Hidden Files (hidden_file) wrote,
Hidden Files
hidden_file

Еще раз о переходе на новые ГОСТы

Приветствую, дорогие читатели!
Когда я принялся за работу по истории создания и развития ЕГАИС,  мне показалось важным также затронуть и тему о переходах на новые ГОСТы. Сделать некую история откуда, как и почему вообще есть ГОСТы и проч. Искушенному профи этот материал покажется перепиской очевидного, однако для более широкого круга читателей или начинающих спецов, или интересующихся, надеюсь, будет интересно. К тому же я провожу активно опрос, какой токен Джакарта для ЕГАИС или Рутокен ЭЦП 2.0 люди планируют выбрать после ввода этих самых новых ГОСТов. На сегодняшний день просто сами юзеры оставляют и о Джакарта отзывы, и о Рукен отзывы и потому можно сделать определенные выводы, хотя, конечно, не факт, что эти выводы на 100% отражают реальность.
Итак, перейдем непосредственно к самому процессу обновления ГОСТов
Юридическая база
В самом начале остановимся на нормативно-правовой базе, которая регулирует процесс по переходу на новые стандурты в области криптографической защиты информации ГОСТ Р 34.11-2012 «Функция хэширования» и ГОСТ Р 34.10-2012 «Процессы формирования и проверки электронной цифровой подписи».
Хочу отметить, что переход осуществляется в средствах электронной подписи, применяемых для информации, не содержащей сведений, составляющих государственную тайну, в случаях, подлежащих регулированию со стороны ФСБ России в соответствии с действующей нормативной правовой базой.
Основные документы, регулирующие переход:
Федеральный закон от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» установил перечень видов деятельности, подлежащих обязательному лицензированию.
Постановление Правительства РФ № 957 от 21 ноября 2011 г. «Об организации лицензирования отдельных видов деятельности», где утвержден «Перечень федеральных органов исполнительной власти, осуществляющих лицензирование конкретных видов деятельности»
В нашем случае нам интересно ФСБ России, так как именно оно относится к СКЗИ. К лицензируемым видам деятельности, которые курирует ФСБ РФ, относятся:
Разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
31 января 2014 вышел документ ФСБ России № 149/7/1/3-58 «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования».
Тут можно отметить следующий пункт постановления, который важен для понимания о процессе и временных рамках перехода:
«Для средств ЭП, техническое задание на разработку которых утверждено после 31 декабря 2012 года, должна быть предусмотрена реализация функций средства в соответствии с ГОСТ Р 34.10-2012 хотя бы по одному из определяемых стандартом вариантов требований к параметрам (использование варианта, соответствующего длине секретного ключа порядка 256 бит, является предпочтительным, поскольку обеспечивает достаточный уровень криптографической стойкости и лучшие эксплуатационные характеристики, в том числе при совместной реализации со схемой ГОСТ Р 34.10-2001). После 31 декабря 2013 года не осуществлять подтверждение соответствия средств ЭП Требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27.12.2011 г. № 796, если в этих средствах не предусмотрена реализация функций средства в соответствии с ГОСТ Р 34.10-2012 хотя бы по одному из определяемых стандартом вариантов требований к параметрам. Исключение может быть сделано для средств ЭП, удовлетворяющих одновременно следующим условиям:
— техническое задание на разработку средства утверждено до 31 декабря 2012 года;
— в соответствии с техническим заданием разработка средства завершена после 31 декабря 2011 года;
— подтверждение соответствия средства указанным Требованиям ранее не осуществлялось.
Использование схемы подписи ГОСТ Р 34.10-2001 для формирования подписи после 31 декабря 2018 года не допускается.»
Постановление Правительства России от 16 апреля 2012 г. №313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»
В данном документе указан Перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств.
Это означает, что любая организация, которая поставляет криптографию как продукт на рынок, должна иметь лицензию и соблюдать требования регулятора. Более подробно о том, кто подлежит лицензированию в Приложении к Постановлению № 313
Для ленивых, даю выдержку, подлежит лицензированию любая контора, которая занимается разработкой, модернизацией, производством и монтажом средств СКЗИ.
Технологическая база
Если отойти от права, так как неимоверно нужно иметь усидчивость, чтобы подробнее подробного разбираться во всех этих нюансах. Для меня больше кажется первичной базой то, что изменения и обновления, в первую очередь, обусловлены развитием технологий, увеличением компьютеризации, расширением угроз со стороны черных хаверов и т.д. Поэтому, наверное, нормативно-правовая база является уже вторичной платформой, обеспечивающая некие нормативы переходов, тогда как сисета сама формирует новые алгоритмы.
Говоря более простым языком, за указанные в документах сроки, а именно до 31.12.2018, то есть уже всего лишь 10 месяцев, нам и нашей системе в России нужно осуществить переход на те ГОСТы, которые мы прописали, исходя из реалий 2012 года.
Итак, с точки зрения технической подготовленности к переходам на новые ГОСТы, необходимо учитывать следующее:
— поставщикам услуг и разработчикам информационных систем необходимо заранее задуматься о покупке оборудования и приведении прикладного программного обеспечения в соответствие новым стандартам. Основные организации, задействованные здесь аккредитованные удостоверяющие центры, банки, операторы систем электронного документооборота, электронные торговые площадки.
— Замена ключей ЭП. Потребители.
На самом же деле некоторые крипто-токены (например, ЭЦП Рутокен 2.0) уже сейчас поддерживают новые ГОСТы, однако до их окончательного запуска из УЦ, перейти на них нет возможности.
Джакарта в ЕГАИС
У других производителей, например,  Аладдин Р.Д., так же был анонсирован выпуск нового токена Джакарта 2.0, но его еще не выпустили в продажу. Поэтому пока сложно что-то сказать о крепком будущем присутствии Джакарта в ЕГАИС. Это случилось потому, что, на мой исключитеьно субъективный взгляд, Аладдин много времени упустил на пиар новой Джакарты. Тогда как у старой Джакарты отзывы совсем не очень среди активных потребителей. Это я отражал в самых моих первых материалах. По существу, не выпустив во время свой новый продукт, есть шансы повторить путь первой Джакарты в ЕГАИС, что немного безрадостно. Не буду скрывать, я очень жду Джакарту 2.0, жду, чтобы ее протестировать и надеюсь выявить существенный level up и по ПО и по всему.
Реальное решение сейчас Рутокен ЭЦП 2.0 и еSmart ГОСТ
Так что пока, при всем желании, выбор только между Рутокен ЭЦП 2.0 и еSmart ГОСТ. Дело в том, что эти продукты уже давно находятся на рынке и уже глубоко протестированы пользователями. Выявлены слабые и сильные места токенов. Рутокен по отзывам пользователей хороший вариант при замене ГОСТов, если оперировать моими уже личными данными по опросу. Но он пока не закончен, поэтому это всего лишь мое предположение.
Вообще, где-то читал, что оптимальным временем для перехода именно у компаний может быть около полугода. Естественно, все зависит от объемов производства и степени осведомленности персонала (тут мне вспомнился ЖДУН-бухгалтер, который нажал какую-то кнопочку на компьютере и сидел ждал помощи сисадмина)



В общем и целом, дорогие читатели, надеюсь, материал удался не таким занудным, но полезным. Буду рад Вашим вопросам и комментариям и дополнениям.
Tags: ГОСТы, Джакарта, ЕГАИС, Рутокен, токены для ЕГАИС
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic
  • 0 comments