Сертификация (лицензирование) средств шифрования
Лицензирование деятельности в области шифрования информации, осуществляемое ФСБ России по поручению Правительства РФ, началось еще с Указа № 334 в 1995 году, который строго запрещал в стране любую деятельность, связанную с криптографией, без лицензий и сертификатов ФАПСИ. Обязательная сертификация средств шифрования в интернете не требуется только в том случае, если это не государственная тайна.Сертификация потребуется только для средств, предназначенных для защиты сведений, содержащих гостайну.
Содержание |
Хроника
2024: ФСБ упростит сертификацию банковских приложений
Федеральная служба безопасности России разрабатывает новый порядок сертификации банковских мобильных приложений для работы с цифровым рублем. Как стало известно 24 октября 2024 года, банки смогут размещать свои приложения в магазинах до завершения полной проверки программного обеспечения криптографической лабораторией ФСБ.
Начальник экспертного подразделения ФСБ Алексей Петров рассказал о согласовании нового механизма сертификации. По его словам, «было согласовано решение, по которому при первоначальной сертификации средства в документации будут определены функции, связанные с криптографией, в случае изменения которых при новом обновлении необходимо будет проводить полную сертификацию».
Если обновление не затрагивает эти функции, то лаборатория в течение нескольких дней рассматривает [заявку] и напрямую сообщает банку о том, что все хорошо и этот продукт можно использовать, – отметил он. |
Генеральный директор компании «Криптопро» Станислав Смышляев пояснил, что для работы с цифровым рублем банки обязаны внедрить отечественную криптографическую защиту вместо ранее использовавшейся иностранной биометрии.Как с помощью EvaProject и EvaWiki построить прозрачную бесшовную среду для успешной работы крупного холдинга
Руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров уточнил, что лаборатория проводит оценку кода, проверяет наличие уязвимостей, иностранных интеграций и риски несанкционированного доступа.
В ФСБ существует шесть классов сертификации средств криптографической защиты. Процесс проверки может длиться несколько месяцев, что затрудняет работу банков, которым необходимо выпускать обновления приложений еженедельно или ежемесячно.[1]
2016
"Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется", - говорится в сообщении ФСБ.
Указ № 334 Правительства РФ от 1995 года запрещал:
- использование государственными организациями несертифицированных криптосредств, а также размещение государственных заказов на предприятиях использующих несертифицированные криптосредства
- использование коммерческими банками несертифицированных криптосредств при взаимодействии с ЦБ РФ
- деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также оказанием любых услуг в области шифрования информации
- ввоз на территорию РФ шифровальных средств иностранного производства без разрешения ФАПСИ
Другими словами, любая деятельность в области шифрования и любые криптосредства, не имеющие сертификата установленного образца, раз и навсегда были поставлены в нашей стране вне закона.[2]
Тем, кто увлечен таким занятием как скачивание бесплатных программ типа PGP, TrueCrypt и прочих шифровальщиков информации, либо балуется программированием в стиле DES, AES и им подобными штуками, следует помнить о том, что данная безобидная на первый взгляд деятельность любознательного студента фактически приравнивается нашим правительством к числу таких занятий как производство оружия массового поражения, наркотических средств или, скажем, осуществление тестов по проникновению на сайт Минобороны. В связи с этим, за эту деятельность предусмотрена вполне конкретная уголовная ответственность, как минимум, по статье 171 УК РФ.
Для того, чтобы примирить столь жесткую позицию государства в отношении криптографии с суровой действительностью, в законодательство о лицензировании криптографической деятельности неоднократно вносились дополнения и уточнения. На данный момент действует Постановление Правительства РФ от 16 апреля 2012 г. N 313 "О лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем...".
Из лицензирования исключены криптосредства по которым на практике не реально осуществить лицензионные мероприятия, включая:
- криптосредства, используемые с сотовых телефонах и кредитных картах
- криптосредства, используемые в коммерческой телевизионной и радиоаппаратуре
- криптосредства, применяемые в банкоматах и контрольно-кассовых машинах
- криптосредства, реализующие симметричные алгоритмы шифрования с длиной ключа не более 56 бит
- криптосредства, реализующие ассиметричные алгоритмы шифрования с длиной с максимальной длиной ключа 122 или 512 бит (в зависимости от вида алгоритма)
- и т.д.
На всякий случай к шифровальным средствам теперь относят также и средства кодирования информации, поскольку использование слова "кодирование" вместо "шифрования" в технической документации - любимый способ обхода лицензионных ограничений отечественными разработчиками ПО и системными интеграторами.
Лицензии ФСБ России на шифровальную деятельность теперь выдаются бессрочно, а не на 5 лет как раньше, и лицензирование теперь не распространяется на техническое обслуживание криптосредств, выполняемое для собственных нужд, зато ужесточились требования к квалификации персонала лицензиата.
Для руководителей и инженерно-технических работников лицензиата (которых должно быть не менее 2 человек) в зависимости от вида лицензируемой шифровальной деятельности установлены требования к подготовке по специальности по направлению "информационная безопасность" в объеме от 100 до 1000 аудиторных часов и опыту работы от 3 до 5 лет.
Эти требования служат камнем преткновения для многих организаций, решившихся легализовать свою деятельность в области криптографии. Далеко не каждый может себе позволить отправить своих сотрудников на курсы повышения квалификации в области ИБ на срок от месяца до полугода.
Примечания
Смотрите также
- Сертификация соответствия средств связи (ССС)
- Сертификация (лицензирование) средств шифрования
- Сертификаты безопасности
- Сертификация оптоволоконной связи
- Сертификация Uptime Institute Tier