2024/12/25 18:18:05

Сертификация (лицензирование) средств шифрования

Лицензирование деятельности в области шифрования информации, осуществляемое ФСБ России по поручению Правительства РФ, началось еще с Указа № 334 в 1995 году, который строго запрещал в стране любую деятельность, связанную с криптографией, без лицензий и сертификатов ФСТЭК. Обязательная сертификация средств шифрования в интернете не требуется только в том случае, если это не государственная тайна.Сертификация потребуется только для средств, предназначенных для защиты сведений, содержащих гостайну.

Содержание

Хроника

2024

ФСБ планирует расширить требования к защите данных в государственных ИТ-системах и их список

ФСБ России в середине декабря опубликовало проект приказа[1] под названием «Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств». Предполагается, что общественное обсуждение приказа продлится до 27 декабря. Обсуждаемый документ заменит аналогичный приказ ФСБ №524 от октября 2022 года, в названии которого упоминаются только к государственные информационные системы (ГосИС).

«
Помимо ГосИС под действие приказа теперь попадают иные информационные системы государственных органов, государственных унитарных предприятий и государственных учреждений, — пояснил для TAdviser Анатолий Ромашев, директор департамента проектирования компании «Информзащита». — В августе 2024 году был принят федеральный закон № 216-ФЗ «О внесении изменений в федеральный закон №149-ФЗ и отдельные законодательные акты РФ», в котором уже был расширен список информационных систем. Поэтому ФСБ и изменяет свой приказ, чтобы он соответствовал федеральному закону, о чем и говорится в пояснительной записке к проекту приказа.
»

Кроме того, в документе указывается, что информация, содержащаяся в ГосИС, иных информационных системах государственных органов, ГУП, государственных учреждений, подлежит защите с использованием шифровальных (криптографических) средств защиты информации (СКЗИ).

Георгий Габолаев, основатель и генеральный директор компании «Группа-А», указывает, что под требования обновляемого приказа могут попасть новые типы информационных систем:

  • Системы управления критической информационной инфраструктурой, включая энергетические и транспортные;
  • Вычислительные центры обеспечивающие работу социально значимых услуг, таких как здравоохранение и образование;
  • Локальные информационные системы органов власти, использующие облачные технологии;
  • Информационные системы муниципального уровня;
  • ЦОДы частных подрядчиков, предоставляющие услуги разработки и сопровождения ГосИС.

В этих системах придётся соблюдать требования ФСБ на СКЗИ в случаях, если:

  • Законодательными и иными НПА РФ предусмотрена обязанность по защите информации, содержащейся в соответствующих ИС, с использованием СКЗИ;
  • в ИС осуществляется передача информации по каналам связи, проходящим за периметром охраняемой территории предприятия (учреждения), ограждающих конструкций охраняемого здания, охраняемой части здания, выделенного помещения;
  • необходимо признание электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью;
  • в ИС осуществляется хранение данных на носителях информации, предназначенных для записи, хранения и воспроизведения информации, обрабатываемой с использованием средств вычислительной техники, несанкционированный доступ к которым со стороны третьих лиц не может быть исключен с помощью некриптографических методов и способов.

Для используемых средств криптографической защиты проекта приказа вводят классы, к каждому из которых установлен набор требований. Определение класса СКЗИ, подлежащих использованию для защиты информации, содержащейся в ИС, осуществляется в зависимости от уровня значимости обрабатываемой в системе информации и масштаба самой ИС. Уровень значимости информации, содержащейся в системе, определяется степенью возможного ущерба для обладателя информации или оператора. Естественно, что все СКЗИ, используемые для защиты, должны быть сертифицированы ФСБ по соответствующему классу требований.

Требования ФСБ для ГосИС будут распространены на ИСПДн, КИИ и гостайну

Также по словам Георгия Габолаева приказ расширяет категории данных, которые должны защищаться с помощью СКЗИ. В частности речь идёт о добавлении таких категорий данных как:

  • Персональные данные высокого уровня чувствительности;
  • Данные, содержащие государственную тайну;
  • Информацию, связанную с критической информационной инфраструктурой.

Впрочем, требования по их криптографической защите содержатся в соответствующих федеральных законах №187-ФЗ для критической информационной инфраструктуры или №152-ФЗ для персональных данных.Импортозамещение ПО в России: ключевые поставщики, крупные проекты, оценки и перспективы. Обзор TAdviser 13.1 т

Кроме того, Георгий Габолаев указывает, что проект вводит новые критерии классификации информационных систем, позволяя точнее определять уровень защиты, необходимый для конкретной системы. Также ужесточены требования к процедурам аудита информационных систем, включая регулярный контроль за использованием СКЗИ, и усилена ответственность за внедрение механизмов мониторинга попыток несанкционированного доступа. Эксперт также отмечает, что авторами документа предполагается сближение с международными стандартами защиты информации, что облегчит интеграцию российских ГосИС в глобальные системы при необходимости международного сотрудничества.

Расширение списка требований и распространения их на новые компании могут привести к увеличению потребности российских компаний и ведомств в соответствующих инструментах криптографической защиты. Возникает вопрос: справятся ли российские разработчики с наплывом новых покупателей?

«
Производители СКЗИ за последние годы привыкли к возросшему спросу на свою продукцию, поэтому его возрастание, вызванное спросом операторов информационных систем, которые попадут под действие приказа ФСБ, не должно стать для них сюрпризом и непреодолимой трудностью, — заявил для TAdviser Анатолий Ромашев. — Более того во многих ИС вероятно уже используются отечественные решения, так как в государственном секторе процесс импортозамещения идет быстрее, нежели в остальных организациях. Поэтому рост спроса не будет таким, чтобы его удовлетворение стало трудностью для вендоров.
»

ФСБ упростит сертификацию банковских приложений

Федеральная служба безопасности России разрабатывает новый порядок сертификации банковских мобильных приложений для работы с цифровым рублем. Как стало известно 24 октября 2024 года, банки смогут размещать свои приложения в магазинах до завершения полной проверки программного обеспечения криптографической лабораторией ФСБ.

Начальник экспертного подразделения ФСБ Алексей Петров рассказал о согласовании нового механизма сертификации. По его словам, «было согласовано решение, по которому при первоначальной сертификации средства в документации будут определены функции, связанные с криптографией, в случае изменения которых при новом обновлении необходимо будет проводить полную сертификацию».

ФСБ облегчит процесс сертификации банковских приложений

«
Если обновление не затрагивает эти функции, то лаборатория в течение нескольких дней рассматривает [заявку] и напрямую сообщает банку о том, что все хорошо и этот продукт можно использовать, – отметил он.
»

Генеральный директор компании «Криптопро» Станислав Смышляев пояснил, что для работы с цифровым рублем банки обязаны внедрить отечественную криптографическую защиту вместо ранее использовавшейся иностранной биометрии.

Руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров уточнил, что лаборатория проводит оценку кода, проверяет наличие уязвимостей, иностранных интеграций и риски несанкционированного доступа.

В ФСБ существует шесть классов сертификации средств криптографической защиты. Процесс проверки может длиться несколько месяцев, что затрудняет работу банков, которым необходимо выпускать обновления приложений еженедельно или ежемесячно.[2]

2016

"Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется", - говорится в сообщении ФСБ.


Указ № 334 Правительства РФ от 1995 года запрещал:

  • использование государственными организациями несертифицированных криптосредств, а также размещение государственных заказов на предприятиях использующих несертифицированные криптосредства
  • использование коммерческими банками несертифицированных криптосредств при взаимодействии с ЦБ РФ
  • деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также оказанием любых услуг в области шифрования информации
  • ввоз на территорию РФ шифровальных средств иностранного производства без разрешения ФАПСИ

Другими словами, любая деятельность в области шифрования и любые криптосредства, не имеющие сертификата установленного образца, раз и навсегда были поставлены в нашей стране вне закона.[3]

Тем, кто увлечен таким занятием как скачивание бесплатных программ типа PGP, TrueCrypt и прочих шифровальщиков информации, либо балуется программированием в стиле DES, AES и им подобными штуками, следует помнить о том, что данная безобидная на первый взгляд деятельность любознательного студента фактически приравнивается нашим правительством к числу таких занятий как производство оружия массового поражения, наркотических средств или, скажем, осуществление тестов по проникновению на сайт Минобороны. В связи с этим, за эту деятельность предусмотрена вполне конкретная уголовная ответственность, как минимум, по статье 171 УК РФ.

Для того, чтобы примирить столь жесткую позицию государства в отношении криптографии с суровой действительностью, в законодательство о лицензировании криптографической деятельности неоднократно вносились дополнения и уточнения. На данный момент действует Постановление Правительства РФ от 16 апреля 2012 г. N 313 "О лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем...".

Из лицензирования исключены криптосредства по которым на практике не реально осуществить лицензионные мероприятия, включая:

  • криптосредства, используемые с сотовых телефонах и кредитных картах
  • криптосредства, используемые в коммерческой телевизионной и радиоаппаратуре
  • криптосредства, применяемые в банкоматах и контрольно-кассовых машинах
  • криптосредства, реализующие симметричные алгоритмы шифрования с длиной ключа не более 56 бит
  • криптосредства, реализующие ассиметричные алгоритмы шифрования с длиной с максимальной длиной ключа 122 или 512 бит (в зависимости от вида алгоритма)

  • и т.д.

На всякий случай к шифровальным средствам теперь относят также и средства кодирования информации, поскольку использование слова "кодирование" вместо "шифрования" в технической документации - любимый способ обхода лицензионных ограничений отечественными разработчиками ПО и системными интеграторами.

Лицензии ФСБ России на шифровальную деятельность теперь выдаются бессрочно, а не на 5 лет как раньше, и лицензирование теперь не распространяется на техническое обслуживание криптосредств, выполняемое для собственных нужд, зато ужесточились требования к квалификации персонала лицензиата.

Для руководителей и инженерно-технических работников лицензиата (которых должно быть не менее 2 человек) в зависимости от вида лицензируемой шифровальной деятельности установлены требования к подготовке по специальности по направлению "информационная безопасность" в объеме от 100 до 1000 аудиторных часов и опыту работы от 3 до 5 лет.

Эти требования служат камнем преткновения для многих организаций, решившихся легализовать свою деятельность в области криптографии. Далеко не каждый может себе позволить отправить своих сотрудников на курсы повышения квалификации в области ИБ на срок от месяца до полугода.

Примечания

  1. Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств
  2. ФСБ хочет упростить процедуру сертификации приложений банков
  3. Получение лицензий ФСБ на криптографию и дипломов по направлению ИБ на практике

Смотрите также

Источник — «https://prom.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A1%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_(%D0%BB%D0%B8%D1%86%D0%B5%D0%BD%D0%B7%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5)_%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2_%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F»

Править
Read in English   |   Короткая ссылка   |  Просмотров: 13206
В России создали вакцину против колоректального рака. Клинические испытания успешно завершены
Natura Siberica сменила гендиректора
Газпромбанк стал совладельцем производителя бионических протезов «Моторика»
Замглавы лечебного учреждения омского УФСИН приговорили к пяти годам колонии за вымогательство денег у родственников осужденных
Российский рынок HR-tech: оценки, тренды, крупнейшие поставщики. Обзор TAdviser
Владимир Андреев, Docsvision: СЭД стала бизнес-критичной системой для многих организаций
ГК «Геоскан» начала применять ключи Guardant DL для защиты своего софта
CIO девелопера Tekta Group Антон Солорев — о переходе с ERP Microsoft на «1С» и особенностях цифровизации в строительстве
Определены ключевые работодатели для специалистов по ИИ в России. Рейтинг TAdviser
Конференция «ИТ-приоритеты 2025» состоится 12 февраля
Решения 1С: актуальные тренды рынка и крупнейшие интеграторы. Обзор TAdviser
Почему SimpleOne ITSM становится лидером среди ИТ-решений в России
Конференция «IT Retail Day 2025» состоится 12 марта
Конференция «Программно-аппаратные комплексы 2025» состоится 24 апреля
Конференция «Banks IT Day 2025» состоится 15 апреля
Конференция «СЭД И ECM Day 2025» состоится 26 февраля
TAdviser Security 100: Крупнейшие ИБ-компании в России
Российский рынок информационной безопасности: оценки и тренды. Обзор TAdviser
Конференция «RPA и BPM Day 2025» состоится 23 апреля
Конференция «Big Data и AI Day 2025» состоится 3 апреля
Конференция «IT Security Day 2025» состоится 25 марта
Конференция «ИТ в промышленности 2025» состоится 13 марта
Конференция «Импортозамещение 2025: реальный опыт» состоится 19 февраля
НОТА МОДУС. Маркетинг: полное управление циклом взаимодействия с клиентом
Минздрав МО ускорил процесс найма сотрудников с помощью НОТА ЮНИОН в 2,5 раза
Как «Инфосистемы Джет» помогает выбрать решение для унифицированных коммуникаций
«Трансформация 2.0». Опыт роста технологической зрелости ритейлера «Лента» представлен на TAdviser SummIT
Комплексная экосистема для управления проектами. Обзор Timetta
Кристина Соколова, НОТА: ИТ-кадров не хватает, но текучесть снижается
Андрей Бойко, B2B-Center: Грамотное управление данными и НСИ помогает бизнесу экономить миллионы
beeline cloud завоевал три золотых награды на Tagline Awards 2024
Как платформа Сфера помогает автоматизировать разработку продуктов
Где скрыт резерв эффективности производства? Обзор цифровой платформы управления качеством QMS Professional от PROF-IT GROUP
Вице-премьер Дмитрий Григоренко рассказал TAdviser, как устроена цифровая модель госуправления Правительства России
Иван Прохоров, «Пульс»: Наша платформа — революционный шаг в направлении человекоцентричного подхода в разработке HR-продуктов
Корпоративная связь без разрывов. Один инструмент вместо нескольких «ушедших»: что делает CoWork удобным для работы
«Сколково» и TAdviser определили лидеров российского рынка систем управления производственным процессом
Гид по системам UEBA: 8 наиболее заметных продуктов, доступных на российском рынке
Барьер недостатка приложений под российскую ОС пройден
Переход «Группы Астра» с Zoom на DION
Гендиректор HR-платформы «Пульс» Ярослав Третьяков — об «оцифровке доверия» и культуре эффективности с фокусом на человека
Ирина Сокольская, IT_ONE: «Секрет успеха — баланс hard и soft skills ИТ-специалистов»
Российский рынок голосовых и чат-ботов для бизнеса: значимые тренды и ключевые участники. Обзор TAdviser
Как Удостоверяющий центр Контура поддержал клиентов во время законодательных изменений
НОТА ЮНИОН: как снизить затраты на найм на 20% и справиться с кадровым голодом
Система управления персоналом «БОСС» — автоматизация всех HR-процессов в единой системе
Доктор Мониторинг. Показания к применению