Как провести поиск НДВ в продукции американского происхождения

Как провести поиск НДВ в продукции американского происхождения
Межпраздничная дискуссия в блоге и в Фейсбуке в очередной раз высветила некоторые проблемы с оценкой соответствия в форме поиска недекларированных возможностей и доказывания их отсутствия. Если посмотреть на проблему с точки зрения американской компании. Таких исследований, к счастью, никто не проводил, но по моим личным оценкам из 65-70% средств защиты иностранного происхождения присутствующих в России, до 75-80% из них приходится на продукцию, изготавливаемую в США. Поэтому рассмотрение проблемы в таком аспекте является достаточно интересным для достаточно широкого круга специалистов (особенно в органах по сертификации, испытательных лабораториях, экспертных организациях и регуляторах).

Итак, недекларированные возможности. Даже сертификация на 4-й уровень их отсутствия требует предоставления достаточно чувствительной информации. Исходные коды только один из вариантов такой информации, причем далеко не всегда самый важный и критичный. Например, для компании, выпускающей программно-аппаратные, а не только программные средства защиты, гораздо более конфидениальной является информация о системотехнике, архитектуре, функциональные спецификации и т.п. Предоставление этой информации относится к лицензируемому виду деятельности и требует разрешения от Бюро по промышленности и безоппасности, являющегося частью Министерство торговли США. Задача данного подразделения - блюсти экономические интересы США и контролировать среди прочего экспорт высоких технологий и технологий двойного назначения. В частности в т.н. Commerce Control List (CCL) есть параграф "5A002 "Information security" systems, equipment and components therefor, as follows". В него (он не единственный, но один из основных) входит немало того, что требует получения лицензии американского Минпромторга. Также к контролируемым относятся позиции 5A992 и 5B002. Иными словами первый вопрос, на который надо ответить, ЧТО экспортируется и средства защиты, включая средства шифрования, а также элементы, разработанные для работы средств защиты (специальные модули, операционные системы, приложения, микросхемы и т.п.) полностью подпадают под экпортные ограничения из США.

Однако ответа на вопрос ЧТО недостаточно для принятия решения об экспорте средств защиты. Надо ответить на вопрос КУДА, т.е. определить страну, в которую будет экспортироваться средство защиты. У Минпромторга есть регулярно обновляемая т.н. Commerce Country Chart , которая содержит список стран с указанием причины экспортного контроля. Как можно заметить Россию включили в этот список по направлениям "химическое и биологическое оружие", "национальная безопасность", "стабильность в регионе" и "преступность". Иными словами, средства защиты, будучи контролируемыми вообще, могли и не попасть под контроль для России, но увы... Если посмотреть на CCL, то в нем против каждой контролируемой позиции указаны причины (для средств защиты - это "национальная безопасность" и "антитерроризм".

Затем мы должны ответить на вопросы КТО будет использовать то или иное средство защиты. Например, поставка средств защиты в государственные органы контролируется более серьезно, чем в коммерческие предприятия и уж тем более в малый бизнес. А вообще в США есть несколько "черных" списков стран, организаций и лиц, которым запрещена поставка той или иной продукции. И, наконец, последний вопрос - ЗАЧЕМ. Может быть в производстве оружия массового поражения?

Исходя из ответов на эти 4 вопроса (на самом деле достаточно первых двух) делается вывод о том,  что в Россию из США средства защиты, средства шифрования, а также сопутствующая им информация попадает только после получения соответствующего разрешения американского Минпромторга. В каких-то случаях, это делает легко и автоматически (производителем), в каких-то - требуется серьезная и длительная процедура согласований и обоснований. К последним относится и предоставление исходных кодов, архитектуры, функциональных спецификаций, различные схемы чипов и т.д.

Что это все значит? Только одно - сертификация средств защиты, разработанных американской компанией, на отсутствие НДВ, даже если физически программисты сидят в Индии и сборка средства защиты осуществляется в Китае, требует получения соответствующего разрешения Бюро промышленности и безопасности Минпромторга США. Если же у компании нет соответствующей лицензии, а сертификат на НДВ есть, то это значит, что произошло одно из трех событий:
  • Американская компания нарушила американское законодательство. Это очень чревато для американского производителя. Очень! Рисковать своим бизнесом ради сомнительной выгоды продать своих средств защиты в Россию на дополнительные даже 20 миллионов долларов никто не будет.
  • ФСТЭК наложила множество ограничений на использование сертифицированного средства защиты и все они должны быть прописаны в технических условиях, прилагаемых к сертификату (и которые часто скрываются заявителем или испытательной лабораторией).
  • Испытательная лаборатория или орган по сертификации закрыли глаза на отсутствие исходных кодов или использовали какие-нибудь обходные маневры.
Иногда звучит тезис, что достаточно вывезти специалистов сертификационной лаборатории в США и они там проведут все проверочные испытания, после чего, вернувшись, смогут выдать заключение о присутствии или отсутствии недекларированных возможностей. При этом считается, что никаких исходных кодов передавать в Россию не надо и поэтому никаких лицензий Минпромторга получать не требуется. Это неверно. Под экспортный контроль попадает не передача исходных кодов, а передача чувствительной информации, спектр которой очень широк и часть этой информации обязательно попадает в отчет, который пишется (или как минимум проверяется и читается) уже в России. Поэтому если исходные коды и не передаются, то передается архитектура защитного средства, его функциональные спецификации и другая конфиденциальная информация. А это также требует получения лицензии Минпромторга США.

Собственно к чему этот рассказ? К тому, что передача исходных кодов за пределы России - это не такая уж и простая процедура (срок получения лицензии американского Минпромторга может составлять до года и более). И идет на нее далеко не каждый разработчик средств защиты - требуется серьезное обоснование (бизнес-кейс). И очевидно, что процесс поглощений и слияний также влияет на перспективы того или иного иностранного игрока, действующего в России. Если у какой-либо неамериканской компании был сертификат на отсутствие НДВ, то такой сертификат может быть и не продлен после ее поглощения или срок его получения существенно возрастет по сравнению с первоначальными оценками.
оценка соответствия США
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!