Криптографію - ФСТЕК!

    

Пролог

Добрий день, хабраюзер,
 
Автор даного поста переконаний, що рух до досконалості є низка послідовних невеликих кроків. Домагаючись зміни причин відбуваються сьогодні в галузі ІБ подій, у нас є можливість побудувати таку інформаційну безпеку з преферансом і панянками з конкуренцією та інноваціями, яку ми всі хочемо.
Тому якщо вам ліньки читати далі, то зайдіть на РОІ і проголосуйте. Якщо не лінь — ласкаво просимо під кат!
 
Сьогоднішній ринок ІБ формується, в основному, вимогами закону «Про захист персональних даних» та необхідністю захисту цілого ряду службових таємниць. Основну частку цього ринку формують сертифіковані ФСТЕК і ФСБ засоби захисту та послуги з їх встановлення / налаштування / атестації. Для того, щоб сертифікувати засіб захисту інформації, потрібні мільйони рублів і місяці бюрократичних зволікань, що створює значні труднощі навіть для великих вендорів. Застосовувати міжнародні алгоритми шифрування в нашій країні для захисту таємниць (у тому числі персональних даних) заборонено, тому вендори змушені придумувати ще й милиці для своїх продуктів, щоб ті могли використовувати православний ГОСТ.
 
У результаті, з одного боку, ми маємо серйозну протекцію вітчизняних вендорів (що ніби як добре), але з іншого боку — низьку конкурентноздатність наших продуктів на вільних ринках, пов'язану з включенням у вартість продукту витрат на подвійну сертифікацію (див.нижче), і високий поріг входу на ринок засобів захисту для нових виробників.
 
На сьогоднішній день створити власне засіб захисту, яке могло б претендувати на скільки-небудь істотну частку вітчизняного ринку, не пройшовши 14 кіл пекла (7 під ФСТЕК і 7 в ФСБ) ім'я яким «ліцензування» і «сертифікація», неможливо.
 
 

ФСТЕК і ФСБ

Щоб створювати програмні або апаратні засоби захисту інформації потрібна ліцензія ФСТЕК на діяльність з розробки та (або) виробництву засобів захисту конфіденційної інформації. Якщо продукт буде використовувати шифрування, то потрібна ще одна схожа ліцензія, але вже від ФСБ.
Щоб готовий продукт міг використовуватися для захисту службових таємниць або персональних даних, необхідно щоб він був сертифікований ФСТЕК і, якщо в ньому є шифрування — то і ФСБ.
 
Таким чином в нашій країні все що стосується засобів захисту інформації (СЗІ) — вотчина ФСТЕК. Все що стосується засобів криптографічного захисту інформації (СКЗИ) — справа ФСБ.
 
Якщо відкрити перелік сертифікатів великих вітчизняних вендорів, таких як Інфотекс або Код Безпеки , легко побачити, що один і той же продукт частенько сертифікується двічі: по лінії ФСТЕК і по лінії ФСБ. Обидві компанії мають так само «подвійний» пакет ліцензій від тих же самих відомств.
 
 

Чому так відбувається?

Історично так склалося, що всім шифруванням в нашій країні завідувало КГБ / ФАПСИ / ФСБ. Було це, головним чином, тому, що поняття комерційне / цивільне шифрування просто не існувало. Шифрування використовували розвідники та військові шіфроргани для того, щоб заховати державні секрети від ворогів. Сьогодні шифрування є в кожному телефоні і комп'ютері і вже ось ось добереться до холодильників, автомашин і зубних щіток. Тому старі підходи не працюють і їх потрібно міняти (спрощувати).
 
 

Криптографію — ФСТЕК!

СКЗИ — це, все-таки, не окремий продукт, а різновид СЗІ або його частину. Тому виробники і користувачі тільки виграють, якщо ми передамо повноваження з регулювання цієї галузі (точніше тій її частині, яка відповідає за захист відомостей, що не відносяться до державної таємниці) від ФСБ ФСТЕК.
 
Потрібно так само сказати, що ФСТЕК набагато більш адекватне відомство, ніж ФСБ. Реєстри сертифікованих засобів захисту інформації загальнодоступні і постійно оновлюються, вимоги до отримання ліцензії ФСТЕК більш м'які, документи ФСТЕК набагато доступніше і якісніше. До того ж проекти керівних документів ФСТЕК постійно обговорюються з спільнотою, а співробітники служби відкриті для спілкування та коментарів, на відміну від колег з ФСБ.
 
На сайті РОІ існує петиція за передачу повноважень з регулювання комерційної криптографії від ФСБ ФСТЕК . Якщо ви згодні з нею — то проголосуйте «ЗА». Своїм рішенням ви скоротите в два рази головний біль у виробників і користувачів вітчизняних СКЗИ!
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.