Вчера в Твиттере я опубликовал заметку такого содержания "Злорадно жду, когда 8-й Центр примет свой приказ по ПДн. Как же они поднасрут всем своим лицензиатам, работающим под Linux и не имеющим КА". Не все поняли ее смысла, поэтому решил чуть раскрыть ее суть.
Если мы посмотрим на 43-ю редакцию проекта приказа ФСБ по защите персональных данных, то там есть такой пассаж (п.14) "СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 – 13 настоящего документа и не менее одной из следующих дополнительных возможностей... возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования".
Кстати, советую обратить внимание на эти приписки. Если у ФСТЭК в 21-м приказе класс сертификации средства защиты зависит только от уровня защищенности и прописывается вполне внятная таблица соответствия, то у ФСБ надо читать документ внимательнее. Вместо привязки класса сертификации СКЗИ к уровню защищенности (что логичнее и понятнее обывателю), 8-й Центр пошел по своей дороге и решил класс сертификации СКЗИ привязать к возможностям нарушителя, о которых должен подумать оператор ПДн (так себе и представляю, как главврач сельской больницы в перерыве между операциями думаю о возможностях нарушителя СКЗИ).
Так вернемся к упомянутому выше пассажу. Если читать его внимательно, то можно поставить знак равенства между двумя фразами "наличие исходных кодов на операционную систему" и "обязательное применение СКЗИ класса КА". В предыдущем пункте проекта приказа ФСБ написано тоже самое, но применительно к исходным текстам прикладного ПО, использующего вызовы СКЗИ. В этом случае СКЗИ должны быть минимум класса КВ. Но это не так важно. Дело в том, что сегодня, в условиях местами мифической для большинства пользователей угрозы импортозамещения иностранного ПО на что-то свое, доморощенное, все чаще всплывает тема применения решений open source. Хотя фраза "все чаще" звучит малость глуповато - тема линуксовых поделок в России поднимается уже много лет и пока безрезультатно. Своих Фениксов, АстраЛинуксов, Янусов, МСВСов, РОСАЛинуксов, Виндуксов, Трастлинуксов и т.п. *никсов у нас родилось полно, но всех их отличает постройка на базе открытых исходников. Поэтому кто-то начинает задумываться о том, чтобы и вправду заменить проприетарные решения на open source, которые якобы безопаснее (это, кстати, не так ). Или берут open source, добавляют туда что-нибудь свое и выдают за новый отечественный продукт. И вот тут-то и скрывается мина замедленного действия, которую всем нам готовит 8-й Центр ФСБ со своим приказом.
Если его примут, то любая СКЗИ, построенная на базе Linux, должна быть классом не ниже КА, чтобы ее можно было применять оператор ПДн даже для минимального, 4-го уровня защищенности. Любая! Т.е. сертифицировать-то такое СКЗИ можно и на КС1 и на КС3 и на КА, но по проекту приказа оператор ПДн обязан применять только КА и не ниже. При этом мнение разработчика тут мало кого будет волновать - нормативный документ требует КА. Использовать же отдельно СКЗИ для ПДн и отдельно для других видов конфиденциальной информации никто не будет - слишком накладно и неудобно. При этом, 8-й Центр за 6 лет активного вставления палок к колеса ФЗ-152 довел ситуацию до того, что все понимают, что ПДн - это наше все. Это 5 миллионов операторов ПДн по всей России. Никакая другая тема в ИБ не сравнится с ПДн по ее объему. Поэтому 8-й Центр и не отпускал ее ни на шаг от себя, пытаясь наложить лапу на столь лакомый для продвижения идеи национальной безопасности кусок. Добились своего - все всё поняли. Но теперь отыграть все назад и сказать, что можно применять не КА, а КС1 или КС2 будет нельзя. Неудобняк получится (хотя 8-му Центру не привыкать в таком положении находиться).
Вот и получится, что 8-й Центр своим приказом загонит всех потребителей на СКЗИ класса КА, а у нас их раз-два и обчелся (я статистику уже приводил ). Посмотрите на самые распространенные VPN-решения в России - CSP VPN Gate от С-Терра, VipNet Coordinator от Инфотекса, Континент от Кода Безопасности, продукцию ЛИССИ и т.п. Они почти все построены на базе open source ОС - Linux, FreeBSD и т.п. И чтобы законно использовать такие VPN в качестве шлюза они должны быть сертифицированы на класс КА. А таковых почти нет. А те единицы, что есть, в управлении мягко скажем неудобны и без наличия большого количества выделенного персонала (а точнее выделенных шифрслужб) сеть даже из пары десятков VPN-шлюзов класса КА сама по себе летать не будет - ее придется поддерживать и поддерживать. В условиях нехватки специалистов на местах, я с трудом представляю, кто и как будет управлять такими VPN-сетями (про то, что по ним не работают современные мультимедийные и иные сетевые протоколы я скромно умолчу).
Вот и получается, что 8-й Центр своим приказом подложит замечательную свинью своим разработчикам-лицензиатам, о которых 8-й Центр так печется. Разработчики тоже будут очень рады активизировать свои усилия по доработке своих продуктов под требования КА. Рынок труда администраторов VPN-шлюзов тоже вырастет, что не может не радовать наше Министерство труда и Минкомсвязи, которые так ратуют за рост численности ИТ-специалистов в России. А может в этом и состоит тайная задача 8-го Центра? Именно таким образом поднять с колен российскую ИБ-, а за ней и ИТ-индустрию! Есть и другая версия - 8-й Центр своим приказом хочет операторам ПДн сказать - делайте что хотите; нам наплевать на вас (хоть вас и 5 миллионов), на 140 миллионов субъектов ПДн, на рынок этой гражданской криптографии и защиту персональных данных. Мы напишем такой приказ, что пользоваться им будет невозможно и все забьют на защиту законных прав субъектов персональных данных. Зато мы, 8-й Центр сможем наконец-то сосредоточиться на высокой науке, на легковесной криптографии, на разработке новых алгоритмов шифрования и новых режимов работы старых алгоритмов! Ура! Все довольны!
ЗЫ. А тем временем, на сайте Российской общественной инициативы (РОИ) открыто голосование по интересной инициативе - "Передать полномочия по регулированию использования шифровальных (криптографических) средств защиты информации в Российской Федерации Федеральной службе по техническому и экспортному контролю (ФСТЭК России)".
Если мы посмотрим на 43-ю редакцию проекта приказа ФСБ по защите персональных данных, то там есть такой пассаж (п.14) "СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 – 13 настоящего документа и не менее одной из следующих дополнительных возможностей... возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования".
Кстати, советую обратить внимание на эти приписки. Если у ФСТЭК в 21-м приказе класс сертификации средства защиты зависит только от уровня защищенности и прописывается вполне внятная таблица соответствия, то у ФСБ надо читать документ внимательнее. Вместо привязки класса сертификации СКЗИ к уровню защищенности (что логичнее и понятнее обывателю), 8-й Центр пошел по своей дороге и решил класс сертификации СКЗИ привязать к возможностям нарушителя, о которых должен подумать оператор ПДн (так себе и представляю, как главврач сельской больницы в перерыве между операциями думаю о возможностях нарушителя СКЗИ).
Так вернемся к упомянутому выше пассажу. Если читать его внимательно, то можно поставить знак равенства между двумя фразами "наличие исходных кодов на операционную систему" и "обязательное применение СКЗИ класса КА". В предыдущем пункте проекта приказа ФСБ написано тоже самое, но применительно к исходным текстам прикладного ПО, использующего вызовы СКЗИ. В этом случае СКЗИ должны быть минимум класса КВ. Но это не так важно. Дело в том, что сегодня, в условиях местами мифической для большинства пользователей угрозы импортозамещения иностранного ПО на что-то свое, доморощенное, все чаще всплывает тема применения решений open source. Хотя фраза "все чаще" звучит малость глуповато - тема линуксовых поделок в России поднимается уже много лет и пока безрезультатно. Своих Фениксов, АстраЛинуксов, Янусов, МСВСов, РОСАЛинуксов, Виндуксов, Трастлинуксов и т.п. *никсов у нас родилось полно, но всех их отличает постройка на базе открытых исходников. Поэтому кто-то начинает задумываться о том, чтобы и вправду заменить проприетарные решения на open source, которые якобы безопаснее (это, кстати, не так ). Или берут open source, добавляют туда что-нибудь свое и выдают за новый отечественный продукт. И вот тут-то и скрывается мина замедленного действия, которую всем нам готовит 8-й Центр ФСБ со своим приказом.
Если его примут, то любая СКЗИ, построенная на базе Linux, должна быть классом не ниже КА, чтобы ее можно было применять оператор ПДн даже для минимального, 4-го уровня защищенности. Любая! Т.е. сертифицировать-то такое СКЗИ можно и на КС1 и на КС3 и на КА, но по проекту приказа оператор ПДн обязан применять только КА и не ниже. При этом мнение разработчика тут мало кого будет волновать - нормативный документ требует КА. Использовать же отдельно СКЗИ для ПДн и отдельно для других видов конфиденциальной информации никто не будет - слишком накладно и неудобно. При этом, 8-й Центр за 6 лет активного вставления палок к колеса ФЗ-152 довел ситуацию до того, что все понимают, что ПДн - это наше все. Это 5 миллионов операторов ПДн по всей России. Никакая другая тема в ИБ не сравнится с ПДн по ее объему. Поэтому 8-й Центр и не отпускал ее ни на шаг от себя, пытаясь наложить лапу на столь лакомый для продвижения идеи национальной безопасности кусок. Добились своего - все всё поняли. Но теперь отыграть все назад и сказать, что можно применять не КА, а КС1 или КС2 будет нельзя. Неудобняк получится (хотя 8-му Центру не привыкать в таком положении находиться).
Вот и получится, что 8-й Центр своим приказом загонит всех потребителей на СКЗИ класса КА, а у нас их раз-два и обчелся (я статистику уже приводил ). Посмотрите на самые распространенные VPN-решения в России - CSP VPN Gate от С-Терра, VipNet Coordinator от Инфотекса, Континент от Кода Безопасности, продукцию ЛИССИ и т.п. Они почти все построены на базе open source ОС - Linux, FreeBSD и т.п. И чтобы законно использовать такие VPN в качестве шлюза они должны быть сертифицированы на класс КА. А таковых почти нет. А те единицы, что есть, в управлении мягко скажем неудобны и без наличия большого количества выделенного персонала (а точнее выделенных шифрслужб) сеть даже из пары десятков VPN-шлюзов класса КА сама по себе летать не будет - ее придется поддерживать и поддерживать. В условиях нехватки специалистов на местах, я с трудом представляю, кто и как будет управлять такими VPN-сетями (про то, что по ним не работают современные мультимедийные и иные сетевые протоколы я скромно умолчу).
Вот и получается, что 8-й Центр своим приказом подложит замечательную свинью своим разработчикам-лицензиатам, о которых 8-й Центр так печется. Разработчики тоже будут очень рады активизировать свои усилия по доработке своих продуктов под требования КА. Рынок труда администраторов VPN-шлюзов тоже вырастет, что не может не радовать наше Министерство труда и Минкомсвязи, которые так ратуют за рост численности ИТ-специалистов в России. А может в этом и состоит тайная задача 8-го Центра? Именно таким образом поднять с колен российскую ИБ-, а за ней и ИТ-индустрию! Есть и другая версия - 8-й Центр своим приказом хочет операторам ПДн сказать - делайте что хотите; нам наплевать на вас (хоть вас и 5 миллионов), на 140 миллионов субъектов ПДн, на рынок этой гражданской криптографии и защиту персональных данных. Мы напишем такой приказ, что пользоваться им будет невозможно и все забьют на защиту законных прав субъектов персональных данных. Зато мы, 8-й Центр сможем наконец-то сосредоточиться на высокой науке, на легковесной криптографии, на разработке новых алгоритмов шифрования и новых режимов работы старых алгоритмов! Ура! Все довольны!
ЗЫ. А тем временем, на сайте Российской общественной инициативы (РОИ) открыто голосование по интересной инициативе - "Передать полномочия по регулированию использования шифровальных (криптографических) средств защиты информации в Российской Федерации Федеральной службе по техническому и экспортному контролю (ФСТЭК России)".