Алексей Лукацкий.jpg
Алексей Лукацкий - менеджер по развитию
бизнеса Cisco Systems

Это классический миф, которому уже не один год. Почему-то многие считают, что реализация в системе криптографической защиты информации отечественного алгоритма шифрования, описанного в ГОСТ 28147-89, или алгоритма выработки и проверки электронной цифровой подписи (ЭЦП) ГОСТ Р 34.10-2001, автоматически делает применение таких продуктов законными. Этому заблуждению подвержены даже производители средств криптографической защиты; особенно зарубежные, которые считают, что интегрировав в свои VPN-решения или средства шифрования дисков криптографическую библиотеку, реализующую ГОСТ 28147-89, они станут легитимными на российском рынке.

Этот миф проистекает из достаточно старого Постановления Правительства от 26 июня 1995 г. №608 «О сертификации средств защиты информации» (в редакции Постановлений Правительства РФ от 23.04.1996 № 509, от 29.03.1999 № 342, от 17.12.2004 № 808), в котором есть такие строки «криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных Федеральной службой безопасности Российской Федерации». Однако сразу надо сказать, что данный абзац касается только средств защиты государственной тайны, а во вторых перед ним есть и другое предложение, которое все обычно забывают «Указанные средства (для защиты гостайны - А.Л.) подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации». Иными словами для защиты гостайны необходимо, чтобы система криптографической защиты была отечественного производства, использовала отечественные алгоритмы криптографической защиты и имела сертификат ФСБ. А что с иной информацией? Может быть там использование только ГОСТ 28147-89 или ГОСТ Р 34.10-2001 является «разрешением на работу»?

На самом деле все гораздо проще. На сегодняшний день нет единых требований по использованию систем криптографической защиты информации (СКЗИ), которые бы однозначно давали ответ на вопрос «какие алгоритмы и когда можно использовать?» Общее правило таково - режим защиты информации путем использования СКЗИ устанавливается обладателем информации, собственником (владельцем) информационных ресурсов (информационных систем) или уполномоченными ими лицами на основании законодательства Российской Федерации. Иными словами особые требования к используемому алгоритму государством не предъявляются, оставляя право выбора за владельцем/собственником информации или информационной системы. Он волен использовать любой алгоритм, который посчитает нужным и который не противоречит дополнительным ограничениям, прописанным в Приказе ФСБ от 9 февраля 2005 г. № 66 «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (положение ПКЗ-2005):

· для открытой информации действуют требования, установленные собственником/владельцем этой информации.

· для информации ограниченного доступа, подлежащей защите в соответствии с законодательством Российской Федерации (коммерческая тайна, персональные данные и т.д.), действуют требования данного законодательства и подзаконных актов, разработанных во исполнение данного законодательства и при соблюдении необходимых условий принятия и опубликования нормативно-правовых актов.

· для информации ограниченного доступа, для которой отсутствуют особые требования законодательства (например, банковская или медицинская тайна), и собственником которой является не государственный орган, действуют требования, установленные собственником/владельцем этой информации.

· для информации, обрабатываемой в государственных органах или при взаимодействии с ними, действуют требования, установленные ПКЗ-2005.

Требования же использования только российских алгоритмов криптографической защиты существуют только для защиты государственной тайны, информационно-телекоммуникационных систем и сетей критически важных объектов, федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления и организаций, осуществляющих выполнение работ или оказание услуг для государственных и муниципальных нужд.

Таким образом, можно сделать вывод, что в большинстве ситуаций можно использовать СКЗИ, поддерживающие не только ГОСТ 28147-89, но и DES, AES и другие криптографические алгоритмы (если иное явно не оговорено федеральным законодательством). Другой вопрос, что нам может понадобиться лицензия на отдельные виды деятельности, связанные с распространением, обслуживанием и предоставлением услуг в области шифрования информации. Но это уже тема другого мифа.