А я опять про 8-й Центр ФСБ :-)

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(11)
()
Опубликовано в:
Вчера в Твиттере я опубликовал заметку такого содержания "Злорадно жду, когда 8-й Центр примет свой приказ по ПДн. Как же они поднасрут всем своим лицензиатам, работающим под Linux и не имеющим КА". Не все поняли ее смысла, поэтому решил чуть раскрыть ее суть.

Если мы посмотрим на 43-ю редакцию проекта приказа ФСБ по защите персональных данных, то там есть такой пассаж (п.14) "СКЗИ класса КА применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленные в пунктах 10 – 13 настоящего документа и не менее одной из следующих дополнительных возможностей... возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования".

Кстати, советую обратить внимание на эти приписки. Если у ФСТЭК в 21-м приказе класс сертификации средства защиты зависит только от уровня защищенности и прописывается вполне внятная таблица соответствия, то у ФСБ надо читать документ внимательнее. Вместо привязки класса сертификации СКЗИ к уровню защищенности (что логичнее и понятнее обывателю), 8-й Центр пошел по своей дороге и решил класс сертификации СКЗИ привязать к возможностям нарушителя, о которых должен подумать оператор ПДн (так себе и представляю, как главврач сельской больницы в перерыве между операциями думаю о возможностях нарушителя СКЗИ).

Так вернемся к упомянутому выше пассажу. Если читать его внимательно, то можно поставить знак равенства между двумя фразами "наличие исходных кодов на операционную систему" и "обязательное применение СКЗИ класса КА". В предыдущем пункте проекта приказа ФСБ написано тоже самое, но применительно к исходным текстам прикладного ПО, использующего вызовы СКЗИ. В этом случае СКЗИ должны быть минимум класса КВ. Но это не так важно. Дело в том, что сегодня, в условиях местами мифической для большинства пользователей угрозы импортозамещения иностранного ПО на что-то свое, доморощенное, все чаще всплывает тема применения решений open source. Хотя фраза "все чаще" звучит малость глуповато - тема линуксовых поделок в России поднимается уже много лет и пока безрезультатно. Своих Фениксов, АстраЛинуксов, Янусов, МСВСов, РОСАЛинуксов, Виндуксов, Трастлинуксов и т.п. *никсов у нас родилось полно, но всех их отличает постройка на базе открытых исходников. Поэтому кто-то начинает задумываться о том, чтобы и вправду заменить проприетарные решения на open source, которые якобы безопаснее (это, кстати, не так). Или берут open source, добавляют туда что-нибудь свое и выдают за новый отечественный продукт. И вот тут-то и скрывается мина замедленного действия, которую всем нам готовит 8-й Центр ФСБ со своим приказом.

Если его примут, то любая СКЗИ, построенная на базе Linux, должна быть классом не ниже КА, чтобы ее можно было применять оператор ПДн даже для минимального, 4-го уровня защищенности. Любая! Т.е. сертифицировать-то такое СКЗИ можно и на КС1 и на КС3 и на КА, но по проекту приказа оператор ПДн обязан применять только КА и не ниже. При этом мнение разработчика тут мало кого будет волновать - нормативный документ требует КА. Использовать же отдельно СКЗИ для ПДн и отдельно для других видов конфиденциальной информации никто не будет - слишком накладно и неудобно. При этом, 8-й Центр за 6 лет активного вставления палок к колеса ФЗ-152 довел ситуацию до того, что все понимают, что ПДн - это наше все. Это 5 миллионов операторов ПДн по всей России. Никакая другая тема в ИБ не сравнится с ПДн по ее объему. Поэтому 8-й Центр и не отпускал ее ни на шаг от себя, пытаясь наложить лапу на столь лакомый для продвижения идеи национальной безопасности кусок. Добились своего - все всё поняли. Но теперь отыграть все назад и сказать, что можно применять не КА, а КС1 или КС2 будет нельзя. Неудобняк получится (хотя 8-му Центру не привыкать в таком положении находиться).

Вот и получится, что 8-й Центр своим приказом загонит всех потребителей на СКЗИ класса КА, а у нас их раз-два и обчелся (я статистику уже приводил). Посмотрите на самые распространенные VPN-решения в России - CSP VPN Gate от С-Терра, VipNet Coordinator от Инфотекса, Континент от Кода Безопасности, продукцию ЛИССИ и т.п. Они почти все построены на базе open source ОС - Linux, FreeBSD и т.п. И чтобы законно использовать такие VPN в качестве шлюза они должны быть сертифицированы на класс КА. А таковых почти нет. А те единицы, что есть, в управлении мягко скажем неудобны и без наличия большого количества выделенного персонала (а точнее выделенных шифрслужб) сеть даже из пары десятков VPN-шлюзов класса КА сама по себе летать не будет - ее придется поддерживать и поддерживать. В условиях нехватки специалистов на местах, я с трудом представляю, кто и как будет управлять такими VPN-сетями (про то, что по ним не работают современные мультимедийные и иные сетевые протоколы я скромно умолчу).  

Вот и получается, что 8-й Центр своим приказом подложит замечательную свинью своим разработчикам-лицензиатам, о которых 8-й Центр так печется. Разработчики тоже будут очень рады активизировать свои усилия по доработке своих продуктов под требования КА. Рынок труда администраторов VPN-шлюзов тоже вырастет, что не может не радовать наше Министерство труда и Минкомсвязи, которые так ратуют за рост численности ИТ-специалистов в России. А может в этом и состоит тайная задача 8-го Центра? Именно таким образом поднять с колен российскую ИБ-, а за ней и ИТ-индустрию! Есть и другая версия - 8-й Центр своим приказом хочет операторам ПДн сказать - делайте что хотите; нам наплевать на вас (хоть вас и 5 миллионов), на 140 миллионов субъектов ПДн, на рынок этой гражданской криптографии и защиту персональных данных. Мы напишем такой приказ, что пользоваться им будет невозможно и все забьют на защиту законных прав субъектов персональных данных. Зато мы, 8-й Центр сможем наконец-то сосредоточиться на высокой науке, на легковесной криптографии, на разработке новых алгоритмов шифрования и новых режимов работы старых алгоритмов! Ура! Все довольны!

ЗЫ. А тем временем, на сайте Российской общественной инициативы (РОИ) открыто голосование по интересной инициативе - "Передать полномочия по регулированию использования шифровальных (криптографических) средств защиты информации в Российской Федерации Федеральной службе по техническому и экспортному контролю (ФСТЭК России)". 
Оцените материал:
Total votes: 290
Тэги: 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Алексей, а чем отличаются документы 8-го Центра ФСБ от документов ФСТЭК? Если анализировать документы и тех и других непредвзято, то можно легко убедиться, что методически и методологически они тождественны. Чего, например, стоит фраза «СКЗИ ... применяются для нейтрализации атак»?! А «создание способов»? Способы, оказывается, создаются! А чтобы знать, какие возможности использовались при подготовке и проведении атак, нужно быть либо их участником, либо богом. Всё как в документах ФСТЭК.
Кстати, я правильно понял, что главврача, думающего об уровнях защищённости ПДн, Вы себе очень даже представляете?

up
11 users have voted.
Аватар пользователя alukatsk

Геннадий, я представляю вашу позицию по поводу того, что делает ФСТЭК. Вступать в очередную полемику без практического выхлопа не готов. Кто хочет что-то делать и исправить - делает и исправляет. Кто не хочет, тот будет искать ляпы и придираться к мелочам

up
32 users have voted.
Аватар пользователя Атаманов Геннадий

Да, не об этом я! А об объективности. О том, что хвалить одних и хулить других при равенстве "заслуг" обоих, не очень правильно. И наводит на мысли либо об ангажированности, либо о заинтересованности. 
Что касается меня, то я критикую не ФСТЭК, 8-й Центр ФСБ или Совет Федерации, а алогичность, антинаучность, отсутствие здравого смысла, наплевательское отношение к русскому языку откуда бы они не исходили. 

up
10 users have voted.
Аватар пользователя alukatsk

Равенство? ФСТЭК за последние 1,5 года сделал больше, чем 8-й Центр за все время их существования. Ну а не ошибается тот, кто ничего не делает

up
9 users have voted.
Аватар пользователя Атаманов Геннадий

Уточняю: я вёл речь о тождестве не в смысле объёмов, а в смысле качества, т.е. о методическом и методологическом аспектах документов тех и других. А в этом смысле, что то никуда не годится, что это. И если одни произвели никуда негодного больше, чем другие, то это не значит, что они лучше. Здесь уместно вспомнить совет В.И.Ленина: "Лучше меньше, да лучше". К сожалению, сегодня такой подход невозможен. Системе задан совсем другой тренд: 24, 40, 160. И каждый последующий хуже предыдущего. Но сейчас не об этом. Пока тренд не будет изменён, ждать чего-то достойного не стоит. А на изменение даже намёков нет. И голосование ни к чему не приведёт. И мера предлагается половинчатая. 

up
10 users have voted.
Аватар пользователя alukatsk

Говоря об объемах я тоже имел ввиду не число знаков. У нас с вами совершенно разный взгляд и разное отношение к тому, что делает ФСТЭК. У меня оно более оптимистичное. Более того, я вижу, что регулятор реально готов прислушиваться к адекватному мнению других людей (если это мнение подкреплено чем-то, а не голой критикой). ФСТЭК не идеальна и ей есть еще куда стремиться, но и голословно утверждать, что все плохо, я не могу

up
4 users have voted.
Аватар пользователя Атаманов Геннадий

Я так не считаю. Очень часто наши точки зрения совпадают. Об этом можно судить по анализу Ваших постов и моих комментариев к НПА. Просто мы обращаем внимание на разные вещи: Вы – на технические и технологические, я – на методические и методологические. Но когда Вы начинаете решать конкретные задачи, упираетесь в те самые методологические и правовые коллизии, на которые я когда-то указывал. А когда мне нужно решать какие-то технологические задачи, я обращаюсь к Вашим постам.
Сожалею, что мы чаще полемизируем друг с другом, а не обсуждаем конкретные вопросы. В том числе и теоретического характера. Была одна попытка, но и она закончилась «занавесом».
А то, что «всё плохо» - это не голословное утверждение. Это подтверждает наша общая повседневная практика, что нашло своё отражение и в моих статьях, и в моих комментариях к НПА. Кстати, ни один из них не был оспорен или признан некорректным. 

up
5 users have voted.
Аватар пользователя alukatsk

Геннадий, мир несовершенен. Мои комментарии тоже никто не оспаривает или не признает некорректными. Только разница в том, что я не только критикую, но и предлагаю менять на что-то конкретное в текущей картине мира тех, с кем я общаюсь. Вы предлагаете как большевики в 17-м "весь мир разрушить до основанья, а затем...". А я предлагаю править то, что есть сейчас, медленно двигаясь к цели. Вы будете бесконечно долго ждать, когда к вашему "все поменять, сделать по-моему" хоть кто-нибудь прислушается, а я исхожу из того, что это мне надо подстраиваться под регулятора, а не ему под меня. Поэтому процент моих прошедших предложений несоизмеримо выше. А так да - у нас позиции схожие - мы оба недовольны сложившейся ситуацией

up
11 users have voted.
Аватар пользователя Атаманов Геннадий

Про "до основанья, а затем" не большевики придумали. Но они не побоялись это озвучить и взять на себя смелость построить новое. Попытки косметической перестройки старой советской модели (каковой, по сути, является сейчас вся система ТЗИ, которую по ошибке называют ИБ) ничего не дадут. Внешние условия изменились кардинально, и чтобы субъект соответствовал объекту, его тоже необходимо кардинально менять. И менять с основания, т.е. с философско-методологического уровня. А здесь ничего, кроме моей теории нет. Не просто путного, а вообще ничего. Но у меня, в отличие от Вас,  нет времени на "малые дела". Возраст не тот. Да и согласен я с Томасом Куном, который считал, что «новая научная истина не достигает триумфа путём убеждения своих оппонентов и их просветления, но это, скорее, происходит оттого, что её оппоненты, в конце концов, умирают и вырастает новое поколение, с ней знакомое». Ознакомлению нового поколения со своими идеями я сейчас и уделяю основное внимание. Иногда срываюсь. Не оставляет надежда, что и эти небезнадёжны. Да и жалко их: не поймут, не примут сейчас, новое поколение, вооружённое новыми идеями, придёт и сметёт их.  До основания …. А они ведь не чужие мне люди. Коллеги, как ни как. Хоть и бывшие.
PS: Недовольство недовольством. Вы свой последний пост и мою какую-нибудь статью на http://gatamanov.blogspot.ru/ и/или комментарий перечитайте под другим углом зрения, и всё станет ясно.

up
9 users have voted.
Аватар пользователя alukatsk

Удачи!

up
11 users have voted.
Аватар пользователя Атаманов Геннадий

Спасибо, Алексей! И Вам успехов!
Кстати, Вы мне невольно одну идею напомнили. За это тоже спасибо! 

up
5 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.