Про регулирование криптографии я уже писал неоднократно. И специализированные семинары проводились тоже неоднократно. И в рамках других выступлений и курсов я про это тоже говорил неоднократно. А вопросы всплывают постоянно. Долгие годы. И все без официального ответа. Складывается такое впечатление, что 8-му Центру ФСБ и ЦЛСЗ выгодна такая ситуация и они делают все, чтобы у потребителей и дальше была полная сумятица в голове относительно того, что можно, а что нельзя в области криптографии. ФСТЭК по сравнению с ними - овечка. Попробую еще раз сформулировать ключевые положения законодательства по криптографии.
Начну с того, что существует 4 разных ветви регулироания криптографии. ЧЕТЫРЕ! Ввоз СКЗИ на территорию России, их применение, деятельность с использованием СКЗИ и их вывоз за пределы РФ. Любая организация, которая хочет защищать какую-либо информацию с помощью шифровальных средств попадает под эти ветви законодательства. Может быть не под все сразу, но под две минимум (применение и деятельность), а при наличии трансграничного обмена еще и под оставшиеся две.
И касаются эти ветви регулирования не только западной криптографии, но и отечественной; сертифицированной и несертифицированной; применяемой в госорганах и на коммерческих предприятиях; на ГОСТе и без него.
Допустим, вы хотите вы хотите применить VPN-модуль Cisco + С-Терра. Ввозить его не надо, т.к. продукт разработан в России, - эта ветвь регулирования минует вас. Вопрос с его применением тоже решается без проблем, т.к. модуль имеет сертификат ФСБ. Но вот дальше возникает вопрос. А для чего я буду применять этот модуль? Какие виды работ мне понадобится оказывать с его помощью? Не являются ли данные виды работ лицензируемыми? А есть ли у меня лицензия ФСБ, выданная в соответствие с ПП-313, на указанные виды работ? Т.е. я и мог бы применять модуль NME-RVPN (как продукт), но как у организации у меня может и не быть такого права. Например, по причине отсутствия у вас специалистов с подтвержденной квалификацией. Для ФСБ это является основанием для отказа в выдаче лицензии. А деятельность без лицензии по мнению регулятора - это уголовное преступление, наказуемое по статье 171 УК РФ (и такие прецеденты есть).
Теперь возьмем к примеру маршрутизатор Cisco ISR 881 с функцией VPN. Продукт не имеет сертификата ФСБ и изготовляется за пределами России. Но при этом часто используется для защиты различных платежных терминалов и банкоматов. Что нам говорит законодательство по этому поводу? Можно ли его применять? Да. В том же 382-П Банка России ограничений для этого нет. А можно ли его ввезти на территорию РФ? Да, по облегченной схеме, т.к. на данный продукт (с кодом PCI в part number) выдана нотификация (что такое нотификация смотрите тут ). Но вопросы с лицензированием деятельности остаются.
Теперь возьмем какой-нибудь западный VPN-продукт, на который устанавливается сертифицированная криптография в России. Напомню, что если просто так взять и поставить что-то сертифицированное, это еще не делает получившийся продукт легальным в России. Но допустим вопрос с установкой на западный VPN решен и мы можем применять получившийся симбиоз в России для каких-то криптографических задач. И допустим у нас даже есть лицензия ФСБ. Но вопрос с ввозом остался. Но как же? Мы же не используем иностранную криптографию и навешиваем отечественную. Но иностранная-то криптография в ввозимом продукте же осталась - ее никто не убирал, а следовательно ввозимый продукт по-прежнему попадает под регулирование ввоза шифровальных средств. И тут надо либо исключать из продукта шифрование вовсе (например, Cisco даже специально сделала специальную версию IOS-NPE для данной задачи), либо пытаться попасть под исключения, благодаря которым можно попробовать получить нотификацию (т.е. право на облегченную процедуру ввоза) на ввозимое шифровальное средство.
Теперь рассмотрим какой-нибудь планшетник или смартфон с встроенной криптографией. И ввоз их осуществляется по нотификации, т.е. по упрощенной процедуре. И лицензия ФСБ на их использование не нужно, т.к. они попадают в исключения. Но вот применять нельзя, т.к. есть ограничения, установленные другой ветвью регулирования. Если говорить о госорганах, то им запрещено применять несертифицированные СКЗИ (а для большинства современных мобильных устройств сертифицированной криптографии нет). А если говорить о негосударственных потребителях, то если на их мобильных устройствах встречаются персданные, то защищать их можно также только при помощи сертифицированной криптографии.
Пойдем дальше. Допустим продукт ввезли (или произвели в России). Допустим мы можем его применить для поставленной задачи (например, для шифрования персональных данных). Допустим у нас есть лицензия ФСБ. А теперь мы хотим организовать защищенный трансграничный обмен со своими контрагентами или филиалами, находящимися за границей. И хотим это сделать непременно на отечественной сертифицированной криптографии. И вот тут вступает в игру 4-я ветвь регулирования криптографии - о вывозе (экспорте) шифровальных средств. При этом она разбивается на 2 составляющие. Вы должны получить право на экспорт из России и право на импорт в ту страну, в которой вы хотите использовать нашу криптографию. И если с разрешением на экспорт еще как-то можно разобраться (хотя это и не так просто), то получение разрешения на ввоз СКЗИ в другое государство останавливает многие благие начинания (и уж тем более ставит крест на идее России о мировом господстве в области криптографии). При этом сама же ФСБ и ставит палки в колеса, посчитав смягчение процедуры вывоза СКЗИ нецелесообразной .
Что в сухом остатке. А все просто. Вы можете применять, но можете не иметь возможности ввезти. Вы можете ввезти, но можете не иметь возможности применить. Вы можете и ввезти и применить, но не можете вообще заниматься деятельностью, связанной с криптографией. И таких комбинаций из 4-х элементов получается много. И никто и нигде не разъясняет этих хитросплетений российского законодательства ;-( Через наши семинары по этой тематике прошло, уже наверное, около трех-четырех тысяч человек. А вопросы все задают и задают. У основного же регулятора по этой теме ответ один - "Будем решать все в частном порядке" ;-(
Мне кажется, что даже некоторые регуляторы (как в нашей области, так и за ее пределами) не до конца понимают всей картины регулирования криптографии. Отсюда и все последующие проблемы. Бывает напишут "используйте", а про то, что это нельзя ввезти не говорят (а может и не знают). Традиционная закрытость ФСБ начинает играть против них...
Чтобы стоило бы сделать на мой взгляд?
Начну с того, что существует 4 разных ветви регулироания криптографии. ЧЕТЫРЕ! Ввоз СКЗИ на территорию России, их применение, деятельность с использованием СКЗИ и их вывоз за пределы РФ. Любая организация, которая хочет защищать какую-либо информацию с помощью шифровальных средств попадает под эти ветви законодательства. Может быть не под все сразу, но под две минимум (применение и деятельность), а при наличии трансграничного обмена еще и под оставшиеся две.
И касаются эти ветви регулирования не только западной криптографии, но и отечественной; сертифицированной и несертифицированной; применяемой в госорганах и на коммерческих предприятиях; на ГОСТе и без него.
Допустим, вы хотите вы хотите применить VPN-модуль Cisco + С-Терра. Ввозить его не надо, т.к. продукт разработан в России, - эта ветвь регулирования минует вас. Вопрос с его применением тоже решается без проблем, т.к. модуль имеет сертификат ФСБ. Но вот дальше возникает вопрос. А для чего я буду применять этот модуль? Какие виды работ мне понадобится оказывать с его помощью? Не являются ли данные виды работ лицензируемыми? А есть ли у меня лицензия ФСБ, выданная в соответствие с ПП-313, на указанные виды работ? Т.е. я и мог бы применять модуль NME-RVPN (как продукт), но как у организации у меня может и не быть такого права. Например, по причине отсутствия у вас специалистов с подтвержденной квалификацией. Для ФСБ это является основанием для отказа в выдаче лицензии. А деятельность без лицензии по мнению регулятора - это уголовное преступление, наказуемое по статье 171 УК РФ (и такие прецеденты есть).
Теперь возьмем к примеру маршрутизатор Cisco ISR 881 с функцией VPN. Продукт не имеет сертификата ФСБ и изготовляется за пределами России. Но при этом часто используется для защиты различных платежных терминалов и банкоматов. Что нам говорит законодательство по этому поводу? Можно ли его применять? Да. В том же 382-П Банка России ограничений для этого нет. А можно ли его ввезти на территорию РФ? Да, по облегченной схеме, т.к. на данный продукт (с кодом PCI в part number) выдана нотификация (что такое нотификация смотрите тут ). Но вопросы с лицензированием деятельности остаются.
Теперь возьмем какой-нибудь западный VPN-продукт, на который устанавливается сертифицированная криптография в России. Напомню, что если просто так взять и поставить что-то сертифицированное, это еще не делает получившийся продукт легальным в России. Но допустим вопрос с установкой на западный VPN решен и мы можем применять получившийся симбиоз в России для каких-то криптографических задач. И допустим у нас даже есть лицензия ФСБ. Но вопрос с ввозом остался. Но как же? Мы же не используем иностранную криптографию и навешиваем отечественную. Но иностранная-то криптография в ввозимом продукте же осталась - ее никто не убирал, а следовательно ввозимый продукт по-прежнему попадает под регулирование ввоза шифровальных средств. И тут надо либо исключать из продукта шифрование вовсе (например, Cisco даже специально сделала специальную версию IOS-NPE для данной задачи), либо пытаться попасть под исключения, благодаря которым можно попробовать получить нотификацию (т.е. право на облегченную процедуру ввоза) на ввозимое шифровальное средство.
Теперь рассмотрим какой-нибудь планшетник или смартфон с встроенной криптографией. И ввоз их осуществляется по нотификации, т.е. по упрощенной процедуре. И лицензия ФСБ на их использование не нужно, т.к. они попадают в исключения. Но вот применять нельзя, т.к. есть ограничения, установленные другой ветвью регулирования. Если говорить о госорганах, то им запрещено применять несертифицированные СКЗИ (а для большинства современных мобильных устройств сертифицированной криптографии нет). А если говорить о негосударственных потребителях, то если на их мобильных устройствах встречаются персданные, то защищать их можно также только при помощи сертифицированной криптографии.
Пойдем дальше. Допустим продукт ввезли (или произвели в России). Допустим мы можем его применить для поставленной задачи (например, для шифрования персональных данных). Допустим у нас есть лицензия ФСБ. А теперь мы хотим организовать защищенный трансграничный обмен со своими контрагентами или филиалами, находящимися за границей. И хотим это сделать непременно на отечественной сертифицированной криптографии. И вот тут вступает в игру 4-я ветвь регулирования криптографии - о вывозе (экспорте) шифровальных средств. При этом она разбивается на 2 составляющие. Вы должны получить право на экспорт из России и право на импорт в ту страну, в которой вы хотите использовать нашу криптографию. И если с разрешением на экспорт еще как-то можно разобраться (хотя это и не так просто), то получение разрешения на ввоз СКЗИ в другое государство останавливает многие благие начинания (и уж тем более ставит крест на идее России о мировом господстве в области криптографии). При этом сама же ФСБ и ставит палки в колеса, посчитав смягчение процедуры вывоза СКЗИ нецелесообразной .
Что в сухом остатке. А все просто. Вы можете применять, но можете не иметь возможности ввезти. Вы можете ввезти, но можете не иметь возможности применить. Вы можете и ввезти и применить, но не можете вообще заниматься деятельностью, связанной с криптографией. И таких комбинаций из 4-х элементов получается много. И никто и нигде не разъясняет этих хитросплетений российского законодательства ;-( Через наши семинары по этой тематике прошло, уже наверное, около трех-четырех тысяч человек. А вопросы все задают и задают. У основного же регулятора по этой теме ответ один - "Будем решать все в частном порядке" ;-(
Мне кажется, что даже некоторые регуляторы (как в нашей области, так и за ее пределами) не до конца понимают всей картины регулирования криптографии. Отсюда и все последующие проблемы. Бывает напишут "используйте", а про то, что это нельзя ввезти не говорят (а может и не знают). Традиционная закрытость ФСБ начинает играть против них...
Чтобы стоило бы сделать на мой взгляд?
- Уменьшить число видов работ, требующих лицензирования, и сделать оставшийся перечень более конкретным и прозрачным.
- Разработать и узаконить процедуру "ввоза" средств шифрования путем скачивания через Интернет.
- Совместить процедуры получения разрешения на ввоз с получением разрешения на применение СКЗИ (из одного должно автоматически вытекать второе).
- Уменьшить число случаев, когда решение о том, какие СКЗИ можно использовать для защиты информации, обладателем которой является не государство, принимает ФСБ, а не сам обладатель.
- Облегчить процедуру вывоза СКЗИ и сделать ее более прозрачной.