вторник, 17 октября 2017 г.

VPN ГОСТ в программе "Цифровая Экономика"

Распоряжением №1632-р от 28 июля 2017 года Медведев утвердил программу "Цифровая Экономика РФ". Спустя два с небольшим месяца рассмотрим место отечественной криптографии в этом документе.


Задачи и структура документа

Программа была подготовлена Минкомсвязи во исполнение перечня поручений Президента России по реализации Послания Федеральному Собранию (№Пр-2346 от 5 декабря 2016 года).

Программой определены цели, задачи, направления и сроки реализации основных мер государственной политики по созданию необходимых условий для развития в России цифровой экономики.

Основными сквозными цифровыми технологиями, которые входят в рамки настоящей Программы, являются:

большие данные;
нейротехнологии и искусственный интеллект;
системы распределенного реестра;
квантовые технологии;
новые производственные технологии;
промышленный интернет;
компоненты робототехники и сенсорика;
технологии беспроводной связи;
технологии виртуальной и дополненной реальностей.
Предусматривается изменение перечня технологий по мере появление и развития новых.

В целях управления развитием цифровой экономики настоящая Программа определяет цели и задачи в рамках 5 базовых направлений развития цифровой экономики в Российской Федерации на период до 2024 года. К базовым направлениям относятся:

нормативное регулирование,
кадры и образование,
формирование исследовательских компетенций и технических заделов,
информационная инфраструктура,
информационная безопасность.

Центр компетенций по информационной безопасности в рамках программы будет создан при Сбербанке.

В программе для каждого направления обозначена дорожная карта в формате "задача - веха - срок "

Криптография

Курс на импортозамещение и отечественную криптографию указан уже в общей части:

Разработка и реализация мероприятий настоящей Программы базируется на основополагающих принципах информационной безопасности, включающих:
использование российских технологий обеспечения целостности, конфиденциальности, аутентификации и доступности передаваемой информации и процессов ее обработки;
преимущественное использование отечественного программного обеспечения и оборудования;
применение технологий защиты информации с использованием российских криптографических стандартов.
Далее это отражено в дорожной карте.



Имеются ввиду криптоалгоритмы ГОСТ, но пункт неоднозначный. Так как сертифицируются не криптографические алгоритмы, а средства криптографической защиты информации (СКЗИ), в которых эти алгоритмы используют. И соответствующая статья про их неиспользование в КоАП РФ уже есть:

КоАП РФ, Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям

1. Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети "Интернет", если законодательством предусмотрена их обязательная сертификация, -

влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц - от пятнадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц - от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.


Также в документе указана конкретика по срокам перехода на отечественные криптоалгоритмы:



Срок достаточно сжатый, c нынешней практикой и нормативной базой верится в него с трудом. Например, web ресурсы не спешат переходить на использование защищенного доступа с отечественными алгоритмами. Технические работающие варианты (браузер + криптобиблиотека) не легитимны, так как ни на одном браузере не проведена оценка корректности встраивания. Возможный выход из ситуации - так называемая гражданская криптография, для которой бы не требовался жесткий учет.

ЕАЭС

Работа с нормативной базой ЕАЭС – отдельная задача с множеством пунктов.



Надеюсь, что реализация этих планов приведет к взаимному признанию на межгосударственном уровне сертификатов соответствия средств защиты участниками ЕАЭС. Это позволит строить единое пространство доверия (оно также указано в сопутствующих пунктах) и обеспечить унификацию межгосударственных взаимодействий. Напомню, что сейчас вывезти СКЗИ за границу РФ не так просто, но возможно.

Что еще интересного?

1) В документе упоминаются квантовые технологии. В привязке к VPN можно рассматривать квантовое распределение ключевой информации. Сейчас уже есть прототипы от нескольких компаний.

2) Много внимания уделяется ЦОД. Планируется российская сертификация ЦОД, которая может поставить крест на Tier и отправке всей информации о ЦОД за рубеж (требование данной сертификации). Также предусмотрено увеличения количества ЦОД в федеральных округах с 2 до 8 и создание государственной облачной платформы с постепенным переходом на неё госструктур.

3) Введение ГТО по ИБ. Выполнил нормативы - получил преференцию (например, при поступлении в ВУЗ).


PS Текст программы доступен по ссылке

Комментариев нет:

Отправить комментарий