Сразу надо отметить, что в списке 400 с лишним позиций, и далеко не все из них касаются СКЗИ (там есть МСЭ, антивирусы, АТС, IDS и т.п.). А те, что касаются, не всегда применимы к средствам шифрования. Например, есть там средства электронной подписи, средства удостоверяющего центра, средства создания и управления ключевой информацией, средства криптографической защиты фискальной памяти. Я их в финальный результат не включал, т.к. нам интересны только средства именно шифрования, которые можно применять 5 миллионам операторам ПДн. Причем стоит помнить, что сертифицированные СКЗИ могут быть предназначены как для защиты сетей связи общего пользования, так и для защиты информации в оперативной памяти, шифрования файлов, шифрования IP-трафика, защиты TLS-соединений…
Вообще в сертификатах ФСБ, даже несмотря на их небольшое количество, царит вакханалия и отсутствие единой терминологии. Вот чем, например, отличается защита IP-трафика от защиты данных в IP-пакетах? Вариантов написания сертификатов не мало (а уж комбинаций тем более) и надо не ошибиться при выборе (я уже не говорю про упоминание различных «вариантов исполнения»). А то получится, что сертификат ФСБ на СКЗИ есть, но только на шифрование данных в оперативной памяти, но не для защиты IP-трафика. Или может оказаться, что сертификат для защиты TLS действует, а для IP целиком нет. А что значит приписка в сертификате, что он может применяться для защиты файлов и данных (а файлы — это не данные?) по протоколу EFS? Т.е. другие СКЗИ, у которых данной приписки нет, не могут? Аналогичный вопрос к приписке про криптографическую аутентификацию. ФСТЭК с ее тремя тысячами сертификатов — образец целомудрия. В сертификатах есть фразы, которые заставляют задуматься надолго. Например, «может использоваться в качестве криптографического ядра для… шифрования информации, не содержащей сведений, составляющих государственную тайну, при создании функционально законченных СКЗИ класса КС2«. Что есть «функционально законченная СКЗИ»?
В финальный результат также не были включены всякие изыски навроде карта тахографа или микросхема шифрования — область их применения очень узка и в качестве широко распространенного СКЗИ они врядли будут применяться. Интересно также иногда взглянуть на классы, которые указываются в итоговых сертификатах. Помимо традиционных комбинаций КС1+КС2, КС2+КС3, КС1+КС2+КС3 бывают и очень странные варианты, например, КС2+КВ2 (а где КС3?) или КС3+КА1 (а где КВ1 и КВ2?).
Итак, финальное распределение сертификатов по классам СКЗИ выглядит следующим образом:
Если вспомнить проект приказа ФСБ по защите персональных данных, то получается, что отсекая СКЗИ классов КС1 и КС2 (а то и КС3, если учесть, что потенциальный нарушитель может привлечь специалистов в области разработки и анализа СКЗИ). Итого, 90% сертифицированных СКЗИ нафиг с пляжа. И вот задумываешься, а так ли верен тезис, что 8-й Центр ФСБ печется о благе отечественных производителей. Кто-то, несведущий в этом сегменте рынка, даже обвиняет 8-ку в каких-то коррупционных схемах. Мне кажется, что ничего этого нет. Была бы коррупционная составляющая, никто бы не отсекал 90% потенциальных доходов. Тут скорее дело в ином.
Кажется мне, что руководство 8-го Центра (а именно оно отстаивает позицию «только сертифицированная криптография») реально не понимает, что мир уже не тот, что в 80-х и даже 90-х. Сценариев обработки персональных данных стало гораздо больше, чем было раньше, и их просто невозможно покрыть существующими на рынке СКЗИ. Я даже не говорю о функциональности отечественных СКЗИ, а только о них самих и тех случаях, в которых они могут быть применены.
Посмотрим, чем закончится общественное обсуждение проекта приказа ФСБ и иные инициативы, направленные на изменение подхода, на котором так настаивает 8-й Центр…
[BI]+[little BigData]=O_O
Насчет мира- он все тот же, не изменился) по воле судьбы я тут столкнулся с одим американским чудо-производителем, который привез в Россию чудо-железку безопасности next generation firewall… Ходил продавал, потом вдруг оказалось, что железочка аккурат в 12 ночи по пятницам через манагеровский порт инфу льет к амерам! И так льет аккуратно, если бы не MRTG со снифаками хер бы поняли, начали вопросы задавать- то тут баг, то это, то то, ох тут как говно поплыло, ох поплыло… в общем, время еще то, хочешь мира — готовься к войне, а то поглядишь и диву даешься, как некоторые наши недавние соседи бегают и кричат "ой дайте мне российскую криптографию! Медленно, но зато трусы на месте"
Blogger Babka пишет…
назовите уже чудо производителя плиз ? 🙂
А вообще цитата про то что Люди хотят защитить Российского производителя звучит символично, не находите ? 🙂
Осталось определиться, какого именно 🙂
Babka
Не watchguard случайно? :)))
Да понятно какую железяку хотят защитить — Континент-АП… Все остальное по их мнению — нафиг с поляны)