Date post: | 16-Jun-2015 |
Category: |
Documents |
Upload: | alexey-lukatsky |
View: | 3,609 times |
Download: | 0 times |
1 © 2011 Cisco and/or its affiliates. All rights reserved.
Сложности регулирования криптографии в России Алексей Лукацкий, бизнес-консультант по безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 2/42
Смена ожиданий бизнеса в отношении информационной безопасности
© 2011 Cisco and/or its affiliates. All rights reserved. 3/42
Аутсорсинг Виртуализация Мобильность Web 2.0 Облака Социальные
сети
© 2011 Cisco and/or its affiliates. All rights reserved. 4/42
БИЗНЕС И ИТ
ПРИОРИТЕТЫ
ТРЕБОВАНИЯ
РЕГУЛЯТОРОВ
Легальное
использование
Легальное
распространение
Совместная работа
Облака и аутсорсинг
Холдинги
Легальный ввоз
© 2011 Cisco and/or its affiliates. All rights reserved. 5/42
• Первые публичные нормативные по криптографии относятся к 1995 г.
• Основная предпосылка при создании НПА – всецелый контроль СКЗИ на всех этапах их жизненного цикла
• В качестве базы при создании НПА взят подход по защите государственной тайны
• ФСБ продолжает придерживаться этой позиции и спустя 15 лет, несмотря на рост числа ее противников
© 2011 Cisco and/or its affiliates. All rights reserved. 6/42
Ввоз шифровальных средств на территорию Российской Федерации
Лицензирование деятельности, связанной с шифрованием
Использование сертифицированных шифровальных средств
© 2011 Cisco and/or its affiliates. All rights reserved. 7/42
1 Нечеткость терминологии
2 Унаследованные правила
4 Непонимание модели угроз современного бизнеса
3 Различные этапы жизненного цикла – различные требования 5 Отсутствие четкой позиции
регулятора
8 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 9/42
• Средства шифрования в любом исполнении
• Средства имитозащиты в любом исполнении
• Средства ЭЦП в любом исполнении
Но не средства ЭП
• Средства кодирования
• Средства изготовления ключевых документов
• Ключевые документы
• но это не все
© 2011 Cisco and/or its affiliates. All rights reserved. 10/42
• Системы, оборудование и компоненты, разработанные или модифицированные для выполнения криптоаналитических функций
• Системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов генерации расширяющегося кода для систем с расширяющимся спектром, включая скачкообразную перестройку кодов для систем со скачкообразной перестройкой частоты
• Системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов формирования каналов или засекречивающих кодов для модулированных по времени сверхширокополосных систем
• Криптография ≠ методы сжатия или кодирования
© 2011 Cisco and/or its affiliates. All rights reserved. 11/42
• Новый закон «О лицензировании отдельных видов деятельности» заставил получать лицензии ФСБ на разработку, производство, распространение и техническое обслуживание
Информационных систем, защищенных с использование шифровальных средств
Телекоммуникационных систем, защищенных с использование шифровальных средств
• Информационная система – совокупность содержащейся в БД информации и обеспечивающих ее обработку ИТ и технических средств
© 2011 Cisco and/or its affiliates. All rights reserved. 12/42
• Необходимость применения шифровальных (криптографических) средств, как правило, проявляется в случаях, когда безопасность хранения и обработки информации не может быть гарантированно обеспечена другими средствами
В число таких случаев входит, например, случай передачи персональных данных по сетям общего пользования, в которых принципиально невозможно исключить доступ нарушителя к передаваемой информации
Законы
Конфиденциальность
Шифрование
НПА регуляторов
≠
© 2011 Cisco and/or its affiliates. All rights reserved. 13/42
• Получить согласие субъекта на передачу в открытом виде
Так делает Роскомнадзор у себя на сайте
• Обеспечить контролируемую зону
• Использовать оптические каналы связи
И правильную модель угроз
• Переложить задачу обеспечения конфиденциальности на оператора связи
По договоре
• Использовать шифровальные средства
© 2011 Cisco and/or its affiliates. All rights reserved. 14/42
• Подписан 3 апреля 1995 года (изменен 25 июля 2000 года)
• Запрещено использование госорганами шифровальных средств без сертификата ФСБ
• Запрещено госорганам размещать госзаказ на предприятиях, использующих шифровальные средства без сертификата
• Применять меры к банкам, не применяющим сертифицированные шифровальные средства при общении с Банком России
• Запретить деятельность юрлиц и физлиц, связанную с …эксплуатацией шифровальных средств без лицензии ФСБ
• Запретить ввоз шифровальных средств без лицензии Минпромторга и разрешения ФСБ
• Наказывать виновных по всей строгости закона
© 2011 Cisco and/or its affiliates. All rights reserved. 15/42
• Часть его норм продолжает действовать
Например, требования по ввозу шифровальных средств и использованию госорганов только сертифицированных шифровальных средств
• Часть статей фактически отменены новыми нормативно-правовыми актами
Законом «О лицензировании отдельных видов деятельности»
Законом «О техническом регулировании»
Гражданским Кодексом
• В явном виде Указ 334 до сих пор не отменен
Несмотря на циркулирующие слухи
© 2011 Cisco and/or its affiliates. All rights reserved. 16/42
• Все этапы жизненного цикла шифровального средства
Ввоз
Разработка
Производство
Оценка соответствия
Реализация
Распространение
ТО
Оказание услуг Эксплуатация
Вывоз
Контроль и надзор
17 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 18/42
• Положение о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств
• Шифровальные (криптографические) средства, ввоз которых на таможенную территорию таможенного союза и вывоз с таможенной территории таможенного союза ограничен
• Если у средства функция шифрования не используется или неосновная, то средство все равно считается шифровальным
© 2011 Cisco and/or its affiliates. All rights reserved. 19/42
• Принтеры, копиры и факсы
• Кассовые аппараты
• Карманные компьютеры
• Карманные машины для записи, воспроизведения и визуального представления
• Вычислительные машины и их комплектующие
• Абонентские устройства связи
• Базовые станции
• Телекоммуникационное оборудование
• Программное обеспечение
© 2011 Cisco and/or its affiliates. All rights reserved. 20/42
• Аппаратура для радио- и телевещания и приема
• Радионавигационные приемники, устройства дистанционного управления
• Аппаратура доступа в Интернет
• Схемы электронные, интегральные, запоминающие устройства
• Прочее
© 2011 Cisco and/or its affiliates. All rights reserved. 21/42
Упрощенная схема
• Ввоз по нотификации
По лицензии
• Разрешение ФСБ
• Ввоз по лицензии Минпромторга
• Проверка легитимности ввоза по нотификации
http://www.tsouz.ru/db/entr/notif/Pages/default.aspx
• Проверка легитимности ввоза по лицензии
Копия разрешения ФСБ
© 2011 Cisco and/or its affiliates. All rights reserved. 22/42
• Товары, содержащие шифровальные (криптографические) средства, имеющие любую из следующих составляющих:
симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит; или
асимметричный криптографический алгоритм, основанный на любом из следующих методов:
на разложении на множители целых чисел, размер которых не превышает 512 бит;
на вычислении дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит; или
o на дискретном логарифме в группе, отличного от поименованного в вышеприведенном подпункте “б” размера, не превышающего 112 бит
• Товары, у которых криптографическая функция заблокирована производителем
© 2011 Cisco and/or its affiliates. All rights reserved. 23/42
• Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной
• Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций
• Средства аутентификации и ЭЦП
© 2011 Cisco and/or its affiliates. All rights reserved. 24/42
• Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя
• Шифровальные (криптографические) средства, используемые для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи
• Портативные или мобильные радиоэлектронные средства гражданского применения без сквозного шифрования
• Персональные смарт-карты
• Приемная аппаратура для радиовещания, коммерческого телевидения и вещания на ограниченную аудиторию
• Средства защиты от копирования
25 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 26/42
• Лицензия ФСБ на деятельность в области шифрования
Предоставление услуг в области шифрования информации
Деятельность по техническому обслуживанию шифровальных средств
Деятельность по распространению шифровальных средств
Деятельность по разработке, производству шифровальных средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем
• 4 мая 2011 года принята новая редакция закона «О лицензировании отдельных видов деятельности» (99-ФЗ)
Единая лицензия на разработку, производство, распространение, выполнение работ, оказание услуг и техническое обслуживание шифровальных средств, информационных и телекоммуникационных систем, защищенных с помощью шифровальных средств
© 2011 Cisco and/or its affiliates. All rights reserved. 27/42
• В явном виде нет, но такие мероприятия как
монтаж, установка, наладка шифровальных (криптографических) средств
ремонт, сервисное обслуживание шифровальных (криптографических) средств
утилизация и уничтожение шифровальных (криптографических) средств
работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства
• относятся к техническому обслуживанию
• Представители 8-го Центра ФСБ многократно заявляют, что для собственных нужд лицензия не нужна
© 2011 Cisco and/or its affiliates. All rights reserved. 28/42
© 2011 Cisco and/or its affiliates. All rights reserved. 29/42
• Новый закон «О лицензировании отдельных видов деятельности» от 4 мая 2011 года вновь вернул термин «для собственных нужд» (только для технического обслуживания)
• Однако данные термин не определен и вызывает множество вопросов
Шифрование для защиты информации сотрудников и клиентов – это собственные нужды или нет?
© 2011 Cisco and/or its affiliates. All rights reserved. 30/42
• Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства»
В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами
© 2011 Cisco and/or its affiliates. All rights reserved. 31/42
• Хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства, - предприятие созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона
пп.11-14 – 4 вида лицензирования деятельности в области шифрования
Наличие всего лишь одного маршрутизатора с IPSec требует от вас лицензии на ТО СКЗИ
32 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 33/42
• Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства
• Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России
Методические рекомендации ФСБ по защите персданных
© 2011 Cisco and/or its affiliates. All rights reserved. 34/42
• Можно ли использовать сертифицированное криптоядро в составе VPN-решений?
Можно
• Будет ли такое использование легитимным?
Нет!!!
© 2011 Cisco and/or its affiliates. All rights reserved. 35/42 35
0
1
2
3
4
5
6
7
8
Число нормативных актов с требованиями сертификации по требованиям безопасности
* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной
платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)
© 2011 Cisco and/or its affiliates. All rights reserved. 36/42
• По линии ФСБ существует две системы сертификации
система сертификации средств криптографической защиты информации (РОСС RU.0001.030001)
система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (РОСС RU.0003.01БИ00)
• СКЗИ оцениваются на соответствие «Требованиям к средствам криптографической защиты конфиденциальной информации»
• Ответственность за использование несертифицированных СКЗИ несет пользователь
• Невозможность обновления сертифицированной продукции
© 2011 Cisco and/or its affiliates. All rights reserved. 37/42
• Оценка соответствия ≠ сертификация
• Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту
• Оценка соответствия регулируется ФЗ-184 «О техническом регулировании»
© 2011 Cisco and/or its affiliates. All rights reserved. 38/42
Оценка соответствия
Госконтроль и надзор
Аккредитация
Испытания
Регистрация
Подтверждение соответствия
Добровольная сертификация
Обязательная сертификация
Декларирование соответствия
Приемка и ввод в эксплуатацию
В иной форме
39 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. 40/42
Либерализация
• Вероятность - 20% (на данный момент)
• Вероятность через 2 года - 35% и 10% (в зависимости от победителя президентских выборов)
Закручивание гаек
• Вероятность - 45% (на данный момент)
• Вероятность через 2 года - 20% и 55% (в зависимости от победителя президентских выборов)
Останется все, как есть
• Вероятность - 30% (на данный момент)
Экспертная оценка специалистов Cisco
© 2011 Cisco and/or its affiliates. All rights reserved. 41/42
Принять единое определение термина «шифровальные средства»
Определить понятие «для собственных нужд»
Разрешить использование несертифицированных СКЗИ при отсутствии аналогов
Сделать прозрачной процедуру принятия решения о разрешении ввоза СКЗИ
Уточнить условия лицензирования