СОИБ. Анализ. Сертифицированные средства криптозащиты / кодирования не сертифицированные

Вчерашнее Извещение ФСБ России «об использовании несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно- телекоммуникационной сети «Интернет» понаделало немало шума. Высказывались даже идеи об отсутствии необходимости сертификации СКЗИ вообще.

В свою очередь недавно я сталкивался с большим количеством проверок ФСБ России и хотел бы процитировать некоторые моменты из них по теме сертифицированных СКЗИ:


Тут мы видим, что применение не прошедших оценку соответствия в форме сертификации СКЗИ ФСБ России определяет, как нарушение требований по защите ПДн (ст.19 152-ФЗ и пункт 13 ПП 1119).


В следующем примере просроченные сертификаты на СКЗИ также приводят к нарушениям (ст. 19 152-ФЗ и п.10 ПКЗ 2005 – оба пункта про оценку соответствия СЗИ) и административному правонарушению по статье 13.12 ч.2 КоАП РФ. Плюс ещё пришлось приостановить эксплуатацию двух ИС.


В следующем примере ФСБ России обнаружили уже отсутствующие сертификаты ФСТЭК на МЭ и антивирус и определили это как не реализацию в полном объеме технических мер защиты.

В общем не стоит относится к применению несертифицированных СКЗИ в общем случае так легкомысленно…

PS: по поводу Извещения хотелось бы отметить следующие моменты:
1) извещение выпущено в разъяснение одного пункта 3 статьи 11 № 374-ФЗ, вносящем изменения в статью 13.6 КоАП РФ
“Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям
1. Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети "Интернет", если законодательством предусмотрена их обязательная сертификация, -
влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц - от пятнадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц - от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.”

2) в Извещении несколько раз используется полный термин “средства кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет”. Сложилось впечатление ФСБ России логически отделяет такие средства от СКЗИ.

3) Констатируется тот факт, что нет федеральных законов, которые бы требовали обязательную сертификацию СЗИ, за исключением ФЗ о гостайне.
"Законодательством Российской Федерации обязательная сертификация средств шифрования и других средств защиты информации определена только для средств, предназначенных для защиты сведений, содержащих государственную тайну"

Действительно, в других ФЗ нет требований обязательной сертификации СЗИ...

Но о требованиях о подзаконных актов или требованиях по оценке соответствия СЗИ в общем случае - ничего не сказано. Такие требования есть, просто не рассматриваются в данном Извещении.


Комментарии

Andrey Prozorov написал(а)…
!. да, начали как комментарий к конкретному пункту, но потом дали общие рекомендации.
2. А вот нифига, в извещении в явном виде написано про ЗАЩИТУ. В абзаце 2 и 3. Что как бы говорит о синонимичности терминов
3. Вроде бы и так, но они опять дают более общий комментарий и толкование: "Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет не требуется"

Популярные сообщения из этого блога

Модель угроз безопасности клиента финансовой организации

Свежие ответы Роскомнадзора по обработке ПДн

Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС