В сентябре я написал заметку о том, сколько лицензий нужно, чтобы подключиться к ГосСОПКА. А тут давеча, рассказывая про модель угроз и про то, что отсутствие у организации лицензии ФСБ на деятельность в области шифрования может также рассматриваться как угроза, я подумал, что у центра ГосСОПКИ, предоставляющего услугу подключения к ГосСОПКЕ должна же еще быть и еще одна лицензия ФСБ — на шифрование. И хотя дискуссия в Фейсбуке показала, что многим такая идея совсем не нравится, я все-таки решил повторить свои размышления в блоге. Во-первых, это повод задать вопрос своим корпоративным юристам. А, во-вторых, грядет SOC Forum, на котором этот вопрос можно задать регуляторам. Моя же логика была следующей:
- Согласно требованиям ФСТЭК, для оказания услуг по мониторингу ИБ (а это то, что в том числе делает центр ГосСОПКИ) в обязательном порядке необходимо иметь сертифицированные в ФСБ средства защиты каналов передачи данных, которые должны обеспечивать конфиденциальность данных, передаваемых между SOC и теми, кого этот SOC мониторит.
- В Facebook некоторые коллеги говорили, что на совещании в ФСТЭК, когда этот вопрос обсуждался, ФСТЭК заявила, что применение СКЗИ не является обязательным, а отдается на откуп лицензиату. Я, присутствуя на двух совещаниях ФСТЭК по этому вопросу, что-то не припомню такой позиции регулятора. Как раз наоборот. Он настаивал на том, что конфиденциальность должна быть обеспечена в обязательном порядке. А иначе зачем требовать покупку того, что можно и не использовать?
- Подход ФСТЭК по обязательному обеспечению конфиденциальности между системой управления и управляемыми решениями в последнее время становится все более жестким — в последних проектах РД на новые типы средств защиты, а также в ответах ФСТЭК на вопросы по смежным темам, явно сквозит требование по применению сертифицированных в ФСБ СКЗИ. Да и вообще, достаточно странно выглядит идея, что регулятор в области защиты информации не будет советовать обеспечивать защиту канала, в который может вмешаться злоумышленник.
- Подход ФСБ к наличию своей лицензии на деятельность в области шифрования известен уже много лет и он не меняется. ФСБ планомерно, а иногда излишне широко трактуя законодательство, требует либо поручать работы с СКЗИ лицензиатам, либо самим получать такую лицензию. Помнится ФСБ даже отвечала, что все, что было указано в Постановлении Правительства, независимо от возмездности оказания услуг и интересов (исключая один из видов работ, про который прямо сказано, что его для собственных нужд можно и без лицензии), требует лицензии ФСБ. С тех пор сменилось и само ПП (с 957-го на 313-е), и руководство ЦЛСЗ, а подход остается неизменным. Отсюда и мои выводы о необходимости лицензии ФСБ на шифрование.
Можно ли уйти от получения лицензии центром ГосСОПКИ? Если отталкиваться только от одного вида работ — оказание услуг в области шифрования, то можно было бы попробовать доказать, что никаких услуг в области шифрования SOC не оказывает. Но тут вступает в игру два нюанса. Во-первых, банки ФСБ активно плющила по ст.171 УК РФ (незаконное предпринимательство) именно по причине отсутствия лицензии при оказании услуг ДБО (а банк впрямую услуг по шифрованию не оказывал). А, во-вторых, кто-то же должен управлять ключами шифрования (а это тоже включается в деятельность в области шифрования). Если это делает сам SOC, то лицензия ФСБ нужна. Если это делает заказчик, то… такая схема вообще выглядит странно. Да и заказчик врядли захочет получать лицензию ФСБ в довесок к переходу к сервисной модели SOC. В ФБ активно предлагался вариант с привлечение УЦ для управления ключами между SOCом и его клиентами. Интересная идея, но вот я в нее что-то не верю. Во-первых, это удорожает решение и делает его более сложным (трехсторонний договор, а не двусторонний), а, во-вторых, учитывая происходящую вокруг УЦ ситуацию, стоило бы повременить.
Но помимо оказания услуг, у нас есть еще… создание SOC, то есть информационной системы с использованием шифровальных средств. А это тоже лицензируемый вид деятельности. А если SOC не только мониторит, но и управляет средствами защиты или обеспечивает удаленный сбор доказательств для расследования инцидентов и для этого заходит на удаленное оборудование с помощью SSH? Это ведь тоже лицензируемый вид деятельности 🙂 Шучу. Или не шучу?..
Что в итоге? Большинство текущих коммерческих SOCов не имеет лицензии ФСБ на деятельность в области шифрования и поэтому отстаивает позицию, что такая лицензия не нужна. Я их понимаю 🙂 Их вроде как спасает тот факт, что за шифрование у нас отвечает 8-й Центр ФСБ, который же «рулит» и ГосСОПКОЙ. Но за лицензирование у нас отвечает ЦЛСЗ, а у него не всегда взаимопонимание с другим управлением регулятора, ответственного за нацбезопасность. По крайней мере, когда представители 8-ки с открытой трибуны заявляли про собственные нужды, ЦЛСЗ говорил прямо противоположное. И я бы рассматривал этот риск — за 171-ю статью УК отвечают именно они, а не 8-й Центр.
Клиентам коммерческого SOC вроде как ничего не угрожает — им лицензия ФСБ для выбора SOC не нужна (если ключами управляют не они). Но что делать, если к коммерческому SOC вдруг возникнут вопросы по лицензированию? Его деятельность могут приостановить! Риск это, конечно, маловероятный, но и сбрасывать со счетов его не стоит. В любом случае этот риск надо осознавать.
Запугал? Нет? Ну и прекрасно 🙂 А если да, то что делать; жизнь такая, непростая 🙂
Намек на випнеты: которые как бы основным потребителям сока запрещены по причине санкций)) Аплодирую, загнали себя в тупик.
Если от СрЗИ будут требовать сертифицированного шифрования каналов управления, то будет весело. И сертификация будет еще дольше тянуться.