SlideShare a Scribd company logo

Разбираемся с российской криптографической нормативкой… на примере ареста наркобарона

I
imbasoft ru

Не так давно в СМИ промелькнула статья о том, что мексиканского наркобарона Эль Чапо арестовали из-за того, что его IT-шник слил криптоключи в ФБР, а те в свою очередь смогли расшифровать и прослушать его телефонные переговоры. Давайте пофантазируем и представим, что наркобарон, IT-шник и все, все, все жили бы в России… Представили? А теперь разберем, какими законами и как регулировалось бы применение криптозащиты в данном фантасмагорическом случае.

Law
1 of 9
Download to read offline
© imbasoft.ru, 2019 стр. 1 из 9 Разбираемся с российской криптографической нормативкой… на примере ареста наркобарона Мексиканский наркобарон Хоакин Гусман Лоэра (Эль Чапо) Не так давно в СМИ промелькнула статья о том, что мексиканского наркобарона Эль Чапо арестовали из-за того, что его IT-шник слил криптоключи в ФБР, а те в свою очередь смогли расшифровать и прослушать его телефонные переговоры. Давайте пофантазируем и представим, что наркобарон, IT-шник и все, все, все жили бы в России… Представили? А теперь разберем, какими законами и как регулировалось бы применение криптозащиты в данном фантасмагорическом случае.
© imbasoft.ru, 2019 стр. 2 из 9 Об истории и главных действующих лицах поподробнее © кадр из к/ф «Банды Нью-Йорка» Наркобарон Эль Чапо нанял 21-летнего колумбийского IT-специалиста Кристиана Родригеса, чтобы тот создал для него систему зашифрованной мобильной связи, через которую можно было бы общаться с подельниками, не опасаясь прослушки со стороны спецслужб. Родригес подобную систему создал и, судя по описанию, она представляла собой VoIP телефонию с шифрованием трафика. Клиенты системы устанавливались на мобильные телефоны бандитов, после чего тем «достаточно было набрать 3 добавочных цифры», чтобы разговаривать, не опасаясь прослушки. После внедрения системы Родригес ее сопровождал, а также занимался другими IT- проектами (например, организовал прослушку жены Эль Чапо), повинуясь воле наркобарона. Спустя некоторое время Родригеса завербовало ФБР и тот… по версии SecurityLab.ru слил ключи шифрования… или по версии New York Times «установил на зашифрованную сеть записывающее оборудование, которое отсылало в ФБР в полночь копии всех переговоров Эль Чапо». В двух словах это все. Теперь перейдем к разбору законов.
© imbasoft.ru, 2019 стр. 3 из 9 Лицензирование © скриншот из игры «Герои меча и магии» Наша история начинается с того, что Эль Чапо нанял Родригеса на разработку системы защищенной связи. С точки зрения пп. 1 п. 1 ст. 12 Федерального закона от 04.05.2011 N 99-ФЗ «О лицензировании отдельных видов деятельности» у Родригеса, для того чтобы реализовать контракт с Эль Чапо, должна быть лицензия «на криптографию». Если у Родригеса подобной лицензии нет, и он вязлся за работу, то за это ему в соответствии со ст. 13.13 КоАП РФ грозит административная, а в соответствии ст. 171 УК РФ уголовная ответственность. Лицензия «на криптографию» правильно называется — лицензией на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). Далее для простоты будем использовать неправильное, но более понятное и короткое название — лицензия «на криптографию». В соответствии с Постановлением Правительства РФ от 21.11.2011 N 957 «Об организации лицензирования отдельных видов деятельности» выдачей лицензий «на криптографию» занимается ФСБ России. Процедура получения лицензии и лицензионные требования к Родригесу описаны в Постановлении Правительства РФ от 16.04.2012 N 313 (ред. от 18.05.2017) «Об
© imbasoft.ru, 2019 стр. 4 из 9 утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». При этом Родригесу мало «просто получить» лицензию, в ней должны быть перечислены соответствующие разрешенные виды деятельности, полный перечень которых приведен в Приложении к Постановлению Правительства РФ от 16.04.2012 N 313. В зависимости от состава разрешенных видов деятельности к Родригесу будут предъявляться различные лицензионные требования, начиная от ценза по образованию, заканчивая доступом к гостайне. С учетом того Родригес занимался не только разработкой системы, но также ее внедрением и сопровождением, то навскидку в его лицензии должны присутствовать следующие виды деятельности (нумерация в соответствии с Постановлением Правительства РФ от 16.04.2012 N 313): 3. Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем. 4. Разработка средств изготовления ключевых документов. 5. Модернизация шифровальных (криптографических) средств. 6. Модернизация средств изготовления ключевых документов. 7. Производство (тиражирование) шифровальных (криптографических) средств. 9. Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем. 10. Производство средств изготовления ключевых документов. 12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации. 14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем. 15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов. 16. Ремонт шифровальных (криптографических) средств. 18. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем. 19. Ремонт, сервисное обслуживание средств изготовления ключевых документов. 20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). 21. Передача шифровальных (криптографических) средств, за исключением
© imbasoft.ru, 2019 стр. 5 из 9 шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации. 23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем. 24. Передача средств изготовления ключевых документов. Сразу отметим, что использование шифрования в собственных целях в России не лицензируется и соответственно никакой лицензии «на криптографию» Эль Чапо не требуется. Далее будем считать, что лицензия «на криптографию» с соответствующими видами деятельности у Родригеса есть. Разработка и производство © Internet картинки В соответствии с лицензионными требованиями, а именно пп. б п.6 Постановления Правительства РФ от 16.04.2012 N 313 Родригес в своей работе обязан руководствоваться выпущенными ФСБ России соответствующими нормативно-методическими документами, основным среди которых является Приказ ФСБ РФ от 09.02.2005 N 66 (ред. от 12.04.2010) «Об утверждении «Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ- 2005)» (Зарегистрировано в Минюсте РФ 03.03.2005 N 6382)" (далее ПКЗ-2005). В соответствии с этим документом процесс создания системы защищенной мобильной связи состоит из следующих этапов: 1. Разработка. 2. Производство. 3. Распространие. Не смотря на то, что Родригес делал заказную/кастомную разработку, процесс ее передачи заказчику трактуется как распространение.
© imbasoft.ru, 2019 стр. 6 из 9 Все эти этапы подразумевают тесное сотрудничество с ФСБ России и согласование технических заданий и документации на выпускаемую систему. Эксплуатация системы защищенной мобильной связи © Internet картинки Будем считать, что эксплуатация системы защищенной мобильной связи — это зона ответственности Эль Чапо. Родригес в этом участвует лишь в качестве тех. поддержки. Из описания истории Эль Чапо мы помним, что система создавалась для защиты от прослушки со стороны правоохранительных органов. Данное основание слабо коррелируется с действующим законодательством, поэтому примем, что цель эксплуатации системы: «защита информации для личных и семейных нужд». При такой цели эксплуатации на Эль Чапо не накладывается никаких ограничений, и он может делать с системой все, что хочет, и как хочет. Для нашей статьи это слишком просто и не интересно. По материалам расследования установлено, что в телефонных разговорах Эль Чапо давал команды на дачу взяток и подкуп чиновников и скорее всего называл их имена, фамилии и другую личную информацию, то есть персональные данные (далее — ПДн). Давайте представим, что Эль Чапо, прочитав Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», понял, что является оператором ПДн, и что на самом деле использует ПДн не для личных нужд, а в предпринимательской деятельности, и что по закону обязан их защищать.
© imbasoft.ru, 2019 стр. 7 из 9 Криптографическая защита персональных данных © Internet картинки Поскольку во время телефонных переговоров ПДн передаются в открытом виде через сеть связи общего пользования, Эль Чапо подумал и решил, что велик риск перехвата ПДн злоумышленниками, и, следовательно, информацию нужно шифровать. Для криптографической защиты персональных данных, в соответствии с  Приказом ФСБ от 10 июля 2014 года N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»  «Методическими рекомендациями по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (N 149/7/2/6-432 от 31.03.2015) Эль Чапо должен построить модель нарушителя, на основании которой определить требуемый класс средства криптографической защиты. Поскольку Эль Чапо опасается спец.служб, то ему нужно средство защиты максимального класса — КА. Эль Чапо открыл перечень сертифицированных ФСБ России криптосредств и, не найдя ничего подходящего, обратился к Родригесу. Тут наша история, как и многие проекты в ИБ, делает петлю, и мы вновь возвращаемся к этапу разработки. Не вдаваясь в подробности, будем считать, что Родригес подобное криптосредство сделал и сертифицировал в ФСБ на соответствующий класс. Поскольку Эль Чапо защищает персональные данные, то требования ПКЗ-2005 являются для него обязательными к исполнению. Ничего сверхъестественного в этих требованиях
© imbasoft.ru, 2019 стр. 8 из 9 нет, и фактически они лишь заставляют Эль Чапо соблюдать требования технической документации на систему, которые Родригес подготовил и согласовал с ФСБ России. Кроме указанных выше документов, Эль Чапо обязан руководствоваться «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом ФАПСИ от 13 июня 2001 года N 152 (в простонародье — ФАПСИ 152). По данному документу Эль Чапо необходимо будет выстроить внутренние процессы, связанные с эксплуатацией криптосредств, среди которых можно выделить:  организацию обучения и допуска бандитов к использованию оборудования защищенной мобильной связи (по науке — допуск пользователей к самостоятельному использованию криптосредств);  поэкземплярный учет программных клиентов системы и криптоключей;  организацию режимных помещений, в которых будет проводиться техническое обслуживание телефонов и формирование криптоключей;  и др. Вывоз защищенных мобильных телефонов за границу © Internet картинки Поскольку Эль Чапо вел «международный бизнес», защита связи при общении с иностранными «партнерами» была бы для него не менее актуальна, чем защита переговоров внутри страны. Для этого, как ни крути, ему потребовалось бы передать
© imbasoft.ru, 2019 стр. 9 из 9 иностранцам либо софт для своей системы мобильной связи, либо телефон с уже установленными и настроенными программными клиентами. И то, и другое по российскому законодательству трактуется как вывоз шифровальных (криптографических) средств за границу и, в соответствии с Положением о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (Приложение N 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30), ограничивается (за исключением использования для личных нужд, но это не наш случай). Перед прохождением таможни Эль Чапо должен был бы получить разрешение на вывоз, которые бывают двух видов: 1. Нотификация 2. Лицензирование Нотификация — упрощенная форма разрешений на ввоз/вывоз — применяется для «ослабленной» или «бытовой» криптографии. Перечень средств, подпадающих под нотификацию, определен в Приложении N 4 к Положению о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (Приложение N 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30) Поскольку система защищенной мобильной связи Эль Чапо имеет класс криптографической защиты КА, то нотификацией он не обойдется, и ему придется получать лицензию на вывоз. Для этого он должен будет пройти квест, задание на который описано в Решении Коллегии Евразийской экономической комиссии от 06.11.2014 N 199 (ред. от 19.04.2016) «Об Инструкции об оформлении заявления на выдачу лицензии на экспорт и (или) импорт отдельных видов товаров и об оформлении такой лицензии и Инструкции об оформлении разрешения на экспорт и (или) импорт отдельных видов товаров», и далеко не факт, что он сможет это сделать… Заключение Надеюсь, что на данном фантасмагоричном примере вы смогли получить общие представления об основных направлениях регулирования криптографии в Российской Федерации. Для дальнейшего развития рекомендую ознакомиться с перечнем основных законодательных и нормативно-правовых актов, регулирующих ИБ в России. Disclimer. Автор, как и все прогрессивное человечество, решительно осуждает незаконную торговлю наркотиками и другую преступную деятельность. Солнце, воздух и вода — наши лучшие друзья.

Recommended

Лицензирование открытых технологий в российских условиях. Анализ проблем и ре...
Лицензирование открытых технологий в российских условиях. Анализ проблем и ре...Лицензирование открытых технологий в российских условиях. Анализ проблем и ре...
Лицензирование открытых технологий в российских условиях. Анализ проблем и ре...Penguin Tux
 
Лицензирование СПО в России
Лицензирование СПО в РоссииЛицензирование СПО в России
Лицензирование СПО в РоссииPenguin Tux
 
Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.Expolink
 
Виды электронной подписи и их применение
Виды электронной подписи и их применениеВиды электронной подписи и их применение
Виды электронной подписи и их применениеDocsvision
 
ECR_ETC_KriptoPro
ECR_ETC_KriptoProECR_ETC_KriptoPro
ECR_ETC_KriptoProECR Community
 
Фродекс - Мошенничество в системах ДБО
Фродекс - Мошенничество в системах ДБОФродекс - Мошенничество в системах ДБО
Фродекс - Мошенничество в системах ДБОExpolink
 
03
0303
03malvvv
 
Андрей Луцкович (Фродекс): Мошенничество в системах ДБО
Андрей Луцкович (Фродекс): Мошенничество в системах ДБОАндрей Луцкович (Фродекс): Мошенничество в системах ДБО
Андрей Луцкович (Фродекс): Мошенничество в системах ДБОExpolink
 

Recommended

Лицензирование открытых технологий в российских условиях. Анализ проблем и ре...
Лицензирование открытых технологий в российских условиях. Анализ проблем и ре...Лицензирование открытых технологий в российских условиях. Анализ проблем и ре...
Лицензирование открытых технологий в российских условиях. Анализ проблем и ре...Penguin Tux
 
Лицензирование СПО в России
Лицензирование СПО в РоссииЛицензирование СПО в России
Лицензирование СПО в РоссииPenguin Tux
 
Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.Group-IB. Угрозы информационной безопасности в банковской сфере.
Group-IB. Угрозы информационной безопасности в банковской сфере.Expolink
 
Виды электронной подписи и их применение
Виды электронной подписи и их применениеВиды электронной подписи и их применение
Виды электронной подписи и их применениеDocsvision
 
ECR_ETC_KriptoPro
ECR_ETC_KriptoProECR_ETC_KriptoPro
ECR_ETC_KriptoProECR Community
 
Фродекс - Мошенничество в системах ДБО
Фродекс - Мошенничество в системах ДБОФродекс - Мошенничество в системах ДБО
Фродекс - Мошенничество в системах ДБОExpolink
 
03
0303
03malvvv
 
Андрей Луцкович (Фродекс): Мошенничество в системах ДБО
Андрей Луцкович (Фродекс): Мошенничество в системах ДБОАндрей Луцкович (Фродекс): Мошенничество в системах ДБО
Андрей Луцкович (Фродекс): Мошенничество в системах ДБОExpolink
 
Фродекс - Мошенничество в системах ДБО
Фродекс - Мошенничество в системах ДБОФродекс - Мошенничество в системах ДБО
Фродекс - Мошенничество в системах ДБОExpolink
 
Евгений Молев, Burbon.ru
Евгений Молев, Burbon.ru Евгений Молев, Burbon.ru
Евгений Молев, Burbon.ru Евгений Курбанов
 
2013 05 phd масалович
2013 05 phd масалович2013 05 phd масалович
2013 05 phd масаловичPositive Hack Days
 
Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...
Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...
Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...Positive Hack Days
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
 
01
0101
01malvvv
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомExpolink
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомExpolink
 
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...Expolink
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайтаMaksym Balaklytskyi
 
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"Expolink
 
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”Timetogrowup
 
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...Cisco Russia
 
Информационное письмо в ЦЛСЗ ФСБ
Информационное письмо в ЦЛСЗ ФСБИнформационное письмо в ЦЛСЗ ФСБ
Информационное письмо в ЦЛСЗ ФСБCisco Russia
 
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрованияЗаявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрованияCisco Russia
 
Андрей Масалович. Конкурентная разведка
Андрей Масалович. Конкурентная разведкаАндрей Масалович. Конкурентная разведка
Андрей Масалович. Конкурентная разведкаArtemAgeev
 
InfoWatch
InfoWatchInfoWatch
InfoWatchMNUCIB
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭКАлексей Кураленко
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

More Related Content

What's hot

Фродекс - Мошенничество в системах ДБО
Фродекс - Мошенничество в системах ДБОФродекс - Мошенничество в системах ДБО
Фродекс - Мошенничество в системах ДБОExpolink
 
2013 05 phd масалович
2013 05 phd масалович2013 05 phd масалович
2013 05 phd масаловичPositive Hack Days
 
Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...
Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...
Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...Positive Hack Days
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомExpolink
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомExpolink
 
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...Expolink
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайтаMaksym Balaklytskyi
 
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"Expolink
 
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”Timetogrowup
 
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...Cisco Russia
 
Информационное письмо в ЦЛСЗ ФСБ
Информационное письмо в ЦЛСЗ ФСБИнформационное письмо в ЦЛСЗ ФСБ
Информационное письмо в ЦЛСЗ ФСБCisco Russia
 
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрованияЗаявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрованияCisco Russia
 
Андрей Масалович. Конкурентная разведка
Андрей Масалович. Конкурентная разведкаАндрей Масалович. Конкурентная разведка
Андрей Масалович. Конкурентная разведкаArtemAgeev
 
InfoWatch
InfoWatchInfoWatch
InfoWatchMNUCIB
 

What's hot (18)

Фродекс - Мошенничество в системах ДБО
Фродекс - Мошенничество в системах ДБОФродекс - Мошенничество в системах ДБО
Фродекс - Мошенничество в системах ДБО
 
Евгений Молев, Burbon.ru
Евгений Молев, Burbon.ru Евгений Молев, Burbon.ru
Евгений Молев, Burbon.ru
 
2013 05 phd масалович
2013 05 phd масалович2013 05 phd масалович
2013 05 phd масалович
 
Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...
Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...
Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...
 
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152
 
01
0101
01
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
 
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничествомА. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
А. Луцкович, ФРОДЕКС - FraudTrack: современный подход в борьбе с мошенничеством
 
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
InfoWatch. Александр Горский. "Развитие современных угроз информационной безо...
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайта
 
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
 
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
Никита Кныш - “Киберугрозы современного бизнеса, как вас можно ограбить”
 
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования (для с...
 
Информационное письмо в ЦЛСЗ ФСБ
Информационное письмо в ЦЛСЗ ФСБИнформационное письмо в ЦЛСЗ ФСБ
Информационное письмо в ЦЛСЗ ФСБ
 
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрованияЗаявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования
Заявление в ЦЛСЗ ФСБ на ввоз оборудования Cisco с функциями шифрования
 
Андрей Масалович. Конкурентная разведка
Андрей Масалович. Конкурентная разведкаАндрей Масалович. Конкурентная разведка
Андрей Масалович. Конкурентная разведка
 
InfoWatch
InfoWatchInfoWatch
InfoWatch
 

Similar to Разбираемся с российской криптографической нормативкой… на примере ареста наркобарона

Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Dinar Garipov
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
 
Аудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере БанкаАудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере Банкаimbasoft ru
 
Постановление правительства №313 от 16.04.2012
Постановление правительства №313 от 16.04.2012Постановление правительства №313 от 16.04.2012
Постановление правительства №313 от 16.04.2012Alexey Komarov
 
Андрей Брызгин_Group-IB
Андрей Брызгин_Group-IBАндрей Брызгин_Group-IB
Андрей Брызгин_Group-IBAleksandrs Baranovs
 
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети Компания ИНТРО
 
Особенности киберраследований в Украине
Особенности киберраследований в УкраинеОсобенности киберраследований в Украине
Особенности киберраследований в Украинеprotectmaster
 
Лицензирование СПО
Лицензирование СПОЛицензирование СПО
Лицензирование СПОPenguin Tux
 
Лицензирование СПО в российских условиях. Анализ проблем и решений
Лицензирование СПО в российских условиях. Анализ проблем и решенийЛицензирование СПО в российских условиях. Анализ проблем и решений
Лицензирование СПО в российских условиях. Анализ проблем и решенийLWandWs
 
Введение в информационную безопасность
Введение в информационную безопасностьВведение в информационную безопасность
Введение в информационную безопасностьMichael Rakutko
 
Лицензирование СПО в российских условиях. Анализ проблем и решений
Лицензирование СПО в российских условиях. Анализ проблем и решенийЛицензирование СПО в российских условиях. Анализ проблем и решений
Лицензирование СПО в российских условиях. Анализ проблем и решенийLWandWs
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Expolink
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийAleksey Lukatskiy
 

Similar to Разбираемся с российской криптографической нормативкой… на примере ареста наркобарона (20)

Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
 
17 приказ ФСТЭК
17 приказ ФСТЭК17 приказ ФСТЭК
17 приказ ФСТЭК
 
Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)Защищенное облако Softline(ФЗ-152)
Защищенное облако Softline(ФЗ-152)
 
пр Правила легализации DLP
пр Правила легализации DLPпр Правила легализации DLP
пр Правила легализации DLP
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
 
CSO Summit 2010
CSO Summit 2010CSO Summit 2010
CSO Summit 2010
 
Аудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере БанкаАудит СКЗИ и криптоключей на примере Банка
Аудит СКЗИ и криптоключей на примере Банка
 
Постановление правительства №313 от 16.04.2012
Постановление правительства №313 от 16.04.2012Постановление правительства №313 от 16.04.2012
Постановление правительства №313 от 16.04.2012
 
Андрей Брызгин_Group-IB
Андрей Брызгин_Group-IBАндрей Брызгин_Group-IB
Андрей Брызгин_Group-IB
 
Case project
Case projectCase project
Case project
 
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
ALTELL NEO - Универсальные сертфиицированные ФСТЭК устройства защиты сети
 
Особенности киберраследований в Украине
Особенности киберраследований в УкраинеОсобенности киберраследований в Украине
Особенности киберраследований в Украине
 
Лицензирование СПО
Лицензирование СПОЛицензирование СПО
Лицензирование СПО
 
Лицензирование СПО в российских условиях. Анализ проблем и решений
Лицензирование СПО в российских условиях. Анализ проблем и решенийЛицензирование СПО в российских условиях. Анализ проблем и решений
Лицензирование СПО в российских условиях. Анализ проблем и решений
 
Введение в информационную безопасность
Введение в информационную безопасностьВведение в информационную безопасность
Введение в информационную безопасность
 
сорм
сормсорм
сорм
 
Лицензирование СПО в российских условиях. Анализ проблем и решений
Лицензирование СПО в российских условиях. Анализ проблем и решенийЛицензирование СПО в российских условиях. Анализ проблем и решений
Лицензирование СПО в российских условиях. Анализ проблем и решений
 
Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.Сisсo: Прогнозы и тенденции современного рынка ИБ.
Сisсo: Прогнозы и тенденции современного рынка ИБ.
 
хакеры
хакерыхакеры
хакеры
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
 

More from imbasoft ru

Стандарт управления правами доступа к корпоративным файловым информационным р...
Стандарт управления правами доступа к корпоративным файловым информационным р...Стандарт управления правами доступа к корпоративным файловым информационным р...
Стандарт управления правами доступа к корпоративным файловым информационным р...imbasoft ru
 
Обзор мирового опыта коммерческой доставки грузов с помощью беспилотников
Обзор мирового опыта коммерческой доставки грузов с помощью беспилотниковОбзор мирового опыта коммерческой доставки грузов с помощью беспилотников
Обзор мирового опыта коммерческой доставки грузов с помощью беспилотниковimbasoft ru
 
Проблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС WindowsПроблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС Windowsimbasoft ru
 
Обзор вариантов организации доступа к сервисам корпоративной сети из Интернет
Обзор вариантов организации доступа к сервисам корпоративной сети из ИнтернетОбзор вариантов организации доступа к сервисам корпоративной сети из Интернет
Обзор вариантов организации доступа к сервисам корпоративной сети из Интернетimbasoft ru
 
Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это ...
Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это ...Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это ...
Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это ...imbasoft ru
 
Справочник законодательства РФ в области информационной безопасности
Справочник законодательства РФ в области информационной безопасностиСправочник законодательства РФ в области информационной безопасности
Справочник законодательства РФ в области информационной безопасностиimbasoft ru
 
Информационная безопасность банковских безналичных платежей. Части 7 и 8 — Ба...
Информационная безопасность банковских безналичных платежей. Части 7 и 8 — Ба...Информационная безопасность банковских безналичных платежей. Части 7 и 8 — Ба...
Информационная безопасность банковских безналичных платежей. Части 7 и 8 — Ба...imbasoft ru
 
Информационная безопасность банковских безналичных платежей. Часть 6 — Анализ...
Информационная безопасность банковских безналичных платежей. Часть 6 — Анализ...Информационная безопасность банковских безналичных платежей. Часть 6 — Анализ...
Информационная безопасность банковских безналичных платежей. Часть 6 — Анализ...imbasoft ru
 
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...imbasoft ru
 
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...imbasoft ru
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...imbasoft ru
 
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...imbasoft ru
 
Информационная безопасность банковских безналичных платежей. Часть 1 — Эконом...
Информационная безопасность банковских безналичных платежей. Часть 1 — Эконом...Информационная безопасность банковских безналичных платежей. Часть 1 — Эконом...
Информационная безопасность банковских безналичных платежей. Часть 1 — Эконом...imbasoft ru
 
Извлечение ключа из токена с неизвлекаемым ключом
Извлечение ключа из токена с неизвлекаемым ключомИзвлечение ключа из токена с неизвлекаемым ключом
Извлечение ключа из токена с неизвлекаемым ключомimbasoft ru
 

More from imbasoft ru (14)

Стандарт управления правами доступа к корпоративным файловым информационным р...
Стандарт управления правами доступа к корпоративным файловым информационным р...Стандарт управления правами доступа к корпоративным файловым информационным р...
Стандарт управления правами доступа к корпоративным файловым информационным р...
 
Обзор мирового опыта коммерческой доставки грузов с помощью беспилотников
Обзор мирового опыта коммерческой доставки грузов с помощью беспилотниковОбзор мирового опыта коммерческой доставки грузов с помощью беспилотников
Обзор мирового опыта коммерческой доставки грузов с помощью беспилотников
 
Проблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС WindowsПроблемы в системе журналирования событий безопасности ОС Windows
Проблемы в системе журналирования событий безопасности ОС Windows
 
Обзор вариантов организации доступа к сервисам корпоративной сети из Интернет
Обзор вариантов организации доступа к сервисам корпоративной сети из ИнтернетОбзор вариантов организации доступа к сервисам корпоративной сети из Интернет
Обзор вариантов организации доступа к сервисам корпоративной сети из Интернет
 
Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это ...
Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это ...Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это ...
Что не так с федеральным законом «Об электронной подписи» (63-ФЗ), и как это ...
 
Справочник законодательства РФ в области информационной безопасности
Справочник законодательства РФ в области информационной безопасностиСправочник законодательства РФ в области информационной безопасности
Справочник законодательства РФ в области информационной безопасности
 
Информационная безопасность банковских безналичных платежей. Части 7 и 8 — Ба...
Информационная безопасность банковских безналичных платежей. Части 7 и 8 — Ба...Информационная безопасность банковских безналичных платежей. Части 7 и 8 — Ба...
Информационная безопасность банковских безналичных платежей. Части 7 и 8 — Ба...
 
Информационная безопасность банковских безналичных платежей. Часть 6 — Анализ...
Информационная безопасность банковских безналичных платежей. Часть 6 — Анализ...Информационная безопасность банковских безналичных платежей. Часть 6 — Анализ...
Информационная безопасность банковских безналичных платежей. Часть 6 — Анализ...
 
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
Информационная безопасность банковских безналичных платежей. Часть 5 — 100+ т...
 
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
 
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...
Информационная безопасность банковских безналичных платежей. Часть 2 — Типова...
 
Информационная безопасность банковских безналичных платежей. Часть 1 — Эконом...
Информационная безопасность банковских безналичных платежей. Часть 1 — Эконом...Информационная безопасность банковских безналичных платежей. Часть 1 — Эконом...
Информационная безопасность банковских безналичных платежей. Часть 1 — Эконом...
 
Извлечение ключа из токена с неизвлекаемым ключом
Извлечение ключа из токена с неизвлекаемым ключомИзвлечение ключа из токена с неизвлекаемым ключом
Извлечение ключа из токена с неизвлекаемым ключом
 

Разбираемся с российской криптографической нормативкой… на примере ареста наркобарона

  • 1. © imbasoft.ru, 2019 стр. 1 из 9 Разбираемся с российской криптографической нормативкой… на примере ареста наркобарона Мексиканский наркобарон Хоакин Гусман Лоэра (Эль Чапо) Не так давно в СМИ промелькнула статья о том, что мексиканского наркобарона Эль Чапо арестовали из-за того, что его IT-шник слил криптоключи в ФБР, а те в свою очередь смогли расшифровать и прослушать его телефонные переговоры. Давайте пофантазируем и представим, что наркобарон, IT-шник и все, все, все жили бы в России… Представили? А теперь разберем, какими законами и как регулировалось бы применение криптозащиты в данном фантасмагорическом случае.
  • 2. © imbasoft.ru, 2019 стр. 2 из 9 Об истории и главных действующих лицах поподробнее © кадр из к/ф «Банды Нью-Йорка» Наркобарон Эль Чапо нанял 21-летнего колумбийского IT-специалиста Кристиана Родригеса, чтобы тот создал для него систему зашифрованной мобильной связи, через которую можно было бы общаться с подельниками, не опасаясь прослушки со стороны спецслужб. Родригес подобную систему создал и, судя по описанию, она представляла собой VoIP телефонию с шифрованием трафика. Клиенты системы устанавливались на мобильные телефоны бандитов, после чего тем «достаточно было набрать 3 добавочных цифры», чтобы разговаривать, не опасаясь прослушки. После внедрения системы Родригес ее сопровождал, а также занимался другими IT- проектами (например, организовал прослушку жены Эль Чапо), повинуясь воле наркобарона. Спустя некоторое время Родригеса завербовало ФБР и тот… по версии SecurityLab.ru слил ключи шифрования… или по версии New York Times «установил на зашифрованную сеть записывающее оборудование, которое отсылало в ФБР в полночь копии всех переговоров Эль Чапо». В двух словах это все. Теперь перейдем к разбору законов.
  • 3. © imbasoft.ru, 2019 стр. 3 из 9 Лицензирование © скриншот из игры «Герои меча и магии» Наша история начинается с того, что Эль Чапо нанял Родригеса на разработку системы защищенной связи. С точки зрения пп. 1 п. 1 ст. 12 Федерального закона от 04.05.2011 N 99-ФЗ «О лицензировании отдельных видов деятельности» у Родригеса, для того чтобы реализовать контракт с Эль Чапо, должна быть лицензия «на криптографию». Если у Родригеса подобной лицензии нет, и он вязлся за работу, то за это ему в соответствии со ст. 13.13 КоАП РФ грозит административная, а в соответствии ст. 171 УК РФ уголовная ответственность. Лицензия «на криптографию» правильно называется — лицензией на осуществление разработки, производства, распространения шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнения работ, оказания услуг в области шифрования информации, технического обслуживания шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). Далее для простоты будем использовать неправильное, но более понятное и короткое название — лицензия «на криптографию». В соответствии с Постановлением Правительства РФ от 21.11.2011 N 957 «Об организации лицензирования отдельных видов деятельности» выдачей лицензий «на криптографию» занимается ФСБ России. Процедура получения лицензии и лицензионные требования к Родригесу описаны в Постановлении Правительства РФ от 16.04.2012 N 313 (ред. от 18.05.2017) «Об
  • 4. © imbasoft.ru, 2019 стр. 4 из 9 утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)». При этом Родригесу мало «просто получить» лицензию, в ней должны быть перечислены соответствующие разрешенные виды деятельности, полный перечень которых приведен в Приложении к Постановлению Правительства РФ от 16.04.2012 N 313. В зависимости от состава разрешенных видов деятельности к Родригесу будут предъявляться различные лицензионные требования, начиная от ценза по образованию, заканчивая доступом к гостайне. С учетом того Родригес занимался не только разработкой системы, но также ее внедрением и сопровождением, то навскидку в его лицензии должны присутствовать следующие виды деятельности (нумерация в соответствии с Постановлением Правительства РФ от 16.04.2012 N 313): 3. Разработка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем. 4. Разработка средств изготовления ключевых документов. 5. Модернизация шифровальных (криптографических) средств. 6. Модернизация средств изготовления ключевых документов. 7. Производство (тиражирование) шифровальных (криптографических) средств. 9. Производство защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем. 10. Производство средств изготовления ключевых документов. 12. Монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств, за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации. 14. Монтаж, установка (инсталляция), наладка защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем. 15. Монтаж, установка (инсталляция), наладка средств изготовления ключевых документов. 16. Ремонт шифровальных (криптографических) средств. 18. Ремонт, сервисное обслуживание защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем. 19. Ремонт, сервисное обслуживание средств изготовления ключевых документов. 20. Работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства (за исключением случая, если указанные работы проводятся для обеспечения собственных нужд юридического лица или индивидуального предпринимателя). 21. Передача шифровальных (криптографических) средств, за исключением
  • 5. © imbasoft.ru, 2019 стр. 5 из 9 шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации. 23. Передача защищенных с использованием шифровальных (криптографических) средств телекоммуникационных систем. 24. Передача средств изготовления ключевых документов. Сразу отметим, что использование шифрования в собственных целях в России не лицензируется и соответственно никакой лицензии «на криптографию» Эль Чапо не требуется. Далее будем считать, что лицензия «на криптографию» с соответствующими видами деятельности у Родригеса есть. Разработка и производство © Internet картинки В соответствии с лицензионными требованиями, а именно пп. б п.6 Постановления Правительства РФ от 16.04.2012 N 313 Родригес в своей работе обязан руководствоваться выпущенными ФСБ России соответствующими нормативно-методическими документами, основным среди которых является Приказ ФСБ РФ от 09.02.2005 N 66 (ред. от 12.04.2010) «Об утверждении «Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ- 2005)» (Зарегистрировано в Минюсте РФ 03.03.2005 N 6382)" (далее ПКЗ-2005). В соответствии с этим документом процесс создания системы защищенной мобильной связи состоит из следующих этапов: 1. Разработка. 2. Производство. 3. Распространие. Не смотря на то, что Родригес делал заказную/кастомную разработку, процесс ее передачи заказчику трактуется как распространение.
  • 6. © imbasoft.ru, 2019 стр. 6 из 9 Все эти этапы подразумевают тесное сотрудничество с ФСБ России и согласование технических заданий и документации на выпускаемую систему. Эксплуатация системы защищенной мобильной связи © Internet картинки Будем считать, что эксплуатация системы защищенной мобильной связи — это зона ответственности Эль Чапо. Родригес в этом участвует лишь в качестве тех. поддержки. Из описания истории Эль Чапо мы помним, что система создавалась для защиты от прослушки со стороны правоохранительных органов. Данное основание слабо коррелируется с действующим законодательством, поэтому примем, что цель эксплуатации системы: «защита информации для личных и семейных нужд». При такой цели эксплуатации на Эль Чапо не накладывается никаких ограничений, и он может делать с системой все, что хочет, и как хочет. Для нашей статьи это слишком просто и не интересно. По материалам расследования установлено, что в телефонных разговорах Эль Чапо давал команды на дачу взяток и подкуп чиновников и скорее всего называл их имена, фамилии и другую личную информацию, то есть персональные данные (далее — ПДн). Давайте представим, что Эль Чапо, прочитав Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных», понял, что является оператором ПДн, и что на самом деле использует ПДн не для личных нужд, а в предпринимательской деятельности, и что по закону обязан их защищать.
  • 7. © imbasoft.ru, 2019 стр. 7 из 9 Криптографическая защита персональных данных © Internet картинки Поскольку во время телефонных переговоров ПДн передаются в открытом виде через сеть связи общего пользования, Эль Чапо подумал и решил, что велик риск перехвата ПДн злоумышленниками, и, следовательно, информацию нужно шифровать. Для криптографической защиты персональных данных, в соответствии с  Приказом ФСБ от 10 июля 2014 года N 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»  «Методическими рекомендациями по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные руководством 8 Центра ФСБ России (N 149/7/2/6-432 от 31.03.2015) Эль Чапо должен построить модель нарушителя, на основании которой определить требуемый класс средства криптографической защиты. Поскольку Эль Чапо опасается спец.служб, то ему нужно средство защиты максимального класса — КА. Эль Чапо открыл перечень сертифицированных ФСБ России криптосредств и, не найдя ничего подходящего, обратился к Родригесу. Тут наша история, как и многие проекты в ИБ, делает петлю, и мы вновь возвращаемся к этапу разработки. Не вдаваясь в подробности, будем считать, что Родригес подобное криптосредство сделал и сертифицировал в ФСБ на соответствующий класс. Поскольку Эль Чапо защищает персональные данные, то требования ПКЗ-2005 являются для него обязательными к исполнению. Ничего сверхъестественного в этих требованиях
  • 8. © imbasoft.ru, 2019 стр. 8 из 9 нет, и фактически они лишь заставляют Эль Чапо соблюдать требования технической документации на систему, которые Родригес подготовил и согласовал с ФСБ России. Кроме указанных выше документов, Эль Чапо обязан руководствоваться «Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом ФАПСИ от 13 июня 2001 года N 152 (в простонародье — ФАПСИ 152). По данному документу Эль Чапо необходимо будет выстроить внутренние процессы, связанные с эксплуатацией криптосредств, среди которых можно выделить:  организацию обучения и допуска бандитов к использованию оборудования защищенной мобильной связи (по науке — допуск пользователей к самостоятельному использованию криптосредств);  поэкземплярный учет программных клиентов системы и криптоключей;  организацию режимных помещений, в которых будет проводиться техническое обслуживание телефонов и формирование криптоключей;  и др. Вывоз защищенных мобильных телефонов за границу © Internet картинки Поскольку Эль Чапо вел «международный бизнес», защита связи при общении с иностранными «партнерами» была бы для него не менее актуальна, чем защита переговоров внутри страны. Для этого, как ни крути, ему потребовалось бы передать
  • 9. © imbasoft.ru, 2019 стр. 9 из 9 иностранцам либо софт для своей системы мобильной связи, либо телефон с уже установленными и настроенными программными клиентами. И то, и другое по российскому законодательству трактуется как вывоз шифровальных (криптографических) средств за границу и, в соответствии с Положением о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (Приложение N 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30), ограничивается (за исключением использования для личных нужд, но это не наш случай). Перед прохождением таможни Эль Чапо должен был бы получить разрешение на вывоз, которые бывают двух видов: 1. Нотификация 2. Лицензирование Нотификация — упрощенная форма разрешений на ввоз/вывоз — применяется для «ослабленной» или «бытовой» криптографии. Перечень средств, подпадающих под нотификацию, определен в Приложении N 4 к Положению о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств (Приложение N 9 к Решению Коллегии Евразийской экономической комиссии от 21 апреля 2015 г. N 30) Поскольку система защищенной мобильной связи Эль Чапо имеет класс криптографической защиты КА, то нотификацией он не обойдется, и ему придется получать лицензию на вывоз. Для этого он должен будет пройти квест, задание на который описано в Решении Коллегии Евразийской экономической комиссии от 06.11.2014 N 199 (ред. от 19.04.2016) «Об Инструкции об оформлении заявления на выдачу лицензии на экспорт и (или) импорт отдельных видов товаров и об оформлении такой лицензии и Инструкции об оформлении разрешения на экспорт и (или) импорт отдельных видов товаров», и далеко не факт, что он сможет это сделать… Заключение Надеюсь, что на данном фантасмагоричном примере вы смогли получить общие представления об основных направлениях регулирования криптографии в Российской Федерации. Для дальнейшего развития рекомендую ознакомиться с перечнем основных законодательных и нормативно-правовых актов, регулирующих ИБ в России. Disclimer. Автор, как и все прогрессивное человечество, решительно осуждает незаконную торговлю наркотиками и другую преступную деятельность. Солнце, воздух и вода — наши лучшие друзья.