Об использовании несертифицированной криптографии

На чтение 2 мин Просмотров 16 Опубликовано 04/08/2011

На заседании ПК1 ТК122 по стандартизации банковской безопасности Владимир Михайлович Простов (ФСБ) разъяснял немного ситуацию с законодательством в области криптографии и сделал несколько заявлений, которые будут интересными для многих:

если оборудование, относящееся к разряду шифровальных средств, ввезено в России легально, то формальное разрешение на ввоз является и формальным разрешением на эксплуатацию данных СКЗИ в целях, указанных в запросе на ввоз.
расширять сферу компетенции ФСБ за пределы СКЗИ пока не планируется. Слухи про то, что ФСБ будет сертифицировать еще и IPS/IDS — просто слухи (хотя я видел проект нормативного документа на эту тему).
приказ 152 менять и обновлять не планируется. Все спорные моменты надо решать в частном порядке.
сейчас практически готов проект нового Постановления Правительства, которое придет на смену 957-му.

От себя добавлю, что вопросы ввоза шифровальных средств достаточно подробно расписаны в FAQ, который готовила Cisco для своих заказчиков. Там указано, что такое шифровальные средства, как они ввозятся, как проверить легальность ввоза и т.д. В виде презентации я это также выкладывал.

ЗЫ. Если вам нужна официальная позиция ФСБ по указанным ваше вопросам, то необходимо писать официальный запрос, как я писал в среду.

оценка соответствия ФСБ

Есть что добавить? Добавьте!

Имя *

Email *

Комментарий

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

mtkai 04/08/2011 в 21:20

Алексей, а как же сертификат ФСБ на СОА Аргус?

http://www.scribd.com/full/61638213?access_key=key-21j8fzvwm8q9w73s37j2

Ответить
Алексей Т. 05/08/2011 в 05:56

Ну вот, а Вы всех пугали, Алексей 🙂

Ответить
Алексей Лукацкий 05/08/2011 в 08:14

mtkai: Во-первых, для госов именно ФСБ сертифицирует IDS. А во-вторых, я не очень верю в слова Простова в данном случае, т.к. он возможно не в теме с IDS, а я видел проект приказа своими глаза

Алексею Т.: И продолжаю это делать, т.к. неофициальное мнение (о чем Просто В.М. прямо сказал) к делу не пришьешь. И любой аудитор или сотрудник СВК спросит "На основании чего сделан вывод, что разрешение на ввоз является разрешением на эксплуатацию?"

Ответить
Gin 05/08/2011 в 09:51

Учитывая то, что большая часть того, что используется как СКЗИ, ввозилась на территорию России не как средства СКЗИ(думаю, до 90-95%), т.е. разрешение на ввоз в ФСБ и последующее получение лицензии в минэкономразвитии не получались, то на самом деле ответ не сильно оптимистичный. Проверят вашу криптуху, и скажут — ввезли как межсетевой экран, вот и используйте как межсетевой экран, а криптуху извольте другую.

Ответить
Алексей Лукацкий 05/08/2011 в 10:12

Вы не в курсе законодательства. Таможню не волнует ДЛЯ ЧЕГО вы ввозите. У нее есть список товаров, которае считают СКЗИ. Это принтеры, GPS, компы, смартфоны и т.д.

Ответить