средство все равно считается шифровальным
© 2011 Cisco and/or its affiliates. All rights reserved. 17/75
18. • Принтеры, копиры и факсы
• Кассовые аппараты
• Карманные компьютеры
• Карманные машины для записи, воспроизведения и
визуального представления
• Вычислительные машины и их комплектующие
• Абонентские устройства связи
• Базовые станции
• Телекоммуникационное оборудование
• Программное обеспечение
© 2011 Cisco and/or its affiliates. All rights reserved. 18/75
19. • Аппаратура для радио- и телевещания и приема
• Радионавигационные приемники, устройства дистанционного
управления
• Аппаратура доступа в Интернет
• Схемы электронные, интегральные, запоминающие
устройства
• Прочее
• Большое количество позиций групп 84 и 85 Единого
Таможенного Тарифа таможенного союза Республики
Беларусь, Республики Казахстан и Российской Федерации
© 2011 Cisco and/or its affiliates. All rights reserved. 19/75
20. Упрощенная схема По лицензии
• Ввоз по • Разрешение ФСБ
нотификации • Ввоз по лицензии
Минпромторга
• Проверка легитимности ввоза по нотификации
http://www.tsouz.ru/db/entr/notif/Pages/default.aspx
• Проверка легитимности ввоза по лицензии
Копия положительного заключения ФСБ на ввоз
© 2011 Cisco and/or its affiliates. All rights reserved. 20/75
21. • Товары, содержащие шифровальные (криптографические)
средства, имеющие любую из следующих составляющих:
симметричный криптографический алгоритм, использующий
криптографический ключ длиной, не превышающей 56 бит; или
асимметричный криптографический алгоритм, основанный на любом из
следующих методов:
на разложении на множители целых чисел, размер которых не
превышает 512 бит;
на вычислении дискретных логарифмов в мультипликативной группе
конечного поля размера, не превышающего 512 бит; или
o на дискретном логарифме в группе, отличного от поименованного в
вышеприведенном подпункте “б” размера, не превышающего 112 бит
• Товары, у которых криптографическая функция
заблокирована производителем
© 2011 Cisco and/or its affiliates. All rights reserved. 21/75
22. • Шифровальные (криптографические) средства, являющиеся
компонентами программных операционных систем,
криптографические возможности которых не могут быть
изменены пользователями, которые разработаны для
установки пользователем самостоятельно без дальнейшей
существенной поддержки поставщиком и техническая
документация (описание алгоритмов криптографических
преобразований, протоколы взаимодействия, описание
интерфейсов и т.д.) на которые является доступной
• Шифровальное (криптографическое) оборудование,
специально разработанное и ограниченное применением для
банковских или финансовых операций
• Средства аутентификации и ЭЦП
© 2011 Cisco and/or its affiliates. All rights reserved. 22/75
23. • Беспроводное радиоэлектронное оборудование,
осуществляющее шифрование информации только в
радиоканале с максимальной дальностью беспроводного
действия без усиления и ретрансляции менее 400м в
соответствии с техническими условиями производителя
• Шифровальные (криптографические) средства, используемые
для защиты технологических каналов информационно-
телекоммуникационных систем и сетей связи
• Портативные или мобильные радиоэлектронные средства
гражданского применения без сквозного шифрования
• Персональные смарт-карты
• Приемная аппаратура для радиовещания, коммерческого
телевидения и вещания на ограниченную аудиторию
• Средства защиты от копирования
© 2011 Cisco and/or its affiliates. All rights reserved. 23/75
24. © 2011 Cisco and/or its affiliates. All rights reserved. 24
25. • Лицензия ФСБ на деятельность в области шифрования
Предоставление услуг в области шифрования информации
Деятельность по техническому обслуживанию шифровальных средств
Деятельность по распространению шифровальных средств
Деятельность по разработке, производству шифровальных средств,
защищенных использованием шифровальных (криптографических)
средств информационных и телекоммуникационных систем
• 4 мая 2011 года принята новая редакция закона «О
лицензировании отдельных видов деятельности» (99-ФЗ)
Единая лицензия на разработку, производство, распространение,
выполнение работ, оказание услуг и техническое обслуживание
шифровальных средств, информационных и телекоммуникационных
систем, защищенных с помощью шифровальных средств
© 2011 Cisco and/or its affiliates. All rights reserved. 25/75
26. • В явном виде нет, но такие мероприятия как
монтаж, установка, наладка шифровальных (криптографических) средств
ремонт, сервисное обслуживание шифровальных (криптографических)
средств
утилизация и уничтожение шифровальных (криптографических) средств
работы по обслуживанию шифровальных (криптографических) средств,
предусмотренные технической и эксплуатационной документацией на эти
средства
• относятся по мнению ФСБ к лицензируемому виду
деятельности – техническому обслуживанию
• Техническое обслуживание - комплекс операций или
операция по поддержанию работоспособности или
исправности изделия при использовании по назначению,
ожидании, хранении и транспортировании
ГОСТ 18322-78 «Система технического обслуживания и ремонта техники.
Термины и определения»
© 2011 Cisco and/or its affiliates. All rights reserved. 26/75
27. • Представители 8-го Центра ФСБ многократно заявляли, что
для собственных нужд лицензия не нужна
© 2011 Cisco and/or its affiliates. All rights reserved. 27/75
28. • Новый закон «О лицензировании отдельных видов
деятельности» от 4 мая 2011 года вновь вернул термин «для
собственных нужд» (но только для технического
обслуживания шифровальных средств)
• Однако данные термин «собственные нужды» не определен и
вызывает множество вопросов
Шифрование для защиты информации сотрудников и клиентов – это
собственные нужды или нет?
Шифрование персональных данных – это защита собственных интересов
или прав субъектов ПДн?
© 2011 Cisco and/or its affiliates. All rights reserved. 28/75
29. • Что такое ТО?
К деятельности по техническому
обслуживанию шифровальных
(криптографических) средств не
относится эксплуатация СКЗИ в
соответствии с требованиями
эксплуатационной и технической
документации, входящей в комплект
поставки СКЗИ
• Не относится к лицензируемой
деятельности
Передача СКЗИ клиентам и «дочкам»
Генерация и передача сгенерированных
ключей
© 2011 Cisco and/or its affiliates. All rights reserved. 29/75
30. • Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва
«О порядке осуществления иностранных инвестиций в
хозяйственные общества, имеющие стратегическое значение
для обеспечения обороны страны и безопасности
государства»
В целях обеспечения обороны страны и безопасности государства
настоящим Федеральным законом устанавливаются изъятия
ограничительного характера для иностранных инвесторов и для группы
лиц, в которую входит иностранный инвестор, при их участии в уставных
капиталах хозяйственных обществ, имеющих стратегическое значение
для обеспечения обороны страны и без опасности государства, и (или)
совершении ими сделок, влекущих за собой установление контроля над
указанными хозяйственными обществами
© 2011 Cisco and/or its affiliates. All rights reserved. 30/75
31. • Хозяйственное общество, имеющее стратегическое значение
для обеспечения обороны страны и безопасности
государства, - предприятие созданное на территории
Российской Федерации и осуществляющее хотя бы один из
видов деятельности, имеющих стратегическое значение для
обеспечения обороны страны и безопасности государства и
указанных в статье 6 настоящего Федерального закона
пп.11-14 – 4 вида лицензирования деятельности в области шифрования
Наличие всего лишь одного маршрутизатора с IPSec требует от вас
лицензии на ТО СКЗИ
• 23 марта приняты поправки в первом чтении, исключающие
банки (и только их) из перечня «стратегических» предприятий
© 2011 Cisco and/or its affiliates. All rights reserved. 31/75
32. © 2011 Cisco and/or its affiliates. All rights reserved. 32
33. • Подписан 3 апреля 1995 года (изменен 25 июля 2000 года)
• Запрещено использование госорганами шифровальных
средств без сертификата ФСБ
• Запрещено госорганам размещать госзаказ на предприятиях,
использующих шифровальные средства без сертификата
• Применять меры к банкам, не применяющим
сертифицированные шифровальные средства при общении с
Банком России
• Запретить деятельность юрлиц и физлиц, связанную с
…эксплуатацией шифровальных средств без лицензии ФСБ
• Запретить ввоз шифровальных средств без лицензии
Минпромторга и разрешения ФСБ
• Наказывать виновных по всей строгости закона
© 2011 Cisco and/or its affiliates. All rights reserved. 33/75
34. • Часть его норм продолжает действовать
Например, требования по ввозу шифровальных средств и использованию
госорганов только сертифицированных шифровальных средств
• Часть статей фактически отменены новыми нормативно-
правовыми актами
Законом «О лицензировании отдельных видов деятельности»
Законом «О техническом регулировании»
Гражданским Кодексом
• В явном виде Указ 334 до сих пор не отменен
Несмотря на циркулирующие слухи
© 2011 Cisco and/or its affiliates. All rights reserved. 34/75
35. • Да! Основополагающий документ – ПКЗ-2005
• ПКЗ-2005 регулирует отношения, возникающие при
разработке, производстве, реализации и эксплуатации
шифровальных (криптографических) средств защиты
информации с ограниченным доступом, не содержащей
сведений, составляющих государственную тайну (далее -
информация конфиденциального характера)
Приказ от 9.02.2005 № 66 (подписан директоров ФСБ, регистрация в
МинЮсте)
• ПКЗ-2005 не распространяется на иностранные СКЗИ
© 2011 Cisco and/or its affiliates. All rights reserved. 35/75
36. • ПКЗ-2005 применяется для
защиты информации конфиденциального характера, подлежащей защите
в соответствие с законодательством РФ
защиты информации в федеральных органах исполнительной власти,
органах исполнительной власти субъектов РФ
защиты информации в организациях независимо от их организационно-
правовой формы и формы собственности при выполнении ими заказов на
поставку товаров, выполнение работ или оказание услуг для
государственных нужд (далее - организации, выполняющие
государственные заказы)
защиты информации, которая возлагается законодательством РФ на лиц,
имеющих доступ к этой информации или наделенных полномочиями по
распоряжению сведениями, содержащимися в данной информации
защиты информации, обладателем которой являются государственные
органы или организации, выполняющие государственные заказы
© 2011 Cisco and/or its affiliates. All rights reserved. 36/75
37. • Режим защиты информации путем использования СКЗИ
устанавливается
обладателем информации конфиденциального характера
собственником (владельцем) информационных ресурсов
(информационных систем)
уполномоченными ими лицами на основании законодательства
Российской Федерации
© 2011 Cisco and/or its affiliates. All rights reserved. 37/75
38. Обмен • Обладатель информации
собственной • Собственник (владелец) системы
информацией
Обмен с • Госорган
госорганами
Обмен с
организациями • Организация госзаказа
госзаказа
Обработка и • Обладатель информации
хранение без • Пользователь (потребитель)
передачи
© 2011 Cisco and/or its affiliates. All rights reserved. 38/75
39. © 2011 Cisco and/or its affiliates. All rights reserved. 39
40. • СКЗИ должны удовлетворять требованиям технических
регламентов, оценка выполнения которых осуществляется в
порядке, определяемом 184-ФЗ «О техническом
регулировании»
ПКЗ-2005
• Качество криптографической защиты информации
конфиденциального характера, осуществляемой СКЗИ,
обеспечивается реализацией требований по безопасности
информации, предъявляемых к СКЗИ
© 2011 Cisco and/or its affiliates. All rights reserved. 40/75
41. • В отдельных случаях уровень защиты (сертификации СКЗИ)
устанавливается в нормативных документах
Преимущественно в ТЗ для федеральных информационных систем
• В Комплексе стандартов по ИБ Банка России (СТО БР ИББС)
предусмотрено применение средств шифрования,
сертифицированных по классу защиты не ниже КС2
• В остальных случаях уровень защиты определяется
потребителем СКЗИ на основании модели нарушителя
© 2011 Cisco and/or its affiliates. All rights reserved. 41/75
42. • 3 уровня защиты – А (КА1), В (КВ1, КВ2) и С (КС1, КС2, КС3)
Уровень сертификации СКЗИ зависит от количества и жесткости
требований
• 6 моделей нарушителя
Н1 – внешний нарушитель, действующий без помощи изнутри
Н2 – внутренний нарушитель, не являющийся пользователем СКЗИ
Н3 – внутренний нарушитель, являющийся пользователем СКЗИ
Н4 – нарушитель, привлекающий специалистов в области разработки
СКЗИ и их анализа
Н5 – нарушитель, привлекающий НИИ в области разработки СКЗИ и их
анализа
Н6 – спецслужбы иностранных государств
© 2011 Cisco and/or its affiliates. All rights reserved. 42/75
43. • Для криптографической защиты информации
конфиденциального характера должны использоваться СКЗИ,
удовлетворяющие требованиям по безопасности
информации, устанавливаемым в соответствии с
законодательством Российской Федерации
ПКЗ-2005
© 2011 Cisco and/or its affiliates. All rights reserved. 43/75
44. • Указ №351 и ФЗ-85 (об участии в международном информационном
обмене)
• ПП-424 (о подключении федеральных государственных ИС к Интернет)
• Приказ ФСО №487 (о российском сегменте Интернет)
• Приказ Минкомсвязи №104 (о государственных ИС общего
пользования)
• Приказ ФСТЭК/ФСБ №489/416 (о требованиях по защите ИС общего
пользования)
• ПП-330 (об особенностях оценки соответствия средств защиты
государственных ИС и ИСПДн)
• Приказ МЭР №54 (об электронных торговых площадках)
• Методические рекомендации ФСБ по персданным
• ПП-781 (о защите персональных данных)
• А также ФЗ-149, СТР-К, ПП-608, Указ №334, РД ФСТЭК по КСИИ
© 2011 Cisco and/or its affiliates. All rights reserved. 44/75
45. Число нормативных актов с требованиями
сертификации по требованиям безопасности
8
7
6
5
4
3
2
1
0
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
45
© 2011 Cisco and/or its affiliates. All rights reserved. 45/75
46. • По линии ФСБ существует две системы сертификации
Система сертификации средств криптографической защиты информации
(РОСС RU.0001.030001)
Система сертификации средств защиты информации по требованиям
безопасности для сведений, составляющих государственную тайну (РОСС
RU.0003.01БИ00)
• СКЗИ оцениваются на соответствие «Требованиям к
средствам криптографической защиты конфиденциальной
информации»
• Ответственность за использование несертифицированных
СКЗИ несет пользователь
• Практическая невозможность обновления
сертифицированной продукции
© 2011 Cisco and/or its affiliates. All rights reserved. 46/75
47. • Старые НПА «говорят»
преимущественно о
сертификации, а новые – об
оценке соответствия
• Оценка соответствия ≠
сертификация
• Оценка соответствия - прямое
или косвенное определение
соблюдения требований,
предъявляемых к объекту
• Оценка соответствия
регулируется ФЗ-184 «О
техническом регулировании»
© 2011 Cisco and/or its affiliates. All rights reserved. 47/75
48. Госконтроль и
надзор
Аккредитация
Испытания
Оценка Добровольная
Регистрация
соответствия сертификация
Подтверждение Обязательная
соответствия сертификация
Приемка и ввод Декларирование
в эксплуатацию соответствия
В иной форме
© 2011 Cisco and/or its affiliates. All rights reserved. 48/75
49. • Работа представительств иностранных компаний в России
Импорт западной криптографии или экспорт отечественной
• Коммерческое IP-телевидение и IP-видеонаблюдение
Устройства не поддерживают и не будут ГОСТы, т.к. они производятся за
пределами России и поставляются в сотни стран мира
• Шифрование на скоростях свыше 10 Гбит/секи выше
Магистральные каналы связи или синхронизация ЦОДов
• Стандарты беспроводной связи 802.11i, мобильной связи
2.5G, 3G, а также LTE и Wi-Max
© 2011 Cisco and/or its affiliates. All rights reserved. 49/75
50. • Шифрование в смартфонах, iPhone и т.п.
• Доступ к российским Интернет-банкам с компьютера в
Интернет-кафе на заграничном отдыхе
На нем нет никакого российского криптопровайдера
• Доступ из-за границы к любой российской платежной системе
(Assist, ChronoPay, Яндекс.Деньги, Рапида и т.д.), а также к
любой иной системе электронной коммерции (заказ билетов,
заказ книг в Интернет-магазинах и т.п.)
• Защищенная электронная Web-почта по протоколу HTTPS
© 2011 Cisco and/or its affiliates. All rights reserved. 50/75
51. • Шифрование в протоколе FibreChannel при записе на
ленточку в центре обработке данных
• Шифрование в протоколе FibreChannel при передаче данных
внутри центра обработки данных или между разными
центрами
• Аутсорсинг и XaaS (Cloud Computing)
Вся обработка осуществляется через Интернет и, возможно, где-то за
границей
• Поддержка АСУ ТП
• И т.п.
© 2011 Cisco and/or its affiliates. All rights reserved. 51/75
52. © 2011 Cisco and/or its affiliates. All rights reserved. 52/75
53. • Шифрование на скоростях 40 Гбит/сек
• Предложение регулятора / отечественных разработчиков –
поставить кластер из VPN-шлюзов
Шлюз поддерживает скорость до 1 Гбит/сек
• Итоговое решение – 40+n шлюзов на одном конце и столько
же на другом конце
Сколько стоят 80+2n отечественных VPN-шлюзов?
n нужно для резервирования
© 2011 Cisco and/or its affiliates. All rights reserved. 53/75
54. • Вы устанавливаете сертифицированные СКЗИ, то
• Вы не можете
Эффективно работать с мультимедиа-трафиком (Telepresence и т.п.) на
том же уровне, что и западные СКЗИ
Работать на мультигигабитных скоростях (особенно выше 3.5 Гбит/сек)
Работать из-за границы с арендованных компьютеров/устройств
Использовать аутсорсинг или облачные вычисления (в т.ч. и в России)
Использовать большинство мобильных платформ в бизнесе
• И стоить это будет колоссальных денег ;-(
© 2011 Cisco and/or its affiliates. All rights reserved. 54/75
55. • Западные VPN-продукты не могут быть использованы для
шифрования большинства видов защищаемой информации
Если это не разрешено ФСБ
Де-факто, получение разрешения на ввоз дает право на использование
Вопрос о терминах «конфиденциальная информация»,
«конфиденциальность», «сведения конфиденциального характера»
остается открытым
• Сертифицировать зарубежные СКЗИ невозможно
Сертификации подлежат СКЗИ, реализующие ГОСТы
Отсутствуют требования по сертификации СКЗИ иностранного
производства
• Коллизия: использовать в ряде случаев можно только
сертифицированные СКЗИ. Отечественные СКЗИ не
отвечают техническим требованиям, а СКЗИ иностранного
производства сертифицировать невозможно
© 2011 Cisco and/or its affiliates. All rights reserved. 55/75
56. • Для обеспечения безопасности персональных данных при их
обработке в информационных системах должны
использоваться сертифицированные в системе сертификации
ФСБ России (имеющие положительное заключение
экспертной организации о соответствии требованиям
нормативных документов по безопасности информации)
криптосредства
• Встраивание криптосредств класса КС1 и КС2
осуществляется без контроля со стороны ФСБ России
Методические рекомендации ФСБ по защите персданных
• Встраивание не снимает задачи легального ввоза
иностранного VPN-продукта
© 2011 Cisco and/or its affiliates. All rights reserved. 56/75
57. • Можно ли использовать сертифицированное криптоядро в
составе VPN-решений?
Можно
• Будет ли такое использование легитимным?
Нет!!!
© 2011 Cisco and/or its affiliates. All rights reserved. 57/75
58. © 2011 Cisco and/or its affiliates. All rights reserved. 58
59. • Ст.13.12. Нарушение правил защиты информации (КоАП)
п.1 – нарушение лицензионных условий (до 10К рублей)
п.2. – использование несертифицированных СЗИ, если они подлежат
обязательной сертификации (до 20К рублей + конфискация)
п.3 – нарушение лицензионных условий по гостайне (до 20К рублей)
п.4. – использование несертифицированных СЗИ для гостайны (до 30К
рублей + конфискация)
п.5 – грубое нарушение лицензионных условий (до 15К рублей +
приостановление деятельности до 90 суток)
© 2011 Cisco and/or its affiliates. All rights reserved. 59/75
60. • Ст.13.13. Незаконная деятельность в области защиты
информации (КоАП)
п.1 – занятие защитой информации без лицензии, если она обязательна
(до 20К рублей + конфискация)
п.2. – занятие защитой гостайны и разработкой средств ее защиты без
лицензии (до 40К рублей + конфискация)
© 2011 Cisco and/or its affiliates. All rights reserved. 60/75
61. • Ст.171. Незаконное предпринимательство (УК РФ)
п.1 – осуществление деятельности без регистрации (если лицензия
обязательна), с нарушением правил регистрации, предоставление в
лицензирующий орган заведомо ложных сведений, если это причинило
ущерб гражданам, организацияс или государству или сопряжено с
извлечением крупного дохода (до 300К рублей или обязательные работы
до 240 часов либо арест до 6 месяцев)
п.2 – то же, но группой лиц или извлечение особо крупного дохода (до
500К рублей или лишение свободы до 5 лет)
• Около 20-ти уголовных дел, инициированных ФСБ против
российских организаций
© 2011 Cisco and/or its affiliates. All rights reserved. 61/75
62. • Отзыв лицензии ФСБ (только для лицензии на оказание
услуг)
и) использование лицензиатом шифровальных (криптографических)
средств иностранного производства при условии, что эти средства были
ввезены на территорию Российской Федерации и распространялись в
порядке, установленном нормативными правовыми актами Российской
Федерации
• Ст.188. Контрабанда (УК РФ)
п.1 – перемещение в крупном размере через таможенную границу
товаров в обход таможни, недекларирование или недостоверное
декларирование (до 300К рублей или лишение свободы до 5 лет)
© 2011 Cisco and/or its affiliates. All rights reserved. 62/75
63. • Ст.16.2. Недекларирование или недостоверное
декларирование (КоАП)
п.1 – недекларирование (до 20К рублей или конфискация или двукратная
стоимость контрабанды)
п.2 – недостоверное декларирование с целью занижения суммы пошлин
(до 20К рублей или двукратная сумма неуплаченных налогов или
конфискация)
п.3 – недостоверное декларирование с целью обхода ограничений на ввоз
(до 300К рублей или конфискация)
• Ст.16.3. Несоблюдение ограничений на ввоз товаров (КоАП)
п.1 – несоблюдение ограничений на ввоз, носящих экономический
характер (до 300К рублей)
п.2 – несоблюдение ограничений на ввоз (до 100К рублей + конфискация)
• Ст.16.7. Представление недействительных документов при
таможенном декларировании (КоАП)
п.1 – недостоверное декларирование (до 300К рублей + конфискация)
© 2011 Cisco and/or its affiliates. All rights reserved. 63/75
64. • Ст.14.1. Осуществление предпринимательской деятельности
без государственной регистрации или лицензии (КоАП)
п.3 – осуществление деятельности с нарушением лицензионных условий
(до 40К рублей)
п.4 – осуществление деятельности с грубым нарушением лицензионных
условий (до 50К рублей + приостановление деятельности до 90 суток)
© 2011 Cisco and/or its affiliates. All rights reserved. 64/75
65. © 2011 Cisco and/or its affiliates. All rights reserved. 65
66. • Весной 2011-го года ФСБ выразила обеспокоенность по
поводу использования в сетях связи общего пользования РФ
шифровальных средств иностранного производства
Skype, Gmail, Hotmail и т.д.
• Комиссия приняла решение создать межведомственную
рабочую группу по выработке предложений Правительства
РФ по использованию криптографических средств
• Данные предложения должны быть представлены
Правительству в срок до 1 октября 2011 года
Экскурс в историю: в августе 2007 года министр образования Фурсенко
предложил завоевать весь мир путем внедрения российской
криптографии. До 1-го декабря 2007 года должны были быть
представлены в Правительство предложения по завоеванию мира
Правда, после этого наши ГОСТы приняли в качестве RFC, а также в
качестве основы для DNSSEC… а потом объявили о взломе ГОСТ 28147
© 2011 Cisco and/or its affiliates. All rights reserved. 66/75
67. Закручивание Останется все,
Либерализация
гаек как есть
• Вероятность - • Вероятность - • Вероятность -
20% (на 45% (на 30% (на
данный данный данный
момент) момент) момент)
• Вероятность • Вероятность
через 2 года - через 2 года -
35% и 10% (в 20% и 55% (в
зависимости от зависимости от
победителя победителя
президентских президентских
выборов) выборов)
Экспертная оценка специалистов Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. 67/75
68. Принять единое
определение термина
«шифровальные средства»
Определить понятие «для
собственных нужд»
Разрешить использование
несертифицированных СКЗИ
при отсутствии аналогов
Сделать прозрачной
процедуру принятия
решения о разрешении
ввоза СКЗИ
Уточнить условия
лицензирования
© 2011 Cisco and/or its affiliates. All rights reserved. 68/75
69. © 2011 Cisco and/or its affiliates. All rights reserved. 69
70. • Компаниями Cisco и С-Терра СиЭсПи разработаны VPN-
решения, поддерживающие российские криптоалгоритмы на
базе оборудования Cisco
• Сертификат ФСБ СФ/114-1622, 114-1624, 124-1623, 124-1625,
124-1626 от 28 февраля 2011 года
Сертификат по классу КС2 на оба решения
Решение для удаленных офисов
• На базе модуля для ISR G1 и G2
(2800/2900/3800/3900)
Решение для ЦОД и штаб-квартир
• На базе UCS C-200
© 2011 Cisco and/or its affiliates. All rights reserved. 70/75
71. Отработанная Запущено
Свыше 5300 процедура локальное
нотификаций на оформления производство
оборудование запроса на ввоз модуля
Cisco «строгой» шифрования NME-
криптографии RVPN
Весной 2011 года Cisco получила
лицензии ФСБ на деятельность в
области шифрования
© 2011 Cisco and/or its affiliates. All rights reserved. 71/75
72. КЦ РГ
ПК127 ПК3 ТК362
АРБ ЦБ
«Безопасность «Защита «Защита Консультации Разработка
ИТ» информации в информации» банков по рекомендаций по
(представитель кредитно- при ФСТЭК вопросам ПДн ПДн и СТО БР
ISO SC27 в финансовых ИББС v4
России) учреждениях»
© 2011 Cisco and/or its affiliates. All rights reserved. 72/75
73. 500+ ФСБ НДВ 28 96
Сертификатов Сертифицировала Отсутствуют в Линеек Продуктовых
ФСТЭК на решения Cisco ряде продукции линеек Cisco
продукцию Cisco (совместно с С- продуктовых Cisco прошли сертифицированы
Терра СиЭсПи) линеек Cisco сертификацию во ФСТЭК
по схеме
«серийное
производство»
© 2011 Cisco and/or its affiliates. All rights reserved. 73/75
74. http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. 74/75