8-й Центр ФСБ закрывает рынок для 90% отечественных СКЗИ

Законодательство
На одном из последних заседаний в Совете Федерации, посвященному 19-й статьей ФЗ-152 и, в частности, проекту приказа ФСБ по использовании СКЗИ для защиты персональных данных, у присутствовавших там сотрудников 8-го Центра прозвучала основная идея продвижения ими идеи использования только сертифицированных шифровальных средств — защита отечественного разработчика. Благое начинание и достойное занятие для спецслужбы, стоящей на страже нашей Родины и 5 с лишним миллионов юридических лиц и индивидуальных предпринимателей, 95% из которых даже не слышали такую аббревиатуру «СКЗИ». И я решил провести краткий анализ списка сертифицированных средств шифрования, имеющихся в реестре ФСБ (по состоянию на 7 октября 2013 года).

Сразу надо отметить, что в списке 400 с лишним позиций, и далеко не все из них касаются СКЗИ (там есть МСЭ, антивирусы, АТС, IDS и т.п.). А те, что касаются, не всегда применимы к средствам шифрования. Например, есть там средства электронной подписи, средства удостоверяющего центра, средства создания и управления ключевой информацией, средства криптографической защиты фискальной памяти. Я их в финальный результат не включал, т.к. нам интересны только средства именно шифрования, которые можно применять 5 миллионам операторам ПДн. Причем стоит помнить, что сертифицированные СКЗИ могут быть предназначены как для защиты сетей связи общего пользования, так и для защиты информации в оперативной памяти, шифрования файлов, шифрования IP-трафика, защиты TLS-соединений…

Вообще в сертификатах ФСБ, даже несмотря на их небольшое количество, царит вакханалия и отсутствие единой терминологии. Вот чем, например, отличается защита IP-трафика от защиты данных в IP-пакетах? Вариантов написания сертификатов не мало (а уж комбинаций тем более) и надо не ошибиться при выборе (я уже не говорю про упоминание различных «вариантов исполнения»). А то получится, что сертификат ФСБ на СКЗИ есть, но только на шифрование данных в оперативной памяти, но не для защиты IP-трафика. Или может оказаться, что сертификат для защиты TLS действует, а для IP целиком нет. А что значит приписка в сертификате, что он может применяться для защиты файлов и данных (а файлы — это не данные?) по протоколу EFS? Т.е. другие СКЗИ, у которых данной приписки нет, не могут? Аналогичный вопрос к приписке про криптографическую аутентификацию. ФСТЭК с ее тремя тысячами сертификатов — образец целомудрия. В сертификатах есть фразы, которые заставляют задуматься надолго. Например, «может использоваться в качестве криптографического ядра для… шифрования информации, не содержащей сведений, составляющих государственную тайну, при создании функционально законченных СКЗИ класса КС2«. Что есть «функционально законченная СКЗИ»?

В финальный результат также не были включены всякие изыски навроде карта тахографа или микросхема шифрования — область их применения очень узка и в качестве широко распространенного СКЗИ они врядли будут применяться. Интересно также иногда взглянуть на классы, которые указываются в итоговых сертификатах. Помимо традиционных комбинаций КС1+КС2, КС2+КС3, КС1+КС2+КС3 бывают и очень странные варианты, например, КС2+КВ2 (а где КС3?) или КС3+КА1 (а где КВ1 и КВ2?).

Итак, финальное распределение сертификатов по классам СКЗИ выглядит следующим образом:

Если вспомнить проект приказа ФСБ по защите персональных данных, то получается, что отсекая СКЗИ классов КС1 и КС2 (а то и КС3, если учесть, что потенциальный нарушитель может привлечь специалистов в области разработки и анализа СКЗИ). Итого, 90% сертифицированных СКЗИ нафиг с пляжа. И вот задумываешься, а так ли верен тезис, что 8-й Центр ФСБ печется о благе отечественных производителей. Кто-то, несведущий в этом сегменте рынка, даже обвиняет 8-ку в каких-то коррупционных схемах. Мне кажется, что ничего этого нет. Была бы коррупционная составляющая, никто бы не отсекал 90% потенциальных доходов. Тут скорее дело в ином.

Кажется мне, что руководство 8-го Центра (а именно оно отстаивает позицию «только сертифицированная криптография») реально не понимает, что мир уже не тот, что в 80-х и даже 90-х. Сценариев обработки персональных данных стало гораздо больше, чем было раньше, и их просто невозможно покрыть существующими на рынке СКЗИ. Я даже не говорю о функциональности отечественных СКЗИ, а только о них самих и тех случаях, в которых они могут быть применены.

Посмотрим, чем закончится общественное обсуждение проекта приказа ФСБ и иные инициативы, направленные на изменение подхода, на котором так настаивает 8-й Центр…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. ZZubra

    [BI]+[little BigData]=O_O

    Ответить
  2. Babka

    Насчет мира- он все тот же, не изменился) по воле судьбы я тут столкнулся с одим американским чудо-производителем, который привез в Россию чудо-железку безопасности next generation firewall… Ходил продавал, потом вдруг оказалось, что железочка аккурат в 12 ночи по пятницам через манагеровский порт инфу льет к амерам! И так льет аккуратно, если бы не MRTG со снифаками хер бы поняли, начали вопросы задавать- то тут баг, то это, то то, ох тут как говно поплыло, ох поплыло… в общем, время еще то, хочешь мира — готовься к войне, а то поглядишь и диву даешься, как некоторые наши недавние соседи бегают и кричат "ой дайте мне российскую криптографию! Медленно, но зато трусы на месте"

    Ответить
  3. mike

    Blogger Babka пишет…

    назовите уже чудо производителя плиз ? 🙂

    А вообще цитата про то что Люди хотят защитить Российского производителя звучит символично, не находите ? 🙂
    Осталось определиться, какого именно 🙂

    Ответить
  4. Unknown

    Babka
    Не watchguard случайно? :)))

    Ответить
  5. Unknown

    Да понятно какую железяку хотят защитить — Континент-АП… Все остальное по их мнению — нафиг с поляны)

    Ответить