четверг, 21 июля 2016 г.

Нужны ли сертифицированные СКЗИ? Таинственные метаморфозы извещения ФСБ





Вчера в сети появилось Извещение ФСБ "по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет».

Его содержание в текущей редакции уместилось в 4 абзацах и доступно по ссылке. 
Извещение относилось к Статье 13.6 КОАП в редакции ФЗ № 374, принятого в рамках печально известного "пакета Яровой", которой устанавливается "административная ответственность за использование несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законом предусмотрена их обязательная сертификация".
В целом суть сводится к тому, что простые граждане, не допущенные к гостайне, пока могут спать спокойно, и за шифрование файликов в архивах winrar пока штрафовать не будут.

Но мне показалось интересным, что у документа было как минимум две редакции!

1) Редакция за 20.07
Пунктом 3 статьи 11 Федерального закона от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» (далее - Федеральный закон) установлена административная ответственность за использование несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законом предусмотрена их обязательная сертификация.
Законодательством Российской Федерации обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (статья 28 Закона Российской Федерации «О государственной тайне»).
Порядок сертификации указанных средств и их перечень установлены приказом ФСБ России от 13 ноября 1999 г. № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия»
Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется.


Обратим внимание на абзац 2, который особенно порадовал. То есть ФСБ считает, что обязательная сертификация СЗИ нужна только для гостайны…? А как же приказ ФСТЭК 17, в котором требуется использование сертифицированных СЗИ? И как тогда понимать 378 приказ ФСБ, со ссылками на классы СКЗИ? А как же собственные методические рекомендации ФСБ, где говорилось об оценке соответствия, со ссылкой на список сертифицированных СКЗИ? 
Вчера это было написано в извещении. Вот пруф (текст в блоге Андрея Прозорова).

А дальше, за ночь, редакция извещения на сайте ФСБ немного поменялась :) 
Итак, "ловким движением руки брюки превращаются... превращаются брюки..."

2) Редакция за 21.07
Статьёй 13.6 Кодекса Российской Федерации об административных правонарушениях в редакции Федерального закона от 6 июля 2016 г. № 374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» устанавливается административная ответственность за использование несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законом предусмотрена их обязательная сертификация.
 Законом Российской Федерации «О государственной тайне» обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну (ст. 28).
Порядок сертификации указанных средств и их перечень установлены приказом ФСБ России от 13 ноября 1999 г. № 564 «Об утверждении Положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия» (зарегистрирован в Минюсте России 27 декабря 1999 г. № 2028).
Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети «Интернет», на соответствие требованиям по безопасности информации не требуется.

А теперь все стало логично. Речь не про "законодательство Российской Федерации" (в том числе ФЗ 152 и 149), а про отдельный закон "О государственной тайне". Именно в этом законе, сертификация определена только для СЗИ предназначенных для защиты гос. тайны (что и понятно).
А вопросы защиты ПДн и ГИС регулируются другими НПА и в Извещении не затрагиваются.


Выводы:
1) Официальные извещения могут меняться, поэтому лучше их скриншотить J
2) В части защиты ГИС и ПДн все по-прежнему. Да и вряд ли регуляторы так легко откажутся от требований использования сертифицированных СЗИ и СКЗИ (на которых держится большой сегмент рынка).

Больше по теме Извещения можно почитать у Сергея Борисова и Андрея Прозорова




2 комментария:

  1. Вообще красава, что заметил изменения! Респект!

    ОтветитьУдалить
  2. Андрей, спасибо :)
    Этот абзац сразу же удивление вызвал, поэтому было заметно, когда его поменяли.

    ОтветитьУдалить