понедельник, 19 июня 2017 г.

VPN ГОСТ между несколькими организациями

Взаимодействие двух и более организаций между собой – обычное дело. В различных вариантах сотрудничества одна организация может передавать другой какую-либо информацию, которая требует обязательной защиты, например, ПДн. Естественно, это делается не на бумажных носителях, а в электронном виде через интернет, а значит без защиты данных не обойтись. Реализовать защиту можно с помощью шифрования файлов - CMS (Cryptographic Message Syntax) или шифрования трафика – VPN (Virtual Private Network). В заметке пойдет речь о реализации второго варианта.

Далее рассмотрим варианты организации такого взаимодействия между несколькими юридическими лицами и требования к участникам в каждом их них. Сразу скажу, что в рамках данной заметки все участники находятся на территории РФ, про экспорт СКЗИ есть отдельная заметка.

Основываться будем на следующих документах:
Федеральный закон от 04.05.2011 N 99-ФЗ (ред. от 30.12.2015) "О лицензировании отдельных видов деятельности
"Постановлении Правительства Российской Федерации от 16 апреля 2012 г. N 313 г. Москва "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)".
Кодекс Российской Федерации об административных правонарушениях.
Уголовный кодекс Российской Федерации.

Первое, что понадобится организациям – VPN продукты. Совместимость между отечественными вендорами пока редкость – она есть буквально у нескольких производителей и только в определенных режимах. Поэтому зачастую всем участникам взаимодействия придется приобрести продукты одного производителя. При этом возможны два варианта закупки:

1.1. Каждая организация приобретает продукт на свой баланс самостоятельно.

1.2. Одна из организаций (назовем её головной) приобретает некоторый пул продуктов и передает их другим участникам взаимодействия по мере необходимости.

Во втором случае головная организация фактически оказывает другим участникам услугу по передаче СКЗИ, которая является одним из лицензируемых видов работ и услуг в рамках упомянутой в ПП313 деятельности (пункт 21 приложения к утвержденному Положению). В соответствии с этим головной организации необходима лицензия ФСБ России с соответствующим пунктом.

Второе – ключевая информация. Также возможны два варианта:

2.1. Головная организация готовит ключевую информацию и передает другим участникам. И при этом попадает под лицензирование – ПП 313 (пункт 28 приложения к утвержденному Положению).

2.2. Все участники для формирования ключевой информации пользуются услугами сторонней организации (например, УЦ), который обладает лицензией ФСБ России (пункт 28). Обратите внимание, что некоторые вендоры VPN не поддерживают использование стороннего УЦ, так как имеют только свой собственный, встроенный в систему управления.

Пункты из первого и второго блока можно комбинировать между собой.

Наиболее часто встречающиеся случаи:

Каждая организация приобретает продукты самостоятельно (конкретного вендора указывает головная компания), ключевую информацию распространяет головная организация (либо дочерняя сервисная компания, либо интегратор), имеющая лицензию ФСБ России (пункт 28). Подходит для крупных головных компаний.

Каждая организация приобретает продукты самостоятельно (выбор вендора осуществляется по согласованию), ключевую информацию участники приобретают у стороннего УЦ (если VPN продукт имеет техническую возможность). Лицензий ФСБ организациям-участникам не требуется. Подходит для небольших компаний.

Особняком стоит вариант с госсектором. Зачастую ведомство закупает СКЗИ и распространяет по своим подведомственным учреждениям на их баланс. Это явно указывается в конкурсной документации (например, закупка АПКШ Континент в Минюсте или ViPNet Terminal в медицине Тульской области). Правомерны ли такие действия, если у ведомства нет лицензии – отдельный вопрос, на который у меня однозначного ответа нет.

За нарушение лицензирования предусмотрена административная и уголовная ответственность:
КоАП РФ, Статья 13.13. Незаконная деятельность в области защиты информации
 1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.

УК РФ, Статья 171. Незаконное предпринимательство
1. Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо арестом на срок до шести месяцев.
2. То же деяние:
а) совершенное организованной группой; 
б) сопряженное с извлечением дохода в особо крупном размере,
наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового.
УК РФ, Статья 170.2 Крупным размером, крупным ущербом, доходом либо задолженностью в крупном размере признаются стоимость, ущерб, доход либо задолженность в сумме, превышающей два миллиона двести пятьдесят тысяч рублей, а особо крупным - девять миллионов рублей.
Обзоры судебной практики по статье 13.13 КоАП «Незаконная деятельность в области защиты информации» от Виталия Кривоноса: часть1 и часть2.

Размеры штрафов весьма скромные, но стоит обратить внимание на возможность конфискации СКЗИ. Это будет означать остановку ряда бизнес-процессов и может повлечь более серьезные финансовые потери.

4 комментария:

  1. Если одна из организаций участников выпускает ключ и запрос на сертификат, а головная организация подписывает запрос и выпускает сертификат, требуется ли головной организации лицензия ФСБ?

    ОтветитьУдалить
    Ответы
    1. Да, так как она передает сертификат, который является ключевой информацией. Это попадает под пункт 28 ПП313.

      Удалить
  2. Момент с необходимостью получения лицензии для передачи сертификатов спорный. Получается, что все кто передает по почте (например Outlook) подписанные сообщения, т.к. вместе с сообщение передается и сертификат. К тому же сертификат не относится к ключевой информации ограниченного доступа как это требует 313-ПП.

    е) ключевые документы - электронные документы на любых носителях информации, а также документы на бумажных носителях, содержащие ключевую информацию ограниченного доступа для криптографического преобразования информации с использованием алгоритмов криптографического преобразования информации (криптографический ключ) в шифровальных (криптографических) средствах;

    ОтветитьУдалить
  3. Не дописал фразу в первом абзаце, но думаю смысл понятен.

    ОтветитьУдалить