Рубрикатор |
Блоги | Алексей ЛУКАЦКИЙ |
Коммерческим SOCам нужна еще и лицензия ФСБ на шифрование
28 ноября 2018 |
В сентябре я написал
заметку о том, сколько лицензий нужно, чтобы подключиться к ГосСОПКА. А
тут давеча, рассказывая про модель угроз и про то, что отсутствие у
организации лицензии ФСБ на деятельность в области шифрования может
также рассматриваться как угроза, я подумал, что у центра ГосСОПКИ,
предоставляющего услугу подключения к ГосСОПКЕ должна же еще быть и еще
одна лицензия ФСБ - на шифрование.
И хотя дискуссия в Фейсбуке показала, что многим такая идея совсем не
нравится, я все-таки решил повторить свои размышления в блоге.
Во-первых, это повод задать вопрос своим корпоративным юристам. А,
во-вторых, грядет SOC Forum, на котором этот вопрос можно задать
регуляторам. Моя же логика была следующей:
- Согласно требованиям ФСТЭК, для оказания услуг по мониторингу ИБ (а это то, что в том числе делает центр ГосСОПКИ) в обязательном порядке необходимо иметь сертифицированные в ФСБ средства защиты каналов передачи данных, которые должны обеспечивать конфиденциальность данных, передаваемых между SOC и теми, кого этот SOC мониторит.
- В Facebook некоторые коллеги говорили, что на совещании в ФСТЭК, когда этот вопрос обсуждался, ФСТЭК заявила, что применение СКЗИ не является обязательным, а отдается на откуп лицензиату. Я, присутствуя на двух совещаниях ФСТЭК по этому вопросу, что-то не припомню такой позиции регулятора. Как раз наоборот. Он настаивал на том, что конфиденциальность должна быть обеспечена в обязательном порядке. А иначе зачем требовать покупку того, что можно и не использовать?
- Подход ФСТЭК по обязательному обеспечению конфиденциальности между системой управления и управляемыми решениями в последнее время становится все более жестким - в последних проектах РД на новые типы средств защиты, а также в ответах ФСТЭК на вопросы по смежным темам, явно сквозит требование по применению сертифицированных в ФСБ СКЗИ. Да и вообще, достаточно странно выглядит идея, что регулятор в области защиты информации не будет советовать обеспечивать защиту канала, в который может вмешаться злоумышленник.
- Подход ФСБ к наличию своей лицензии на деятельность в области шифрования известен уже много лет и он не меняется. ФСБ планомерно, а иногда излишне широко трактуя законодательство, требует либо поручать работы с СКЗИ лицензиатам, либо самим получать такую лицензию. Помнится ФСБ даже отвечала, что все, что было указано в Постановлении Правительства, независимо от возмездности оказания услуг и интересов (исключая один из видов работ, про который прямо сказано, что его для собственных нужд можно и без лицензии), требует лицензии ФСБ. С тех пор сменилось и само ПП (с 957-го на 313-е), и руководство ЦЛСЗ, а подход остается неизменным. Отсюда и мои выводы о необходимости лицензии ФСБ на шифрование.
Можно ли уйти от получения лицензии центром ГосСОПКИ? Если отталкиваться
только от одного вида работ - оказание услуг в области шифрования, то
можно было бы попробовать доказать, что никаких услуг в области
шифрования SOC не оказывает. Но тут вступает в игру два нюанса.
Во-первых, банки ФСБ активно плющила по ст.171 УК РФ (незаконное
предпринимательство) именно по причине отсутствия лицензии при оказании
услуг ДБО (а банк впрямую услуг по шифрованию не оказывал). А,
во-вторых, кто-то же должен управлять ключами шифрования (а это тоже
включается в деятельность в области шифрования). Если это делает сам
SOC, то лицензия ФСБ нужна. Если это делает заказчик, то... такая схема
вообще выглядит странно. Да и заказчик врядли захочет получать лицензию
ФСБ в довесок к переходу к сервисной модели SOC. В ФБ активно
предлагался вариант с привлечение УЦ для управления ключами между SOCом и
его клиентами. Интересная идея, но вот я в нее что-то не верю.
Во-первых, это удорожает решение и делает его более сложным
(трехсторонний договор, а не двусторонний), а, во-вторых, учитывая
происходящую вокруг УЦ ситуацию, стоило бы повременить.
Но помимо оказания услуг, у нас есть еще... создание SOC, то есть
информационной системы с использованием шифровальных средств. А это тоже
лицензируемый вид деятельности. А если SOC не только мониторит, но и
управляет средствами защиты или обеспечивает удаленный сбор
доказательств для расследования инцидентов и для этого заходит на
удаленное оборудование с помощью SSH? Это ведь тоже лицензируемый вид
деятельности :-) Шучу. Или не шучу?..
Что в итоге? Большинство текущих коммерческих SOCов не имеет лицензии
ФСБ на деятельность в области шифрования и поэтому отстаивает позицию,
что такая лицензия не нужна. Я их понимаю :-) Их вроде как спасает тот
факт, что за шифрование у нас отвечает 8-й Центр ФСБ, который же "рулит"
и ГосСОПКОЙ. Но за лицензирование у нас отвечает ЦЛСЗ, а у него не
всегда взаимопонимание с другим управлением регулятора, ответственного
за нацбезопасность. По крайней мере, когда представители 8-ки с открытой
трибуны заявляли про собственные нужды, ЦЛСЗ говорил прямо
противоположное. И я бы рассматривал этот риск - за 171-ю статью УК
отвечают именно они, а не 8-й Центр.
Клиентам коммерческого SOC вроде как ничего не угрожает - им лицензия
ФСБ для выбора SOC не нужна (если ключами управляют не они). Но что
делать, если к коммерческому SOC вдруг возникнут вопросы по
лицензированию? Его деятельность могут приостановить! Риск это, конечно,
маловероятный, но и сбрасывать со счетов его не стоит. В любом случае
этот риск надо осознавать.
Запугал? Нет? Ну и прекрасно :-) А если да, то что делать; жизнь такая, непростая :-)
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.