Страницы

Криптографию - ФСТЭКу!


Побывав на Уральском форуме, я сделал для себя важный вывод: два кресла в президиуме были заняты совершенно не тем ведомством, которое это заслуживает.




На фоне множества регуляторов в мире ИБ, ФСБ постоянно выделяется своей жесткой, неадекватной и закрытой позицией практически по каждому вопросу. Если из ФСТЭКа за последний год новые документы льются просто рекой, то ФСБ, по-прежнему, активно использует приказы уже давно несуществующего ведомства (например, 152 приказ ФАПСИ).

Если попытаться разобраться, как коммерческая криптография попала к ФСБ, то все встанет на свои места. Было 16 управление КГБ (Главное управление радиоэлектронной разведки средств связи), из которого сформировали ФАПСИ, в задачи которого входила организация защищённых каналов связи (спецсвязь) и ведение радиоэлектронной разведки. Параллельно ФАПСИ занималось регулированием и коммерческой криптографии. Например, "тройная лицензия" раньше выглядела так
  
Потом криптографию из ФАПСИ передали ФСБ, которая стала использовать механизм лицензирования в области криптографии для давления на банки и бизнес.
В прошлом году на председателей нескольких краснодарских банков завели дела по ст. 171 УК РФ "Незаконное предпринимательство" за то, что они использовали коробочный продукт для ДБО без лицензии ФСБ на обслуживание СКЗИ. Ущерб по статье (!) считался как сумма всех выплат за ДБО за все время правления председателя!
Под лицензионные требования ФСБ не подходят, к примеру, выпускники Краснодарского высшего военного училища имени генерала-армии Штеменко. Офицер - шифровальщик, имеющий доступ к сведениям особой важности, не имеет право устанавливать с диска КриптоПро, так как программа обучения в КВВУ не соответствует общероссийскому классификатору специальностей по направлению ИБ.
С тех пор у нас 2 ветки нормативки по ИБ, 2 ветки лицензирования деятельности по ИБ и 2 ветки сертификации средств защиты. Для того, чтобы полноценно оказывать услуги или разрабатывать продукты на рынке ИБ, необходимо получать лицензии как ФСТЭК так ФСБ. Многие средства защиты информации производителям так же приходится дважды сертифицировать и там и там (взгляните на сертификаты ViPNet или Кода Безопасности).

Зачем?

Послушав Виталия Сергеевича Лютикова на Уральском форуме, я понял, что нам вполне хватит и одного регулятора в мире ИБ - ФСТЭК.


Я думаю, что сам факт существования подобной инициативы, а если повезет, то и общественное внимание к ней, дадут представителям ФСБ прекрасный повод задуматься о своей роли в регулировании сферы ИБ в России и смягчить свою позицию по многим важным для отрасли вопросам. Иначе за них это сможет сделать гораздо более адекватное и прогрессивное ведомство...

PS С экспертным мнением о деятельности ФСБ можно ознакомиться на страницах блога Алексея Лукацкого.

Комментариев нет:

Отправить комментарий