На часто задаваемые вопросы отвечает ведущий специалист аналитического отдела ИнфоТеКС.
1. Правда ли, что все компании, которые занимаются криптозащитой, близки с ФСБ России?
Согласно Положению о Федеральной службе безопасности Российской Федерации, именно этот орган исполнительной власти помимо прочего осуществляет регулирование в области разработки, производства, реализации, эксплуатации, ввоза в Российскую Федерацию и вывоза из Российской Федерации шифровальных (криптографических) средств. В ведении ФСБ России находится широчайший круг вопросов, начиная с вопросов согласования моделей угроз для отдельных категорий операторов информационных систем, заканчивая вопросами эксплуатации и контроля за правильностью эксплуатации СКЗИ.
Кроме того, именно ФСБ России занимается сертификацией криптосредств и лицензированием деятельности в области разработки, производства и распространения СКЗИ. Таким образом, все компании, которые занимаются указанными вопросами, так или иначе взаимодействуют с органами Федеральной службы безопасности Российской Федерации. В данном случае речь идет не о некой «близости» с ФСБ России, а о законном конструктивном взаимодействии с этим ведомством.
2. Насколько «зарегулирована» отрасль защиты информации, в частности, криптозащита? Какие основные документы регулируют действия в этой сфере?
Общие положения регулируются Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Дополнительно для каждой отрасли есть свои специализированные нормативные документы, регулирующие вопросы защиты информации.
Если говорить о криптографической защите информации, то основными документами в данной сфере считаются:
«Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)», утвержденное приказом ФСБ России от 9 февраля 2005 года № 66.
Следует отметить, что несмотря на наличие в этом приказе раздела, посвященного эксплуатации средств криптографической защиты информации (далее – СКЗИ), данный приказ в большей степени ориентирован на разработчиков СКЗИ, а не на конечных пользователей.
«Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная Приказом ФАПСИ от 13 июня 2001 года № 152 (далее – Инструкция).
Данный документ ориентирован на пользователей СКЗИ, однако, учитывая год его принятия, он считается устаревшим и по форме, и по содержанию. Например, Инструкцией предписывается хранить эксплуатационную документацию на СКЗИ в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ней. При этом та же документация может находиться в свободном доступе в интернете, в том числе на сайте производителя СКЗИ. Вместе с тем, Инструкция является формально действующей, и за невыполнение ее норм, какими бы странными они не казались в современных реалиях, можно получить административный штраф.
Примечание. Федеральное агентство правительственной связи и информации было упразднено Указом Президента Российской Федерации от 11 марта 2003 года № 308. В настоящий момент функции ФАПСИ распределены между ФСБ России, ФСО России и СВР России.
В дополнение к указанным нормативным документам могут приниматься и иные нормативные правовые акты для отдельных отраслей или категорий информации. Например, для такой категории информации как персональные данные, был принят приказ ФСБ России от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (далее – Приказ № 378). Данный приказ адаптирован к современной реальности, в нем нет никаких абсурдных требований. В то же время, этот приказ не подменяет собой Инструкцию, а лишь дополняет ее требования.
Важно отметить, что деятельность, связанная с разработкой, производством и распространением СКЗИ подлежит лицензированию. Конкретный перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств, приведен в «Положении о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…», утвержденном постановлением Правительства Российской Федерации от 16 апреля 2012 года № 313 (далее – Положение о лицензировании).
Хотелось бы отдельно подчеркнуть, что у каждого нормативного документа есть своя сфера действия. Например, нет необходимости выполнять требования Приказа № 378 если вы используете СКЗИ для защиты информации о создаваемой вами новой коллекции летних платьев. Перед тем, как приступать к выполнению тех или иных требований, надо внимательно ознакомиться с положениями, определяющими, на кого эти самые требования распространяются. Зачастую это может уберечь от излишних финансовых и временных затрат.
3. В каких случаях возникает ответственность за средства защиты информации?
На самом деле речь идет даже не об ответственности за средства защиты информации, а об ответственности за их неправильное использование. В первую очередь все зависит от информации, которая защищается, а также, в отдельных случаях, о видах самих информационных систем.
Если средства защиты информации используются физическим лицом для его личных нужд, никакого регулирования и контроля со стороны государства осуществляться не будет. Государство не вмешивается в процесс выбора и эксплуатации СКЗИ, межсетевого экрана, антивируса и других средств защиты для личных нужд. Такая же ситуация и в отношении юридических лиц, которые создают и/или эксплуатируют информационные системы, в которых не циркулирует информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации. Например, компания, занимающаяся производством модной одежды, которая хочет защитить информацию о будущей коллекции до ее показа, может выбирать и использовать любые средства защиты каким угодно способом.
Если же речь идет об отдельных значимых категориях информации (например, персональных данных), либо об отдельных значимых категориях информационных систем (например, государственные информационные системы или объекты КИИ), то здесь государством в обязательном порядке регулируется и процесс выбора необходимых средств защиты, и процедура их эксплуатации. Так, например, в отношении персональных данных действует уже упомянутый выше Приказ № 378, в отношении государственных информационных систем - постановление Правительства Российской Федерации от 6 июля 2015 года № 676 и приказ ФСТЭК России от 11 февраля 2013 года № 17.
За нарушения правил защиты информации предусмотрена административная ответственность (статья 13.12 Кодекса Российской Федерации об административных правонарушениях). При этом стоит отметить, что за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре Российской Федерации, предусмотрена уголовная ответственность (статья 274.1 Уголовного кодекса Российской Федерации).
4. Распространение или передача криптопродукта? Как на самом деле это регулируется?
Обратимся к упомянутому ранее Положению о лицензировании. Его полное название – «Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
Как мы видим, в названии присутствует слово «распространение», однако в самом тексте положения слово «распространение» не встречается ни разу. В то же время, в приложении к положению, в котором перечислены виды деятельности, которые подлежат лицензированию, 4 пункта посвящены «передаче». Раскрытия данного термина в тексте положения мы тоже не найдем.
Учитывая наличие указанной правовой неопределенности, мы можем только предполагать, что имелось в виду под тем или иным термином. По всей видимости, под термин «передача» попадает не только деятельность с целью получения материальной выгоды, но и просто передача СКЗИ на безвозмездной основе. Понять логику регулятора в данном случае можно. Так как СКЗИ используются в первую очередь для обеспечения безопасности так называемой «чувствительной» информации, необходимо, чтобы распространением СКЗИ (не важно, возмездным, или безвозмездным), занимались только проверенные организации. Соответствующие проверки как раз и осуществляются в рамках лицензирования. Также практика показывает, что регулятор считает лицензируемым видом деятельности передачу СКЗИ между любыми разными юридическими лицами, даже если эти юридические лица, к примеру, входят в одну группу компаний.
Дополнительно стоит отметить, что помимо требования о наличии лицензии на саму деятельность по распространению/передаче криптосредств, есть также требования к процессу распространения, которые прописаны в Инструкции.
5. Почему государство не поддерживает Open Source?
Идеология Open Source изначально и не предполагала тесного взаимодействия с государством. Если какое-то государство начнет поддерживать Open Source, сама суть движения будет скомпрометирована. Open Source по своей сути — это сообщество разработчиков, которые стремятся быть независимыми. У них свои подходы к монетизации и продвижению своей деятельности, вмешательство государства здесь будет отнюдь не полезно.
6. Безопасно ли использовать продукты Open Source в плане защиты информации?
Вопрос безопасности продуктов с открытым кодом противоречивый по своей сути. С одной стороны, сторонники Open Source говорят, что благодаря открытости такой код доступен для широкого анализа, поиска уязвимостей, он просматривается большим количеством экспертов сообщества. Звучит неплохо, но на практике это не всегда так. Наиболее массовый и распространенный OpenSSL действительно тщательно исследуются. Но на практике некоторые обнаруженные уязвимости могут существовать и оставаться незакрытыми годами. Получается, что их либо никто не заметил, либо заметили, но никого не поставили в известность. Когда вы используете Open Source, вы должны понимать, что его смотрят не только эксперты в белых шляпах, но и те, которые в черных. Некоторые уязвимости не закрываются совершенно осознанно, к сожалению. Поэтому никакие однозначные оценки о безопасности Open Source дать нельзя.
Компания «ИнфоТеКС» использует Open Source в первую очередь на старте разработки новых продуктов. Это полезно для прототипирования, для верификации алгоритмов, для сравнения результатов. В том числе мы используем OpenSSL. На его базе разработан один из наших последних продуктов — криптобиблиотека для встраивания в приложения ViPNet OSSL, которая реализует так называемый «engine» (криптографический движок) для интерфейса OpenSSL. В нашей компании использование продуктов с открытым исходным кодом сопряжено с глубоким анализом самого кода, разработкой и использованием специальных механизмов тестирования и т.д. Если мы протестировали определенную версию и уверены в ее корректности, то позволяем нашим разработчикам использовать ее в работе. Это экономит наше время при условии достаточной предварительной подготовки и анализа.
Однако в открытом коде реализованы далеко не все механизмы, соответствующие требованиям российского регулятора. Поэтому приходится дорабатывать, модифицировать код, в том числе и те фрагменты, которые не относятся к нашему движку. Open Source использовать можно и нужно, в этом есть свои плюсы. Но при этом необходимо делать это с умом - обращать внимание на уязвимости, недостатки и своевременно их устранять.
7. Правда ли, что сотрудники компаний, где разрабатываются криптопродукты, становятся «невыездными»?
Выезд за пределы Российской Федерации не ограничивается по профессиональному признаку. Однако если вы участвуете в разработке криптопродуктов, для выполнения своих обязанностей вам может потребоваться доступ к сведениям, составляющим государственную тайну. В этом случае вам придется оформить соответствующую форму допуска: 3, 2 или 1 (по степени возрастания уровня секретности). А вот для лиц с формой допуска некоторые ограничения на выезд за пределы Российской Федерации действительно имеются.
Тем не менее, не стоит бояться трудоустраиваться в компании, занимающиеся разработкой СКЗИ, из страха получить ограничение на выезд за пределы Российской Федерации. Большинство сотрудников за всю свою трудовую карьеру не получат никакой формы допуска и не столкнутся с юридическими ограничениями на выезд за границу.
8. Существует ли запрет для специалистов в области криптозащиты на публикации в научных рецензируемых журналах (ВАК) и других специальных изданиях?
Сразу оговоримся, что запрета заниматься научной деятельностью в Российской Федерации нет даже для военнослужащих и сотрудников ФСБ России, вне зависимости от имеющихся у них формы допуска. В то же время, материалы, которые планируются к опубликованию, могут содержать в себе, например, сведения, составляющие государственную тайну. В связи с этим, существует такая вещь, как заключение о возможности опубликования. Получив указанное заключение можно свободно публиковаться в любом издании.
Отметим, что наложение руководством запретов на публикацию научных работ по собственной инициативе и без каких-либо законных оснований — это такое же нарушение закона, как и несоблюдение действующих законных ограничений. Обмен научными знаниями необходим для развития отрасли, даже в такой регламентированной сфере как криптозащита.
Задавайте ваши вопросы в комментариях, на самые интересные ответим в следующем посте!
