Криптография

Те, кто читал документ, опубликованный в понедельник, задавали мне вопрос (хотя он задается уже не первый год), а в чем проблема с ввозом западных VPN-продуктов в Россию и почему встраивание туда сертифицированной СКЗИ не решает проблему? Отвечаю — законодательство по использованию СКЗИ и по ввозу СКЗИ —

Я в эту тему не лезу обычно, поэтому просто сообщу, что законопроект «Об электронной подписи» был принят 25 февраля во втором чтении. Законопроект тут, а законопроект «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «Об электронной подписи» тут.

Часто спрашивают в последнее время про то, что мой работодатель делает в области соответствия требованиям российского законодательства, а в частности, требованиям ФСБ по ввозу и использованию криптографии. Сваяли два документа. Первый, про сертификацию наших решений в ФСБ, сегодня. Второй, про импорт продукции с функциями шифрования, завтра.

Вообще, я не в восторге от того, что, а точнее КАК, ведет себя ФСБ на рынке защиты информации КОММЕРЧЕСКИХ структур. Уж очень непросто выполнять все их требования. А уж про доступ к этим требованиям я вообще молчу — все документы закрытые и даже лицензиаты получают не сами документы и даже не выписки из них, а […]

Все-таки история WikiLeaks достаточно интересна. И не только тем, что под ее соусом сейчас можно активно DLP -решения в госорганы продавать, но и тем, что в результате утечки проявляются очень интересные факты. Например, о том, как Intel надавил на ФСБ и последняя разрешила ввозить строгую криптографию Intel в обход существующих правил ввоза шифровальной техники. Такие […

Очередная порция мифов: VPN — это обязательно шифрование Конфиденциальность персональных данных может быть обеспечена только шифрованием Стандарт Банка России по безопасности не обязателен к исполнению

Несмотря на почти полное отсутствие комментариев и конкретных предложений (исключая Ригеля), я довел документ до ума и финализировал его. Надеюсь будет полезным в работе. PS. Возможно я плохо искал, но я не нашел документов, регламентирующих сертификацию СКЗИ для защиты конфиденциальной информации. По гостайне есть приказ ФСБ о создании системы сертификации.

Задался я тут целью свести все нормативные акты, регулирующие криптографию в России (исключая гостайну), в одном документе. Что и сделал, разделив нормативные акты по этапу жизненного цикла системы криптографический защиты — от ввоза и разработки до эксплуатации и вывоза. Собственно результат перед вами. Посмотрите, пожалуйста, критическим взглядом на сей документ.

И снова вспомним 57-ФЗ. После сообщения о том, что Royal Bank of Scotland запретили увеличить долю в ЗАО «Королевский банку Шотландии» по причине наличия у последнего лицензии ФСБ на криптографию. И вот ФАС внес в Правительство пакет поправок, который исключает деятельность банков (кроме банков с госучастием) в области криптографии из стратегических видов деятельности.

Чего-то понесло меня в тему шифрования в последнее время… Видимо постоянное «окружение» влияет 😉 Но обратимся к непростому, как оказывается, вопросу: «А нужно ли шифровать ПДн?» Многие операторы ПДн почему-то считают, что убрав из текста закона фрагмент «в т.ч. использовать шифровальные средства«