Positive Hack Days. Лукацкий. Сложности регулирования...

1 © 2011 Cisco and/or its affiliates. All rights reserved.

Сложности регулирования криптографии в России Алексей Лукацкий, бизнес-консультант по безопасности

© 2011 Cisco and/or its affiliates. All rights reserved. 2/42

Смена ожиданий бизнеса в отношении информационной безопасности


Аутсорсинг Виртуализация Мобильность Web 2.0 Облака Социальные

сети


БИЗНЕС И ИТ

ПРИОРИТЕТЫ

ТРЕБОВАНИЯ

РЕГУЛЯТОРОВ

Легальное

использование

Легальное

распространение

Совместная работа

Облака и аутсорсинг

Холдинги

Легальный ввоз


• Первые публичные нормативные по криптографии относятся к 1995 г.

• Основная предпосылка при создании НПА – всецелый контроль СКЗИ на всех этапах их жизненного цикла

• В качестве базы при создании НПА взят подход по защите государственной тайны

• ФСБ продолжает придерживаться этой позиции и спустя 15 лет, несмотря на рост числа ее противников


Ввоз шифровальных средств на территорию Российской Федерации

Лицензирование деятельности, связанной с шифрованием

Использование сертифицированных шифровальных средств


1 Нечеткость терминологии

2 Унаследованные правила

4 Непонимание модели угроз современного бизнеса

3 Различные этапы жизненного цикла – различные требования 5 Отсутствие четкой позиции

регулятора


• Средства шифрования в любом исполнении

• Средства имитозащиты в любом исполнении

• Средства ЭЦП в любом исполнении

Но не средства ЭП

• Средства кодирования

• Средства изготовления ключевых документов

• Ключевые документы

• но это не все


• Системы, оборудование и компоненты, разработанные или модифицированные для выполнения криптоаналитических функций

• Системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов генерации расширяющегося кода для систем с расширяющимся спектром, включая скачкообразную перестройку кодов для систем со скачкообразной перестройкой частоты

• Системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов формирования каналов или засекречивающих кодов для модулированных по времени сверхширокополосных систем

• Криптография ≠ методы сжатия или кодирования


• Новый закон «О лицензировании отдельных видов деятельности» заставил получать лицензии ФСБ на разработку, производство, распространение и техническое обслуживание

Информационных систем, защищенных с использование шифровальных средств

Телекоммуникационных систем, защищенных с использование шифровальных средств

• Информационная система – совокупность содержащейся в БД информации и обеспечивающих ее обработку ИТ и технических средств


• Необходимость применения шифровальных (криптографических) средств, как правило, проявляется в случаях, когда безопасность хранения и обработки информации не может быть гарантированно обеспечена другими средствами

В число таких случаев входит, например, случай передачи персональных данных по сетям общего пользования, в которых принципиально невозможно исключить доступ нарушителя к передаваемой информации

Законы

Конфиденциальность

Шифрование

НПА регуляторов

≠


• Получить согласие субъекта на передачу в открытом виде

Так делает Роскомнадзор у себя на сайте

• Обеспечить контролируемую зону

• Использовать оптические каналы связи

И правильную модель угроз

• Переложить задачу обеспечения конфиденциальности на оператора связи

По договоре

• Использовать шифровальные средства


• Подписан 3 апреля 1995 года (изменен 25 июля 2000 года)

• Запрещено использование госорганами шифровальных средств без сертификата ФСБ

• Запрещено госорганам размещать госзаказ на предприятиях, использующих шифровальные средства без сертификата

• Применять меры к банкам, не применяющим сертифицированные шифровальные средства при общении с Банком России

• Запретить деятельность юрлиц и физлиц, связанную с …эксплуатацией шифровальных средств без лицензии ФСБ

• Запретить ввоз шифровальных средств без лицензии Минпромторга и разрешения ФСБ

• Наказывать виновных по всей строгости закона


• Часть его норм продолжает действовать

Например, требования по ввозу шифровальных средств и использованию госорганов только сертифицированных шифровальных средств

• Часть статей фактически отменены новыми нормативно-правовыми актами

Законом «О лицензировании отдельных видов деятельности»

Законом «О техническом регулировании»

Гражданским Кодексом

• В явном виде Указ 334 до сих пор не отменен

Несмотря на циркулирующие слухи


• Все этапы жизненного цикла шифровального средства

Ввоз

Разработка

Производство

Оценка соответствия

Реализация

Распространение

ТО

Оказание услуг Эксплуатация

Вывоз

Контроль и надзор


• Положение о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств

• Шифровальные (криптографические) средства, ввоз которых на таможенную территорию таможенного союза и вывоз с таможенной территории таможенного союза ограничен

• Если у средства функция шифрования не используется или неосновная, то средство все равно считается шифровальным


• Принтеры, копиры и факсы

• Кассовые аппараты

• Карманные компьютеры

• Карманные машины для записи, воспроизведения и визуального представления

• Вычислительные машины и их комплектующие

• Абонентские устройства связи

• Базовые станции

• Телекоммуникационное оборудование

• Программное обеспечение


• Аппаратура для радио- и телевещания и приема

• Радионавигационные приемники, устройства дистанционного управления

• Аппаратура доступа в Интернет

• Схемы электронные, интегральные, запоминающие устройства

• Прочее


Упрощенная схема

• Ввоз по нотификации

По лицензии

• Разрешение ФСБ

• Ввоз по лицензии Минпромторга

• Проверка легитимности ввоза по нотификации

http://www.tsouz.ru/db/entr/notif/Pages/default.aspx

• Проверка легитимности ввоза по лицензии

Копия разрешения ФСБ


• Товары, содержащие шифровальные (криптографические) средства, имеющие любую из следующих составляющих:

симметричный криптографический алгоритм, использующий криптографический ключ длиной, не превышающей 56 бит; или

асимметричный криптографический алгоритм, основанный на любом из следующих методов:

на разложении на множители целых чисел, размер которых не превышает 512 бит;

на вычислении дискретных логарифмов в мультипликативной группе конечного поля размера, не превышающего 512 бит; или

o на дискретном логарифме в группе, отличного от поименованного в вышеприведенном подпункте “б” размера, не превышающего 112 бит

• Товары, у которых криптографическая функция заблокирована производителем


• Шифровальные (криптографические) средства, являющиеся компонентами программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной

• Шифровальное (криптографическое) оборудование, специально разработанное и ограниченное применением для банковских или финансовых операций

• Средства аутентификации и ЭЦП


• Беспроводное радиоэлектронное оборудование, осуществляющее шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя

• Шифровальные (криптографические) средства, используемые для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи

• Портативные или мобильные радиоэлектронные средства гражданского применения без сквозного шифрования

• Персональные смарт-карты

• Приемная аппаратура для радиовещания, коммерческого телевидения и вещания на ограниченную аудиторию

• Средства защиты от копирования


• Лицензия ФСБ на деятельность в области шифрования

Предоставление услуг в области шифрования информации

Деятельность по техническому обслуживанию шифровальных средств

Деятельность по распространению шифровальных средств

Деятельность по разработке, производству шифровальных средств, защищенных использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем

• 4 мая 2011 года принята новая редакция закона «О лицензировании отдельных видов деятельности» (99-ФЗ)

Единая лицензия на разработку, производство, распространение, выполнение работ, оказание услуг и техническое обслуживание шифровальных средств, информационных и телекоммуникационных систем, защищенных с помощью шифровальных средств


• В явном виде нет, но такие мероприятия как

монтаж, установка, наладка шифровальных (криптографических) средств

ремонт, сервисное обслуживание шифровальных (криптографических) средств

утилизация и уничтожение шифровальных (криптографических) средств

работы по обслуживанию шифровальных (криптографических) средств, предусмотренные технической и эксплуатационной документацией на эти средства

• относятся к техническому обслуживанию

• Представители 8-го Центра ФСБ многократно заявляют, что для собственных нужд лицензия не нужна


• Новый закон «О лицензировании отдельных видов деятельности» от 4 мая 2011 года вновь вернул термин «для собственных нужд» (только для технического обслуживания)

• Однако данные термин не определен и вызывает множество вопросов

Шифрование для защиты информации сотрудников и клиентов – это собственные нужды или нет?


• Федеральный Закон от 29 апреля 2008 года N 57-ФЗ г. Москва «О порядке осуществления иностранных инвестиций в хозяйственные общества, имеющие стратегическое значение для обеспечения обороны страны и безопасности государства»

В целях обеспечения обороны страны и безопасности государства настоящим Федеральным законом устанавливаются изъятия ограничительного характера для иностранных инвесторов и для группы лиц, в которую входит иностранный инвестор, при их участии в уставных капиталах хозяйственных обществ, имеющих стратегическое значение для обеспечения обороны страны и без опасности государства, и (или) совершении ими сделок, влекущих за собой установление контроля над указанными хозяйственными обществами


• Хозяйственное общество, имеющее стратегическое значение для обеспечения обороны страны и безопасности государства, - предприятие созданное на территории Российской Федерации и осуществляющее хотя бы один из видов деятельности, имеющих стратегическое значение для обеспечения обороны страны и безопасности государства и указанных в статье 6 настоящего Федерального закона

пп.11-14 – 4 вида лицензирования деятельности в области шифрования

Наличие всего лишь одного маршрутизатора с IPSec требует от вас лицензии на ТО СКЗИ


• Для обеспечения безопасности персональных данных при их обработке в информационных системах должны использоваться сертифицированные в системе сертификации ФСБ России (имеющие положительное заключение экспертной организации о соответствии требованиям нормативных документов по безопасности информации) криптосредства

• Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России

Методические рекомендации ФСБ по защите персданных


• Можно ли использовать сертифицированное криптоядро в составе VPN-решений?

Можно

• Будет ли такое использование легитимным?

Нет!!!

© 2011 Cisco and/or its affiliates. All rights reserved. 35/42 35

0

1

2

3

4

5

6

7

8

Число нормативных актов с требованиями сертификации по требованиям безопасности

* - для 2011 – предварительная оценка проектов новых нормативных актов (ФЗ “О национальной

платежной системе”, ФЗ “О служебной тайне”, новые приказы ФСТЭК/ФСБ и т.д.)


• По линии ФСБ существует две системы сертификации

система сертификации средств криптографической защиты информации (РОСС RU.0001.030001)

система сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (РОСС RU.0003.01БИ00)

• СКЗИ оцениваются на соответствие «Требованиям к средствам криптографической защиты конфиденциальной информации»

• Ответственность за использование несертифицированных СКЗИ несет пользователь

• Невозможность обновления сертифицированной продукции


• Оценка соответствия ≠ сертификация

• Оценка соответствия - прямое или косвенное определение соблюдения требований, предъявляемых к объекту

• Оценка соответствия регулируется ФЗ-184 «О техническом регулировании»


Оценка соответствия

Госконтроль и надзор

Аккредитация

Испытания

Регистрация

Подтверждение соответствия

Добровольная сертификация

Обязательная сертификация

Декларирование соответствия

Приемка и ввод в эксплуатацию

В иной форме


Либерализация

• Вероятность - 20% (на данный момент)

• Вероятность через 2 года - 35% и 10% (в зависимости от победителя президентских выборов)

Закручивание гаек


• Вероятность через 2 года - 20% и 55% (в зависимости от победителя президентских выборов)

Останется все, как есть


Экспертная оценка специалистов Cisco


Принять единое определение термина «шифровальные средства»

Определить понятие «для собственных нужд»

Разрешить использование несертифицированных СКЗИ при отсутствии аналогов

Сделать прозрачной процедуру принятия решения о разрешении ввоза СКЗИ

Уточнить условия лицензирования

Спасибо

за внимание!

[email protected]

Positive Hack Days. Лукацкий. Сложности регулирования...

Business

Transcript of Positive Hack Days. Лукацкий. Сложности регулирования...