Контакты
Подписка
МЕНЮ
Контакты
Подписка

Организация использования криптографических средств защиты за пределами России

Организация использования криптографических средств защиты за пределами России

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Организация использования криптографических средств защиты за пределами России

Представительства Госкорпорации Ростех открыты в 52 странах. При выезде за границу сотрудники компании должны иметь доступ к информационным ресурсам, размещенным в дата-центре Ростеха, доступ к которым предоставляется удаленно, с использованием каналов связи, защищенных при помощи средств криптографической защиты информации (СКЗИ). Обычно удаленный доступ к ресурсам осуществляется с мобильного рабочего места (ноутбука), на котором, кроме сертифицированного СКЗИ, установлены сертифицированные средства защиты информации от несанкционированного доступа и средства антивирусной защиты. В связи с этим встает вопрос о вывозе СКЗИ за пределы России. Для этого необходимо оформление официального разрешения на временный вывоз.
Валерий Комаров
Менеджер по информационной безопасности “РТ-ИНФОРМ"

Вопрос вывоза СКЗИ регулируется Решением Коллегии Евразийской экономической комиссии от 21.04.2015 г. № 30 "О мерах нетарифного регулирования". В частности, приложением 9 к указанному документу (Положение о ввозе на таможенную территорию Евразийского экономического союза и вывозе с таможенной территории Евразийского экономического союза шифровальных (криптографических) средств) определяется: "Помещение шифровальных (криптографических) средств под таможенные процедуры выпуска для внутреннего потребления и экспорта в целях обеспечения собственных нужд без права их распространения и оказания третьим лицам услуг в области шифрования (криптографии) осуществляется при представлении таможенному органу государства-члена заключения (разрешительного документа) или сведений о нотификации".

Так как используемые СКЗИ отсутствуют в сведениях о нотификации, то рассматривался только вариант предоставления в таможенный орган заключения (разрешительного документа).

Согласно уже упомянутому приложению 9 для получения заключения (разрешительного документа) необходимо предоставить в согласующие органы следующие документы:

  • "а) проект заключения (разрешительного документа), оформленный в соответствии с методическими указаниями по заполнению единой формы заключения (разрешительного документа) на ввоз, вывоз и транзит отдельных товаров, включенных в Единый перечень товаров, утвержденными Решением Коллегии Евразийской экономической комиссии от 16 мая 2012 г. № 45;
  • б) техническая документация на шифровальное (криптографическое) средство (представление исходных кодов не является обязательным, отказ заявителя от представления исходных кодов не является основанием для отказа в выдаче заключения (разрешительного документа);
  • в) иные документы, предусмотренные законодательством государства-члена".

Поскольку Решением Коллегии Евразийской экономической комиссии не конкретизируется государственный орган Российской Федерации, уполномоченный на оформление требуемых заключений по временному вывозу СКЗИ, то компанией "РТ-ИНФОРМ" были направлены запросы в ФСТЭК России и ФСБ России.

Заявителю необходимо учесть, что ФСБ России предъявляет требования к наличию права владения на законных основаниях (собственность/долгосрочная аренда) помещениями зарубежных представительств. Необходимо также проведение работ по оценке влияния на СКЗИ среды функционирования и программного обеспечения BIOS ноутбука, в соответствии с Временными требованиями к проведению исследований ПО BIOS ФСБ России, и предоставление подтверждающих документов об их выполнении при подаче заявления.

На обращение за разъяснениями по процедуре оформления заключения в ФСТЭК России получили официальный ответ: "Регламентирование процесса временного вывоза ноутбука с установленным СКЗИ за пределы Российской Федерации в производственных целях к компетенции ФСТЭК России не относится. Для решения Вашего вопроса необходимо обратиться в ФСБ России".

ФСБ России подтвердила, что имеет данные полномочия: "ЦЛСЗ ФСБ России участвует в регулировании ввоза на таможенную территорию Евразийского экономического союза и территорию Российской Федерации и вывоза за их пределы шифровальных (криптографических) средств и специальных технических средств, предназначенных для негласного получения информации".

Оформление заключения в ФСБ России разделено на две последовательные процедуры:

1. Принятие решения об обоснованности использования СКЗИ.

Для возможности принятия решения об обоснованности применения СКЗИ при организации защищенных каналов связи с зарубежными представительствами заявитель предоставляет в ФСБ России модели угроз безопасности информации и нарушителя, акт классификации информационной системы и эксплуатационную документацию на СКЗИ.

По результатам анализа предоставленных материалов ФСБ России выдает заключение о правомерности применения СКЗИ. Данная процедура отражена на рис. 1.


2. Экспертиза заявленных СКЗИ на предмет возможности использования их за пределами Российской Федерации.

В случае положительного заключения о правомерности применения СКЗИ ФСБ России проводит экспертную оценку возможности использования заявленных типов СКЗИ за пределами Российской Федерации. Заявителю необходимо дополнительно предоставить перечень зарубежных представительств, копии сертификатов на СКЗИ, копии технических условий (ТУ) на СКЗИ.

По результатам экспертной оценки в случае положительного решения ФСБ России выдает разрешение на вывоз СКЗИ. Общий алгоритм действий заявителя представлен на рис. 2.


Заявителю необходимо учесть, что ФСБ России предъявляет требования к наличию права владения на законных основаниях (собственность/долгосрочная аренда) помещениями зарубежных представительств. Необходимо также проведение работ по оценке влияния на СКЗИ среды функционирования и программного обеспечения BIOS ноутбука, в соответствии с Временными требованиями к проведению исследований ПО BIOS ФСБ России, и предоставление подтверждающих документов об их выполнении при подаче заявления.

При выборе СКЗИ для организации защищенных каналов связи с зарубежными представительствами необходимо в обязательном порядке учитывать требования ФСБ России по отражению условий и возможностей для эксплуатации СКЗИ в зарубежных представительствах российских организаций в ТУ на СКЗИ.

Заключение

Стоит отметить, что временный вывоз иных средств защиты информации (не относящихся к криптографическим) не регламентирован. ФСБ России рассматривает заявления на временный вывоз только на средства защиты информации, имеющие сертификаты ФСБ России. Обязательность получения подобных разрешений на временный вывоз средств защиты информации, не являющихся СКЗИ, не определена до настоящего времени.

В настоящий момент в Российской Федерации происходит ужесточение законодательства в области защиты информации и конкретизация требований к реализации данных мер защиты. Коммерческие и государственные организации вынуждены использовать СКЗИ и другие средства защиты информации, в том числе и за рубежом. При этом процедура оформления временного вывоза средств защиты для собственных нужд в уполномоченном государственном органе обязательна для организаций, но никак не описана в подзаконных актах. На наш взгляд, необходимо разработать и утвердить административные регламенты по оформлению разрешений на вывоз средств защиты, включения средств защиты в нотификации, а также определить требования к средствам защиты информации, предназначенным для использования за пределами России.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2017
Посещений: 12673

Приобрести этот номер или подписаться
  Автор

Валерий Комаров

Валерий Комаров

Менеджер по информационной безопасности “РТ-ИНФОРМ"

Всего статей:  1

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций