По просьбе организаторов, проводил я в четверг в рамках РусКрипто деловую игру "А что, если". Идея ее родилась после моего поста в январе этого года и получила свое развитие именно на РусКрипто. Но чтобы не повторять то, что замечательно проводил Олег Кузьмин на прошлогоднем форуме директоров по ИБ, я выбрал в качестве темы следующие вопросы:
Либерализация экспорта российских СКЗИ на Запад запоздала. Нас (российские СКЗИ) там не ждут. Кто-то считает, что мы просто неконкурентоспособны. Кто-то считает, что нас боятся. Итог один - российская криптография, продвигаемая на Запад встречает серьезное сопротивление со стороны разных сторон. Это и ФСБ, которая не горит желанием разрешать вывоз отечественных инноваций на Запад. Это и западные страны, которые не разрешают ввоз наших СКЗИ к себе (даже если ФСБ разрешила вывоз). При этом даже если все запреты на вывоз снимут, никакого всплеска экспорта не будет и ситуация останется практически такой же, что и сейчас.
Второй тезис заключался в том, что полное открытие импорта иностранной криптографии в Россию приведет к тому, что российским вендорам настанут "кранты" (по словам одного из выступающих). "Кранты" приведут к тому, что у нас умрет коммерческая криптография. Это приведет к смерти отечественной криптографической школы. А это, в свою очередь, приведет к потере независимости и тому, что россияне перестанут гордиться своей страной. При этом прозвучал интересный тезис о том, что "плевать на потребителя" - национальная безопасность важнее, а потому западную криптографию давили и будут давить.
При этом мы плавно коснулись и темы США, которые имеют такое же законодательство, что и Россия, и почему мы возвущаемся тем, что Россия поступает также как и наш заокеанский враг. Коснулись и того, что разрешенная к вывозу зарубежная (в частности американская) криптография дырявая и может быть в любой момент взломана спецслужбами. Аналогичный вывод был сделан и в отношении российской криптографии, которую ФСБ разрешает вывозить за пределы Российской Федерации. Правда, эту тему развивать не стали. А то договорились бы еще, до черт знает чего. И так по грани ходили. Вывод ряда выступающих о том, что наша криптография нужна тем странам, которые не любят США, я не разделяю, т.к. нелюбовь к США не означает пламенной любви России. Какая разница, кто будет читать чужую переписку? Внешняя политика есть внешняя политика, не взирая на то, кто является противником - Россия или США.
К сожалению, каких-то серьезных рецептов решения озвученных проблем (отставание в развитии СКЗИ, отсутствие отечественных СКЗИ для ряда задач, длинный срок сертификации СКЗИ и т.д.) так и не прозвучало. По сути были высказаны разные точки зрения и есть надежда, что те, кому надо, услышат то, что им надо.
Второй блок вопрос касался ФСТЭК. Алексей Домрачев правильно поставил задачу, сказав, что неважно, будет ли после 7-го мая ФСТЭК или нет. Важнее другое - останутся ли ее функции или нет. Т.к. от сертификации, надзора, экспортного контроля и т.п. никуда не уйти, то отсутствие ФСТЭК в новой структуре Правительства никак не повлияет на рынок. Важнее, как функции ФСТЭК будут реализованы в новой структуре. Что касается экспортного контроля, то его уход в Минэкономразвития никак не изменит расклад сил - экспортный контроль раньше и так был в МЭР. А вот на вопрос ухода темы сертификации СЗИ от ФСТЭК в ФСБ позиции разделились. Кто-то считал, что станет легче, т.к. в условиях дублирований требований по МСЭ, антивирусам, IPS и т.п. вендорам проще будет иметь дело с одной ФСБ, чем с ФСБ и ФСТЭК одновременно. На мой взгляд, российским вендорам может и проще будет, но для западных это рынок России почти полностью закроет, что связано с разницой в требованиях ФСТЭК и ФСБ при оценке соответствия. Критика в сторону системы сертификации ФСТЭК была высказана в том плане, что слишком уж она коммерциализована и проблем получить любой сертификат сейчас нет. В отличие от системы сертификации ФСБ. Да и сами подходы в оценке соответствия разные - ФСТЭК проверяет наличие защитных свойств у продукта, а ФСБ его устойчивость к взлому. Правда, тут есть и другая озвученная проблема. Требования ФСТЭК абсолютно прозрачны и доступны всем, в то время как требования ФСБ засекречены и доступны немногим. Даже многие лицензиаты имеют не требования и даже не выписки из них, а выписки из выписок, что не делает процесс разработки средств защиты проще. Правда, "прозрачность" ФСТЭК в последнее время дает сбой. И на требования к СЗИ они стали вешать гриф (например, на новый РД по IPS ), и при сертификации стали требовать проверки отсутствия НДВ, что раньше было только для гостайны.
Будем надеяться, что оба регуляторы услушат существующую критику и пересмотрят свои подходы или, по крайней мере, дифференцируют свои требования в зависимости от потребителя оцениваемой продукции.
На этом мое участие в РусКрипто закончилось, о чем я жалею. Судя по комментариям в Твиттере мероприятие более чем интересное по своим докладам. От себя добавлю, что и аудитория и выбранное место были на высоте. С каждым годом РусКрипто все больше отходит от имиджа этакого криптографического междусобойчика и старается освещать и смежные вопросы - угрозы, уязвимости, законодательство и т.д. Нынешняя РусКрипто пополнила список тех мероприятий, которые "must visit".
- 28 октября 2011 года прошло заседание Международного консультативного совета по созданию и развитию международного финансового центра в Российской Федерации. 9 декабря Президент Медведев подписал перечень поручений, согласно которому Правительству было предложено рассмотреть вопрос о целесообразности смягчения требований к вывозу отечественных шифровальных (криптографических) средств за рубеж и о признании международных стандартов в области защиты информации. А что если смягчат и признают?
- Когда Президентом стал Дмитрий Медведев, в структуре Правительства случайно не оказалось ФСТЭК. Потом она появилась, но слухи о том, что ФСТЭК будет расформирована, а ее функции в области защиты информации перейдут в ФСБ, циркулируют постоянно. А что если это действительно произойдет, и функции ФСТЭК перейдут в ФСБ?
- С 01.01.2010 Россия и Таможенный союз перешли на новые правила ввоза шифровальных средств, которые предусматривают контроль всего ввозимого оборудования. И раньше и теперь ввоз шифровальных средств затруднен. А что если импорт шифровальных средств будет закрыт полностью?
- 24 января 2011 года Президент Медведев подписал Указ №86 «О единой национальной системе аккредитации». Была создана Росаккредитация, которой поручено аккредитовывать все органы по сертификации, устанавливать единые правила, исключая тему ст.5 ФЗ «О техрегулировании», т.е. и тему ИБ. Потом появились слухи о создании единой системы сертификации в области ИБ, объединяющей требования ФСТЭК, ФСБ, МинОбороны и СВР на базе требований ФСБ. А что если такая система сертификации будет создана?
- 31 августа 2010 года был принят совместный приказ ФСБ и ФСТЭК № 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования". Данный приказ содержит требование обязательного использования антивирусов , межсетевых экранов и средств предотвращения вторжений, прошедших сертификацию в ФСБ. А что если такие требования будут применяться и для коммерческих организаций?
- В 2009 году Президенту Медведеву на стол лег проект Указа (на замену 334-го Указа), в которым был такой фрагмент: «Для защиты информации ограниченного доступа, охраняемой в соответствии с законодательством РФ, должны применяться средства информатизации, телекоммуникаций и средства защиты информации, соответствие которых требованиям безопасности информации подтверждено сертификатами ФСБ». А что если такой Указ будет принят?
- Дмитрий Горелов, коммерческий директор "Актив"
- Алексей Домрачев, советник директора Департамента электронного правительства Минкомсвязи
- Юрий Маслов, коммерческий директор "КриптоПро"
- Владимир Скиба, первый заместитель директора ФТС России
- Алексей Смирнов, CISO Parallels
Либерализация экспорта российских СКЗИ на Запад запоздала. Нас (российские СКЗИ) там не ждут. Кто-то считает, что мы просто неконкурентоспособны. Кто-то считает, что нас боятся. Итог один - российская криптография, продвигаемая на Запад встречает серьезное сопротивление со стороны разных сторон. Это и ФСБ, которая не горит желанием разрешать вывоз отечественных инноваций на Запад. Это и западные страны, которые не разрешают ввоз наших СКЗИ к себе (даже если ФСБ разрешила вывоз). При этом даже если все запреты на вывоз снимут, никакого всплеска экспорта не будет и ситуация останется практически такой же, что и сейчас.
Второй тезис заключался в том, что полное открытие импорта иностранной криптографии в Россию приведет к тому, что российским вендорам настанут "кранты" (по словам одного из выступающих). "Кранты" приведут к тому, что у нас умрет коммерческая криптография. Это приведет к смерти отечественной криптографической школы. А это, в свою очередь, приведет к потере независимости и тому, что россияне перестанут гордиться своей страной. При этом прозвучал интересный тезис о том, что "плевать на потребителя" - национальная безопасность важнее, а потому западную криптографию давили и будут давить.
При этом мы плавно коснулись и темы США, которые имеют такое же законодательство, что и Россия, и почему мы возвущаемся тем, что Россия поступает также как и наш заокеанский враг. Коснулись и того, что разрешенная к вывозу зарубежная (в частности американская) криптография дырявая и может быть в любой момент взломана спецслужбами. Аналогичный вывод был сделан и в отношении российской криптографии, которую ФСБ разрешает вывозить за пределы Российской Федерации. Правда, эту тему развивать не стали. А то договорились бы еще, до черт знает чего. И так по грани ходили. Вывод ряда выступающих о том, что наша криптография нужна тем странам, которые не любят США, я не разделяю, т.к. нелюбовь к США не означает пламенной любви России. Какая разница, кто будет читать чужую переписку? Внешняя политика есть внешняя политика, не взирая на то, кто является противником - Россия или США.
К сожалению, каких-то серьезных рецептов решения озвученных проблем (отставание в развитии СКЗИ, отсутствие отечественных СКЗИ для ряда задач, длинный срок сертификации СКЗИ и т.д.) так и не прозвучало. По сути были высказаны разные точки зрения и есть надежда, что те, кому надо, услышат то, что им надо.
Второй блок вопрос касался ФСТЭК. Алексей Домрачев правильно поставил задачу, сказав, что неважно, будет ли после 7-го мая ФСТЭК или нет. Важнее другое - останутся ли ее функции или нет. Т.к. от сертификации, надзора, экспортного контроля и т.п. никуда не уйти, то отсутствие ФСТЭК в новой структуре Правительства никак не повлияет на рынок. Важнее, как функции ФСТЭК будут реализованы в новой структуре. Что касается экспортного контроля, то его уход в Минэкономразвития никак не изменит расклад сил - экспортный контроль раньше и так был в МЭР. А вот на вопрос ухода темы сертификации СЗИ от ФСТЭК в ФСБ позиции разделились. Кто-то считал, что станет легче, т.к. в условиях дублирований требований по МСЭ, антивирусам, IPS и т.п. вендорам проще будет иметь дело с одной ФСБ, чем с ФСБ и ФСТЭК одновременно. На мой взгляд, российским вендорам может и проще будет, но для западных это рынок России почти полностью закроет, что связано с разницой в требованиях ФСТЭК и ФСБ при оценке соответствия. Критика в сторону системы сертификации ФСТЭК была высказана в том плане, что слишком уж она коммерциализована и проблем получить любой сертификат сейчас нет. В отличие от системы сертификации ФСБ. Да и сами подходы в оценке соответствия разные - ФСТЭК проверяет наличие защитных свойств у продукта, а ФСБ его устойчивость к взлому. Правда, тут есть и другая озвученная проблема. Требования ФСТЭК абсолютно прозрачны и доступны всем, в то время как требования ФСБ засекречены и доступны немногим. Даже многие лицензиаты имеют не требования и даже не выписки из них, а выписки из выписок, что не делает процесс разработки средств защиты проще. Правда, "прозрачность" ФСТЭК в последнее время дает сбой. И на требования к СЗИ они стали вешать гриф (например, на новый РД по IPS ), и при сертификации стали требовать проверки отсутствия НДВ, что раньше было только для гостайны.
Будем надеяться, что оба регуляторы услушат существующую критику и пересмотрят свои подходы или, по крайней мере, дифференцируют свои требования в зависимости от потребителя оцениваемой продукции.
На этом мое участие в РусКрипто закончилось, о чем я жалею. Судя по комментариям в Твиттере мероприятие более чем интересное по своим докладам. От себя добавлю, что и аудитория и выбранное место были на высоте. С каждым годом РусКрипто все больше отходит от имиджа этакого криптографического междусобойчика и старается освещать и смежные вопросы - угрозы, уязвимости, законодательство и т.д. Нынешняя РусКрипто пополнила список тех мероприятий, которые "must visit".
