2024/10/24 11:15:30

Сертификация (лицензирование) средств шифрования

Лицензирование деятельности в области шифрования информации, осуществляемое ФСБ России по поручению Правительства РФ, началось еще с Указа № 334 в 1995 году, который строго запрещал в стране любую деятельность, связанную с криптографией, без лицензий и сертификатов ФАПСИ. Обязательная сертификация средств шифрования в интернете не требуется только в том случае, если это не государственная тайна.Сертификация потребуется только для средств, предназначенных для защиты сведений, содержащих гостайну.

Содержание

Хроника

2024: ФСБ упростит сертификацию банковских приложений

Федеральная служба безопасности России разрабатывает новый порядок сертификации банковских мобильных приложений для работы с цифровым рублем. Как стало известно 24 октября 2024 года, банки смогут размещать свои приложения в магазинах до завершения полной проверки программного обеспечения криптографической лабораторией ФСБ.

Начальник экспертного подразделения ФСБ Алексей Петров рассказал о согласовании нового механизма сертификации. По его словам, «было согласовано решение, по которому при первоначальной сертификации средства в документации будут определены функции, связанные с криптографией, в случае изменения которых при новом обновлении необходимо будет проводить полную сертификацию».

ФСБ облегчит процесс сертификации банковских приложений

«
Если обновление не затрагивает эти функции, то лаборатория в течение нескольких дней рассматривает [заявку] и напрямую сообщает банку о том, что все хорошо и этот продукт можно использовать, – отметил он.
»

Генеральный директор компании «Криптопро» Станислав Смышляев пояснил, что для работы с цифровым рублем банки обязаны внедрить отечественную криптографическую защиту вместо ранее использовавшейся иностранной биометрии.Метавселенная ВДНХ 2.5 т

Руководитель департамента расследований T.Hunter, эксперт рынка НТИ SafeNet Игорь Бедеров уточнил, что лаборатория проводит оценку кода, проверяет наличие уязвимостей, иностранных интеграций и риски несанкционированного доступа.

В ФСБ существует шесть классов сертификации средств криптографической защиты. Процесс проверки может длиться несколько месяцев, что затрудняет работу банков, которым необходимо выпускать обновления приложений еженедельно или ежемесячно.[1]

2016

"Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется", - говорится в сообщении ФСБ.


Указ № 334 Правительства РФ от 1995 года запрещал:

  • использование государственными организациями несертифицированных криптосредств, а также размещение государственных заказов на предприятиях использующих несертифицированные криптосредства
  • использование коммерческими банками несертифицированных криптосредств при взаимодействии с ЦБ РФ
  • деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также оказанием любых услуг в области шифрования информации
  • ввоз на территорию РФ шифровальных средств иностранного производства без разрешения ФАПСИ

Другими словами, любая деятельность в области шифрования и любые криптосредства, не имеющие сертификата установленного образца, раз и навсегда были поставлены в нашей стране вне закона.[2]

Тем, кто увлечен таким занятием как скачивание бесплатных программ типа PGP, TrueCrypt и прочих шифровальщиков информации, либо балуется программированием в стиле DES, AES и им подобными штуками, следует помнить о том, что данная безобидная на первый взгляд деятельность любознательного студента фактически приравнивается нашим правительством к числу таких занятий как производство оружия массового поражения, наркотических средств или, скажем, осуществление тестов по проникновению на сайт Минобороны. В связи с этим, за эту деятельность предусмотрена вполне конкретная уголовная ответственность, как минимум, по статье 171 УК РФ.

Для того, чтобы примирить столь жесткую позицию государства в отношении криптографии с суровой действительностью, в законодательство о лицензировании криптографической деятельности неоднократно вносились дополнения и уточнения. На данный момент действует Постановление Правительства РФ от 16 апреля 2012 г. N 313 "О лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем...".

Из лицензирования исключены криптосредства по которым на практике не реально осуществить лицензионные мероприятия, включая:

  • криптосредства, используемые с сотовых телефонах и кредитных картах
  • криптосредства, используемые в коммерческой телевизионной и радиоаппаратуре
  • криптосредства, применяемые в банкоматах и контрольно-кассовых машинах
  • криптосредства, реализующие симметричные алгоритмы шифрования с длиной ключа не более 56 бит
  • криптосредства, реализующие ассиметричные алгоритмы шифрования с длиной с максимальной длиной ключа 122 или 512 бит (в зависимости от вида алгоритма)

  • и т.д.

На всякий случай к шифровальным средствам теперь относят также и средства кодирования информации, поскольку использование слова "кодирование" вместо "шифрования" в технической документации - любимый способ обхода лицензионных ограничений отечественными разработчиками ПО и системными интеграторами.

Лицензии ФСБ России на шифровальную деятельность теперь выдаются бессрочно, а не на 5 лет как раньше, и лицензирование теперь не распространяется на техническое обслуживание криптосредств, выполняемое для собственных нужд, зато ужесточились требования к квалификации персонала лицензиата.

Для руководителей и инженерно-технических работников лицензиата (которых должно быть не менее 2 человек) в зависимости от вида лицензируемой шифровальной деятельности установлены требования к подготовке по специальности по направлению "информационная безопасность" в объеме от 100 до 1000 аудиторных часов и опыту работы от 3 до 5 лет.

Эти требования служат камнем преткновения для многих организаций, решившихся легализовать свою деятельность в области криптографии. Далеко не каждый может себе позволить отправить своих сотрудников на курсы повышения квалификации в области ИБ на срок от месяца до полугода.

Примечания

  1. ФСБ хочет упростить процедуру сертификации приложений банков
  2. Получение лицензий ФСБ на криптографию и дипломов по направлению ИБ на практике

Смотрите также

Источник — «https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A1%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F_(%D0%BB%D0%B8%D1%86%D0%B5%D0%BD%D0%B7%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5)_%D1%81%D1%80%D0%B5%D0%B4%D1%81%D1%82%D0%B2_%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F»

Править
Read in English   |   Короткая ссылка   |  Просмотров: 9706
В России началось производство долговечных протезов для детей с пороками сердца
Участники медкартеля в Якутске получили сроки за махинации с поставками медоборудования на ₽350 млн
Компания представила искусственное сердце, которое пульсирует как настоящее
От бракованных сосудистых устройств Boston Scientific умирает все больше людей
28 ноября в рамках TAdviser SummIT пройдет конференция "ИТ в промышленности 2024"
Олег Бартунов, Postgres Professional: Пять отличий настоящего СУБД-разработчика
Дмитрий Красовский, T1: В IT-образовании один из главных трендов — связь между обучением и бизнес-метриками
Конференция «ИТ в госсекторе 2024» состоится 28 ноября
Служба каталогов MultiDirectory — бесплатная полнофункциональная Community-версия
Конференция «Облачные технологии 2024» состоится 28 ноября
Алексей Персианов, ADV: Мы вытягиваем даже те ecommerce-проекты, которые сами заказчики считают безнадежными
Гид TAdviser по российским заводам компьютерной техники
Максим Смирнов, IVA Technologies: Экосистема IVA превосходит возможности западных ВКС-гигантов
Цифровое рабочее пространство Squadus PRO — объедините коммуникации компании в едином приложении
билайн Big Data & AI представил платформенное решение по видеоаналитике
Как «Ростелеком» снизил сроки проведения малых закупок и увеличил конкуренцию среди поставщиков
ERP vs SRM: что выбрать для цифровизации закупок
Облачные решения для заоблачных мощностей: как работает передовая инфраструктура EdgeЦентр
Rubytech и BSS представили платформу управления клиентским опытом с использованием генеративного ИИ
Четыре способа сэкономить на ИТ-инфраструктуре и взять ее под полный контроль
Алина Рожина, Directum: Система должна быть готова к тому, что потребности бизнеса будут расти
«Код Безопасности» выпустил Сервис моделирования кибератак
ДОМ.РФ и YADRO реализовали крупнейший проект по внедрению объектного хранилища данных
TAdviser выпустил новую Карту «Цифровизация промышленности»: свыше 250 разработчиков и поставщиков услуг
На «Электронике России» покажут отечественные разработки в сфере вычислительной техники
Highload-системы: от первых опытов до мейнстрима
TAdviser признан лучшим ИТ-СМИ 2024 года по версии «Руссофт»
Как российский «Ашан» справляется с уходом Oracle и других зарубежных вендоров. Интервью с CEO «Ашан Тех» Верой Эмрот
Известный писатель-фантаст Сергей Лукьяненко выступит на TAdviser SummIT 28 ноября. Регистрация
Ранкинг TAdviser100: Крупнейшие ИТ-компании в России 2024
TAdviser выпустил Гид по российским операционным системам