Миф: В России запрещено использовать несертифицированные средства шифрования
14.07.2009
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems
Уже много лет в России бытует мнение, что использовать несертифицированные средства криптографической защиты информации (СКЗИ) запрещено. Однако это неверно. Во-первых, обязанность сертифицировать СКЗИ, к которым, согласно принятой у нас практике, относят сами средства шифрования, средства защиты от навязывания ложной информации (имитозащиты), средства электронной цифровой подписи (ЭЦП), средства кодирования, средства изготовления криптографических ключей и сами криптографические ключи (независимо от их носителя), существует только для сведений, составляющих государственную тайну. Это прямо вытекает из Постановления Правительства от 26 июня 1995 г. №608 «О сертификации средств защиты информации» (в редакции Постановлений Правительства РФ от 23.04.1996 № 509, от 29.03.1999 № 342, от 17.12.2004 № 808).
Во-вторых, сертификация шифровальных средств является обязательной в случаях, прямо прописанных в законодательстве. На сегодняшний день к таким нормативно-правовым актам относится Постановление Правительства от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». В нем, в пункте 5 Положения говорится, что «средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия». А единственной известной на сегодня процедурой оценки соответствия по линии ФСБ, является сертификация. Однако, понимая, что число сертифицированных ФСБ СКЗИ сегодня неимоверно мало и не покрывает и десятой части имеющихся потребностей, в своих нормативных требованиях ФСБ сделало небольшое послабление и разрешило для защиты персональных данных использовать не только сертифицированные в ФСБ средства шифрования, но и имеющие положительное заключение. Еще одной сферой, в которой требуется наличие сертификата на СКЗИ - защита критически важных объектов.
Ни закон «Об информации, информационных технологиях и защите информации», ни закон «О коммерческой тайне», ни иные законы, затрагивающие защиту отдельных видов информации ограниченного доступа (например, закон «О банках и банковской деятельности»), не требуют обязательной сертификации средств шифрования. Интересное требование прописано в отраслевом стандарте Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской федерации. Общие положения» - «СКЗИ должны быть сертифицированы уполномоченным государственным органом, либо реализованы на основе рекомендованных уполномоченным государственным органом алгоритмов, либо алгоритмов, определенных условиями договора с контрагентом (клиентом) организации банковской системы РФ, либо соответствовать стандартам организации, взаимодействующей с организацией банковской системы РФ».
Также надо помнить, что согласно действующему законодательству (Постановление Правительства от 29 декабря 2007 г. №957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами») и сложившейся практике, сертификат не требуется для:
· «шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;
· персональных кредитных карточек со встроенной микроЭВМ, криптографические возможности которых не могут быть изменены пользователями;
· портативных или мобильных радиотелефонов гражданского назначения (в том числе предназначенных для использования в коммерческих гражданских системах сотовой радиосвязи), которые не способны к сквозному шифрованию;
· приемной и передающей аппаратуры радиовещания, коммерческого телевидения или иной аппаратуры коммерческого типа для вещания на ограниченную аудиторию без шифрования цифрового сигнала, в которой шифрование ограничено функциями управления видео- или аудиоканалами;
· специально разработанных и применяемых только для банковских и финансовых операций шифровальных (криптографических) средств в составе терминалов единичной продажи (банкоматов), криптографические возможности которых не могут быть изменены пользователями;
· специально разработанных и применяемых только в составе контрольно-кассовых машин шифровальных (криптографических) средств защиты фискальной памяти;
· шифровальных (криптографических) средств независимо от их назначения, реализующих симметричные криптографические алгоритмы и обладающих максимальной длиной криптографического ключа менее 56 бит, а также реализующих асимметричные криптографические алгоритмы, основанные либо на разложении на множители целых чисел, либо на вычислении дискретных логарифмов в мультипликативной группе конечного поля, либо на дискретном логарифме в группе, отличной от названной, и обладающих максимальной длиной криптографического ключа 128 бит;
· беспроводного оборудования, осуществляющего шифрование информации только в радиоканале с максимальной дальностью беспроводного действия без усиления и ретрансляции менее 400 м в соответствии с техническими условиями производителя (за исключением оборудования, используемого на критически важных объектах);
· шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей, не относящихся к критически важным объектам».